甲方安全之仿真钓鱼演练(邮件+网站钓鱼)

文章目录

    • 一、简介
      • 1.1 前言
      • 1.2 整体思路
      • 1.3 演练所需
      • 1.4 各邮件厂商日群发上限
    • 二、钓鱼平台搭建及配置
      • 2.1 gophish平台搭建
      • 2.2 收件目标配置(User & Groups)
      • 2.3 发信邮箱配置(Sending Profiles)
      • 2.4 邮件模版配置(Email Templates)
      • 2.5 钓鱼网站配置(Landing Pages)
      • 2.6 发件活动配置(Campaigns)
      • 2.7 跳转警示网站
    • 三、数据统计
      • 3.1 统计方法:
        • 3.1.1 后台文件导出
        • 3.1.2 文件整理方法
        • 3.1.3 人工删选技巧
      • 3.2 注意事项
    • 四、演练意义

声明: 禁止一切非法网络钓鱼行动,本文章旨在安全分享,仅供安全学习探讨,如非法未授权进行网络钓鱼,由此引起的责任与后果自行承担,当你继续阅读下文,即默认同意此声明!

一、简介

1.1 前言

  “人是系统中最大的漏洞“,信息安全中,人也是最难避免的安全因素,由此,安全意识也非常重要,定期的仿真钓鱼演练在甲方安全工作中难以避免,安全意识的提升还是要靠 ”真枪实弹“ 来解决,让大家演练起来,参与进来,只有亲身经历过才会记忆深刻,不会在一个地方摔多次!本篇文章是笔者凭亲身主导完成多次近三万员工的钓鱼演练经验来书写,旨在分享甲方钓鱼演练中的那些经验与快乐!

1.2 整体思路

在这里插入图片描述

1.3 演练所需

  • 钓鱼软件:gophish(开源网络钓鱼工具包)
  • 云服务器:1台(如演练人数过万,有条件建议两台,分别用来搭建钓鱼服务器各演练一半人员,容错率高一些)
  • 云服务器建议配置:
人数建议配置
1k以下2vCPUs 4G 4G内存 2M带宽 20G存储
1w以下4vCPUs 8G 8G内存 20M带宽 20G存储
3w以下4vCPUs 8G 16G内存 100M带宽 20G存储
  • 发信邮箱
    企业内钓鱼演练需要提前和IT部门打好沟通,申请测试邮箱,并且开放白名单,不限制发信次数及频率,缺点就是企业内邮箱过于真实,前两次钓鱼不建议使用企业内邮箱,建议外部,不过一般大型企业不止一个邮箱后缀,需要跟IT部门确认。

1.4 各邮件厂商日群发上限

以下是我整理的其它免费邮箱厂商单日发信频率上限:

  1. Gmail
    普通谷歌邮箱每小时内发送量上限为50封,每天发送量上限为500封,Gmail Apps(Google for work)限制会放宽很多,试用用户每天发送量上限500封,正式用户每天上限2000封。

  2. 网易
    在这里插入图片描述

  3. foxmail
    对IP或其他检测有机制,每天频率高或者连发180条以上就错误,今日不让再发
    在这里插入图片描述

  4. 电信21cn
    两个账号发送了61封,暂未有限制
    在这里插入图片描述

  5. 126邮箱
    对IP或其他检测有机制,每天频率高或者连发30条以上就错误,但是能继续retrying,断断续续发
    在这里插入图片描述
    在这里插入图片描述

  6. sina邮箱
    每天频率高或者连发38条以上就错误,但是能继续retrying,断断续续发,后续账号每天内发25条,跟IP地址无关
    在这里插入图片描述

二、钓鱼平台搭建及配置

2.1 gophish平台搭建

》》github下载gophish:https://github.com/gophish/gophish
在这里插入图片描述
》》下载并解压
在这里插入图片描述
》》修改配置文件中监听地址

vi config.json

在这里插入图片描述
》》赋予执行权限(略)并使用日志输出中的用户名和密码进行登陆
在这里插入图片描述

如果git clone下载,使用源代码构建方式,需要下载Go
》》下载git
yum -y install git
》》下载安装go
sudo yum install -y epel-release
sudo yum -y install golang
go version
go env -w GOPROXY=https://goproxy.cn,direct

