企业钓鱼攻击演练方案(2)
时间:2023-02-28 15:30 来源:网络整理 作者:默认发布 点击:次
附件伪造通常会通过伪装成Office文档,在文档中嵌入宏脚本或其他链接,诱导访问者进行执行或点击,从而获得相关的访问者信息。 邮件钓鱼流程 钓鱼邮件的发送时间通常在上班期间,尤其是刚刚上班或午休之后等员工刚刚进入工作状态。 邮件内容需要考虑到: 邮件内容的设备兼容性(包括PC/Mac/Web/App); 标题和内容具备足够的迷惑性; 发件人需要具备一定的迷惑性,比如人事部门; 页面链接或附件链接需要具备唯一token用于统计点击人员; 页面内容需要结合企业自身和热点新闻进行设计,比如邮箱账户信息收集; 钓鱼Wi-Fi 钓鱼Wi-Fi是在受众群体所在的场合设立伪造的Wi-Fi热点,欺骗受众连接伪造的Wi-Fi热点上网,并从热点的设备信息和设备流量获取相关的访问者信息。 与Wi-Fi攻击不同,钓鱼Wi-Fi不能使用攻击性的技术手段,因此,可选择的技术方式通常只有伪造诱惑性的SSID名称。钓鱼Wi-Fi由于是被动式的,相比钓鱼邮件需要更长的演练时间来获得演练效果。 另外,通过伪造Wi-Fi热点进行设备流量分析,在企业内部已经有设备网络管理的前提下能够更容易通过设备MAC地址识别到员工信息,如果没有,则需要通过流量内容进行分析定位,或者无法定位到具体的员工。 短信钓鱼 短信钓鱼是通过发送短信的方式来进行信息获取,通过发送伪装成银行、社交媒体平台、电子商务等合法机构的短信,诱骗受众点击链接或回复短信,从而窃取受众的敏感信息,如用户名、密码、验证码等,或者诱导受众下载恶意软件。 短信钓鱼与邮件钓鱼类似,发送时间同样需要在员工工作状态进入到高峰期之前,同样需要构造具有诱惑性或诱导性的短信内容和链接,并借助移动端浏览器的特点(屏幕小、地址栏隐藏)构建访问页面,通过表单登记或App下载获得受众的身份信息。 语音钓鱼 语音钓鱼是一种利用电话或语音进行的钓鱼攻击,伪装成个人或机构通过电话或语音诱导受众提供个人信息或进行金融转账等操作。 语音钓鱼受限于VoIP在国内的应用,以及对于社工能力有较高要求,在钓鱼演练中不常使用,结合国内社交软件的环境,比如微信、QQ、微博等,可以通过常用的社交软件或平台进行钓鱼攻击。 除平台不同之外,内容设计与邮件、短信钓鱼类似,需要结合受众特点进行设计,比如女性对于美妆的喜好,男性对于游戏的热爱。与邮件、短信不同,社交钓鱼执行时需要挑选非工作时间,例如晚上20点之后,通过社交平台私信、加好友等方式发送钓鱼信息,从而进一步获得受众的信息。 U盘钓鱼 BadUSB的制作成本低廉,网络平台购买类似硬件的成本不超过5元(通常在2元左右),样本制作过程中会使用到Arduino IDE进行脚本编写,比如执行CMD命令或者执行PowerShell命令,并通过回连上传受众信息。钓鱼演练由于仅为测试员工的信息安全意识,因此脚本编写成本和周期相对低廉和简短。 |
- 上一篇:我为邪帝小说叫什么名字_我为邪帝改编自哪部小说
- 下一篇: 75、高科技密保!洛风是黑客吧?