电子邮件网络钓鱼

近期，公司正准备模拟一个邮箱钓鱼来判断公司员工的整体安全意识。本来以为是很简单的事情，但是在实现的过程中遇到了各种问题。简单记录一下，供大家参考。同时，如果您对邮箱钓鱼有什么好的想法（操作），欢迎前来讨论。

0x01 什么是邮箱钓鱼？

首先，我们来谈谈什么是电子邮件钓鱼。以下是百度百科的解释：“钓鱼邮件是指利用伪装的电子邮件，诱骗收件人回复指定收件人的帐号、密码等信息；或引导收件人连接特制网页，通常是伪装的，和真实的网站一样，比如银行或理财网页，让注册人信以为真，输入信用卡或银行卡号、账户名和密码等被盗。” 将其发送给受害者，然后诱使受害者单击并输入自己的敏感信息。

0x02 设计钓鱼场景

这一步非常有用，可以说直接影响到我们整个钓鱼活动的成败。钓鱼场景一定要结合公司的实际情况，所以要提前做好一些基础的信息采集工作。例如，哪些供应商是公司的内容，公司使用哪些办公软件工作邮箱收到勒索邮件，个人喜好等等。总之，尽可能收集各种信息，然后根据这些信息设计一个合适的场景。常见场景如下：1）冒充公司员工，如IT相关的OA升级、网络升级、HR相关的员工福利等。

2） 冒充公司供应商，如IT设备供应商升级设备、信息通知邮件等。

3）个人相关，如银行通知、个人喜好（需要对员工有足够的了解）

我们想进行大规模的网络钓鱼，所以我们选择冒充公司内部员工。我们选择了最成熟的方案，即邮箱数据迁移。这是我们的简单模板：

尊敬的员工工作邮箱收到勒索邮件，各位： 由于公司邮箱密码泄露，拟对公司公司邮箱进行迁移。请扫描下方二维码进行注册。

0x03 设计钓鱼网站

设计完场景，就该开始设计相应的钓鱼网站了。钓鱼网站要与你想要的场景相对应，这样才能更真实，不引起别人的怀疑。

为了让网站更真实，我们需要解决浏览器显示的域名问题。我们使用以下两种方法：

1）申请一个与贵公司域名相似的域名进行伪装。如果您公司的域名是lala.com，您可以申请一个la1a.com域名。这样一不仔细看，就会被认为是公司内部域名，降低了对员工的保护。

2）也可以让员工扫描二维码。部分手机用微信浏览器访问二维码时不会显示域名，也可以起到一定的变相作用。

0x04 生成钓鱼邮件并发送钓鱼邮件

发送钓鱼网站一般有以下三种方式：

1）通过 URL 进行网络钓鱼最常见的方法是伪装链接。

2）通过二维码，比url方式更隐蔽，不会直接显示链接。

3）通过恶意文件，引诱点击运行。现在公司电脑一般都装有杀毒软件，所以一定要找一款免杀的。

您可以根据自己的需要选择合适的方法。

既然场景和钓鱼网站都准备好了，下一步就是根据设计的场景和网站生成钓鱼邮件。在编写和发送钓鱼邮件的过程中遇到的一个很严重的问题是，如果发件人是非公司邮箱，就会显示发件人的邮箱。这样员工看到发件人邮箱后就会更加警惕，导致钓鱼失败。

这可以通过伪造电子邮件地址和申请类似的域名来解决。

1）邮件伪造我们先来看看邮箱伪造的原理：在邮件服务商之间转发邮件不需要认证，这是由SMTP协议本身定义的。也就是说，在MTA和MTA之间转发邮件时不需要认证。我们通常要登录才能发邮件（常用的邮件工具叫MUA，比如foxmail等），这是因为邮件服务商有要求，这个不是SMTP协议本身要求的，而SMTP协议本身不需要身份验证。. 通过这种方式，我们可以伪造任何发件人的电子邮件。如下所示：

由于企业安全级别的提高，邮箱伪造的问题也有所限制。中国最常用的方法是SPF。虽然伪造者可以伪造您的域名，但他们无法控制您域名的 DNS 解析记录。因为只有拥有域名账户的权限才能更改解析记录。解析到你的域名的IP是1.1.1.1，而伪造者的IP是2.2.2.2。如果我可以声明告诉邮件收件人，我的域名发送的邮件ip都是1.1.1.1，其他都是假的，可以丢弃，那么可以避免电子邮件伪造。说白了，SPF就是域名解析记录中的一个txt记录。

因此，这种方法不一定有用。您可以通过 dig 或 nslookup 检查是否设置了 SPF。

2）申请类似域名

这和设计钓鱼网站的时候一样，我们可以通过申请一个类似的域名来造假

3）通过设置空格或其他不可显示字符使发件人邮箱不显示

在发件人地址中设置足够长的空白字符，这样通过客户端查看邮箱时，可能看不到真实的邮箱地址，而只能看到前面的发件人姓名。这应该提前测试。

0x05 统计与总结

接下来就是等鱼上钩了，最后的结论是少不了的。

通过这次钓鱼演练，我发现虽然我一再强调不要点击邮件中的链接，但还是有很多人被抓。总之，此次演练的目的是提高员工的安全意识。在实际工作中，仍需加强对此类攻击的防范。

作者：Notadmin，文章转载于FreeBuf.COM

• 过去的精选

点击下方关注，发现更多精彩！

原文源自微信公众号（银河护卫队超级）：关于邮箱钓鱼的那些事