》》go build
在这里插入图片描述
》》成功
在这里插入图片描述

》》输入完成需要重置新密码再行登录
在这里插入图片描述
》》至此,Gophish搭建完成,登陆成功控制台
在这里插入图片描述

2.2 收件目标配置(User & Groups)

用途: 用来添加钓鱼对象

》》单个手动添加
在这里插入图片描述
》》批量导入添加,下载csv模版,将待钓鱼演练的目标邮箱填至邮箱列
在这里插入图片描述
在这里插入图片描述
》》直接上传保存
在这里插入图片描述

2.3 发信邮箱配置(Sending Profiles)

用途: 发信者

Host主机地址

发信邮箱服务器地址
qq / foxmailsmtp.qq.com:465
网易POP3服务器: pop.126.com
SMTP服务器: smtp.126.com:465
IMAP服务器: imap.126.com
新浪pop.sina.com
smtp.sina.com
imap.sina.com
电信189smtp.189.cn:465
电信21cnsmtp.21cn.com:465

部分邮箱密码是需要授权码,而非密码!
在这里插入图片描述

2.4 邮件模版配置(Email Templates)

用途: 钓鱼模板

钓鱼模板为钓鱼演练的核心之一,应该非常逼真
在这里插入图片描述

2.5 钓鱼网站配置(Landing Pages)

用途: 钓鱼克隆网站

钓鱼克隆网站主要是需要克隆输入用户名密码的站点,需要前端开发能力最好,另一个是仿真域名的购买
在这里插入图片描述

2.6 发件活动配置(Campaigns)

用途: 钓鱼任务的创建

在这里插入图片描述

2.7 跳转警示网站

在钓鱼网站配置页面设置警示网站

注意:

  1. 站点证书使用SSL证书;
  2. 使用标志性词语,如注意、警惕等,建议更改密码(避免短时间内发生安全事件后纠纷)。

在这里插入图片描述
如:
在这里插入图片描述

三、数据统计

3.1 统计方法:

3.1.1 后台文件导出

导出会有两个CSV文件:

  1. Results为和控制面板统计数据一致,但不会存在输入的数据!
  2. Raw Events数据比实际控制面板要多很多,用户输入了多次就会有多行(最终统计数据使用此文件)!
    在这里插入图片描述

3.1.2 文件整理方法

如果有多个Campaigns就合并到一个文件中 ->选择筛选,提取出Submitted Data数值 ->对邮箱进行去重提交(删除重复项,删除重复完成后输入数据行数应该和控制面板中数值一致) ->人工筛选去掉测试提交数据(人家未输入真实数据不属于上钩人员,所以最终应少于控制面板中数)最终应该为以下四个sheet
(文件合并完成我更改了名称)
在这里插入图片描述

3.1.3 人工删选技巧

当企业人数多时难免有大量数据需要人工进行删选,这里分享一些Excel处理时的经验和技巧,根据导出文件的特征,先晒选处一轮特征密码(111111、123456等):
->选择红框中的特征:
在这里插入图片描述
->数据 ->晒选 ->文本晒选,输入特征:
在这里插入图片描述
->点击确定,选择某列,->右键 ->删除行 ->删除工作表整行
在这里插入图片描述

注意:iphone端输入无法显示的也使用此方法:
在这里插入图片描述

3.2 注意事项

注:最终数据统计跟实际控制面板有偏差!

