企业人员安全意识之邮件钓鱼

本文作者: 0x584A (信安之路作者团队成员)

今天是入职甲方公司做信息安全的第一个月,给我的感觉就是新鲜,思考及关注的面和做白帽子挖漏洞完全不一样。

上周在写面向公司人员的安全意识培训材料,就邮件钓鱼实际演练了一波,效果还是有的。

很多企业内部的安全部门,都会不定期的对员工进行邮件钓鱼,这是加深安全意识最有效的方法。

构建钓鱼页面

我这里利用的是 cobalt strike 里的 Clone site 功能,最终克隆公司内部的 HR 系统。

示例

我这里是偷懒了,图快速的方便,反复尝试后才成功克隆 HR 系统并键盘监听成功。建议还是自建 WEB 页面用于钓鱼,CS 在这里存在很多的不便和 BUG,比如克隆某邮箱登录页面,键盘监听失效等。

成后的页面

这里可有朋友注意到了,请求的域名为什么和你设置的 Local HostLocal Port 不一样?

其实正常 Clone site 配置完后,请求的路径为

http://47.**.**.173:98/s****.php

而我上图中的地址为

http://test.cn.jgeek.cn/s****.php

我这里是利用 NGINX 反代来实现的。

第一步 ,在域名解析中增加你要邮件钓鱼的目标域名,让其看起来更加真实。

第二步 ,设置 NGINX 反代

这样我们访问

http://test.cn.jgeek.cn/

的时候,实际上是

http://47.**.**.173:98

最终我们构造好邮件发出即可。

防范意识

这种钓鱼邮件的攻击,只要大家养成对风险感知就可以规避大部分情况。

  • 看发件人地址。(一般企业邮箱都会高亮提醒发件人邮箱是否为公司员工的身份提示)
  • 看正文内容。(对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候的邮件应保持警惕。链接地址一定要仔细识别一次。)
  • 附件内容要留意。(如 exe/vbs/Word/PDF/zip/rar 等不要随意打开)

我这还算比较温和的,向下面几种你会中招吗?

image

image

image