  1. 演练要通过上级领导邮件审批;
  2. 由于代码问题,可能未输入数据就可提交,导致 “Submitted Data” +1;
  3. 手机端输入的数据无法显示:
    在这里插入图片描述
    (查看后台确认:)
    在这里插入图片描述
    在这里插入图片描述
  4. 为贴近真实数据,针对输入形如密码123456、111111、111111111、aaaaaa,手机号18888888888、13000000000、17000000001等应该人工晒选出来(具体还要根据企业中通讯录人员信息校对,防止少部分误删),避免安排考试后产生矛盾分歧(实际还要根据自己企业平台中是否允许弱密码和惩罚方式进行判断);

四、演练意义

  1. 识别人为风险优先级,降低安全人为风险;
  2. 提升安全意识成熟度,增强网络安全意识。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/44568.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何识别钓鱼邮件

今天,带大家来防御钓鱼邮件。 钓鱼邮件,即一种伪造邮件,是指利用伪装的电子邮件,来欺骗收件人点击恶意URL,或诱导收件人下载带恶意程序的可执行文件。 对于恶意URL,通常会伪装成和真实网站一样,…

【自制】我造了一台 钢 铁 侠 的 机 械 臂 !【硬核】

有人说:一个人从1岁活到80岁很平凡,但如果从80岁倒着活,那么一半以上的人都可能不凡。 生活没有捷径,我们踩过的坑都成为了生活的经验,这些经验越早知道,你要走的弯路就会越少。

识别钓鱼邮件小技巧

先在收邮件时自动识别出外部邮件,然后再去甄别。 以Foxmail邮件客户端为例—— 1、点击右上角“设置”按钮——选择“工具”——选择“过滤器” 2、选择将过滤策略所希望应用于的邮件账户,点击“新建”。 (1)设置一个过滤器名…

C#小游戏—钢铁侠VS太空侵略者

身为漫威迷,最近又把《钢铁侠》和《复仇者联盟》系列又重温了一遍,真的是印证了那句话:“读书百遍,其意自现”。看电影一个道理,每看一遍,都有不懂的感受~ 不知道大伙是不是也有同样的感受,对于…

学习JavaEE过程中遇到的各种(奇葩)问题

学习JavaEE过程中遇到的各种(奇葩)问题 问题一: The superclass “javax.servlet.http.HttpServlet” was not found on the Java Build Path 遇到这个问题的时候我尝试在网上找答案按着答案一步步操作。 这是在按着网上答案来的正确流程&a…

奇葩算法系列——猴子排序

首先我们介绍无限猴子定理 无限猴子定理最早是由埃米尔博雷尔在1909年出版的一本谈概率的书籍中提到的,此书中介绍了“打字的猴子”的概念。无限猴子定理是概率论中的柯尔莫哥洛夫的零一律的其中一个命题的例子。大概意思是,如果让一只猴子在打字机上随…

Maven项目中遇到的奇葩问题

场景描述 开发项目搞环境是一个非常蛋疼的问题,总是会遇到各种奇葩的问题,今天就遇到了一个跟Maven有关的。新开发一个项目,从SVN下载下来项目之后,pom.xml中Spring相关的Jar包就一直报如下红叉 后来发现我的maven 中是已经有…

你所遇到过得奇葩的需求

在网上看到大家在谈论碰到过的奇葩需求,看着看着一天的劳累都被欢乐冲散了,特地搜集大家的留言,整理出来,给大家分享一下,希望也能给你的生活添加点乐子,哈哈哈。 0、部门老大:你,做…

PVE7更新AQC107网卡驱动,解决奇葩问题。

背景介绍 前段时间自己组装了一台生产力,期间在TB买了张AQC107的万兆电口网卡,回来后发现在PVE7环境下每次重启或启动后网卡总是没反应或者不会自动协商到10G,拔下来插到win主机上没问题,基本确定是驱动的问题,那么就着…

html文档中引入axios遇到的奇葩问题

html文档中引入axios遇到的奇葩问题 在body中引入代码&#xff1a; <script src"https://unpkg.com/axios/dist/axios.min.js"></script>然后插入一个按钮&#xff1a; <input type"button" value"get请求" class"get&qu…

奇葩问题☞ npm install 报错 gyp ERR

gyp ERR! node -v v16.13.1 gyp ERR! node-gyp -v v3.8.0 gyp ERR! not ok 直接看图吧&#xff0c;咱也是第一次遇见这种错误&#xff0c;怎么办&#xff01;&#xff01;&#xff01; 于是百度了好久&#xff0c;尝试了好几种方法&#xff0c;但都不行。 比如&#xff1a;第一…

奇葩问题 npm install 报错 gyp ERR

gyp ERR! node -v v16.13.1 gyp ERR! node-gyp -v v3.8.0 gyp ERR! not ok 直接看图吧&#xff0c;咱也是第一次遇见这种错误&#xff0c;怎么办&#xff01;&#xff01;&#xff01; 于是百度了好久&#xff0c;尝试了好几种方法&#xff0c;但都不行。 比如&#xff1a;第一…

Java岗大厂面试百日冲刺 - 日积月累,每日三题【Day18】—— 奇葩问题合集

大家好&#xff0c;我是陈哈哈&#xff0c;北漂五年。认识我的朋友们知道&#xff0c;我是非科班出身&#xff0c;半路出家&#xff0c;大学也很差&#xff01;这种背景来北漂&#xff0c;你都不知道你会经历什么&#x1f643;&#x1f643;。   连续17天的技术文想必也是快吐…

聊聊机器如何“写“好广告文案?

作者 | 张超 “除非你的广告建立在伟大的创意之上&#xff0c;否则它就像夜航的船&#xff0c;不为人所注意。” —— 大卫奥格威&#xff0c;现代广告业奠基人 01 引子 创意作为一种信息载体&#xff0c;将广告主的营销内容呈现给用户&#xff0c;辅助用户消费决策&#xf…

讨论 | 新浪程序员因加班不在现场错失年会头奖,公司应该给吗?

又到了一年一度晒年终奖&#xff0c;拉仇恨的时候了&#xff0c;作为互联网公司&#xff0c;年会已成为每年的例行是项目。就在昨天刚刚结束的新浪年会上&#xff0c;有位程序员因为在公司上线合并代码&#xff0c;没有到现场&#xff0c;错失了拿头奖的机会。头奖2000股新浪股…

码农犯错导致多人赢取头奖,麦当劳叔叔一笑谅解

IT后台一个技术故障使四个人脱贫&#xff1a;在名为Monopoly的麦当劳大富翁游戏的抽奖活动中&#xff0c;本来设置了两名各10万欧元的头奖。 但开奖四小时后&#xff0c;竟有四个人一起获得头奖。 在11月中旬开始的“麦当劳大富翁”游戏抽奖中&#xff0c;顾客首次通过麦当劳的…

厉害了!数据科学杯:10000名数据科学家参加,清华博士斩获头奖 | GTC 2017

雷锋网【AI科技评论】按&#xff1a;在刚刚过去的2017数据科学杯&#xff08;2017 Data Science Bowl&#xff09;吸引了全球10000名数据科学家参赛&#xff0c;大家在癌症检测算法上各显神通。其中来自清华的两位科学家组成的团队捧得一等奖。此外所有的获奖团队将会在即将到来…

Hash算法总结

1. Hash是什么&#xff0c;它的作用 先举个例子。我们每个活在世上的人&#xff0c;为了能够参与各种社会活动&#xff0c;都需要一个用于识别自己的标志。也许你觉得名字或是身份证就足以代表你这个人&#xff0c;但是这种代表性非常脆弱&#xff0c;因为重名的人很多&#x…

Randao 可证公平随机数(VRF)白皮书

Randao 可证公平随机数白皮书 randao.org September 11, 2017 Abstract Randao 基于区块链技术&#xff0c;提供开源的、去中心化的、社交化的、可证公平的随机数生成服务。Randao 继承了常用随机数发生器的不可控制性及不可预测性&#xff0c;同时具备其所不具有的可参与性及可…

区块链之零知识证明(zk-SNARK从小白到明白)

零知识证明&#xff1a;从小白到明白 如今&#xff0c;知识快餐业发达&#xff0c;区块链这么火的领域自然不会落下。经过一轮轮扫盲&#xff0c;共识、工作量证明、闪电网络等等概念对普罗大众已不再陌生&#xff0c;甚至各种解构、比喻、引申&#xff0c;将术语炒得比本义还…