钓鱼攻击演练方案

一、社工钓鱼技术介绍

利用人的安全意识不足或安全能力不足,实施社会工程学攻击,通过钓鱼邮件或社交平台进行诱骗,是经常使用的社工手段。社工钓鱼攻击主要类型包括:邮件钓鱼、社交钓鱼、二维码钓鱼、鱼叉式钓鱼、水坑钓鱼、电话短信钓鱼、Wifi钓鱼、U盘钓鱼等方式,目前邮件钓鱼和社交钓鱼是成本最且攻击成功率较高的方式。

电子邮件钓鱼

钓鱼邮件是最经常被使用的攻击手段之一。钓鱼邮件利用伪装的电子邮件,欺骗受害者的账号密码等信息回复给指定的接受者;或者引导受害者点击攻击者特制的站点,这些站点通常会伪装成真实网站一样,让受害者输入某登录系统的账号密码等。

例如:通过社工钓鱼或漏洞利用等手段盗取某些安全意识不足的员工邮箱账号;再通过盗取的邮箱,向该单位的其他员工或系统管理员发送钓鱼邮件,骗取账号密码或投放木马程序。由于钓鱼邮件来自内部邮箱,“可信度”极高,所以,即便是安全意识较强的IT人员或管理员,也很容易被诱骗点开邮件中的钓鱼链接或木马附件,进而导致关键终端被控,甚至整个网络沦陷。

社交场景钓鱼

社交场景钓鱼也是一种常用的社工手法,攻击方会通过单人或多人配合的方式,通过在线客服平台、社交软件平台等给法务人员发律师函,给人力资源人员发简历,给销售人员发送采购需求等,都是比较常用的社工方法。

例如:向客户人员进行虚假的问题反馈或投诉,设局诱使或迫使客服人员接受经过精心设计的带毒文件或带毒压缩包。一旦客户人员的心理防线被突破,打开了带毒文件或压缩包,客服人员的电脑就会成为攻击队打入内网的一个“立足点”。

二、评估指标

网络钓鱼中招率,表示员工收到钓鱼邮箱后,做出点击链接,扫描二维码和下载附件等危险操作的倾向。

一个企业的整体网络钓鱼中招率,表示有多少员工可能因社会工程或网络钓鱼受骗,从而进一步泄露个人或者公司的敏感信息。较高的网络钓鱼中招率表示企业内部存在更大的风险,因为它通常反映了会有更多的员工做出危险操作。较低的网络钓鱼中招率表明员工网络安全意识较强,并了解如何识别社会工程或网络钓鱼特征,避免做出危险的尝试。

三、评估技术

●邮件链接:一封敦促收件人单击嵌入链接的电子邮件。

●数据输入:一封带有自定义登录页链接的电子邮件,可诱使员工输入敏感信息。

●恶意附件:通过发送电子邮件来训练员工识别恶意附件,各种格式的看似合法的附件。

●高度个性化:通过使用有关特定已知细节模拟高级社会工程策略。

四、评估方法

●摸底阶段:第一次做钓鱼邮件演练,监测公司员工在钓鱼基准测试中的表现,并用 网络钓鱼中招率 量化呈现数据。

●演练阶段:经过安全意识培训后,再次对公司员工在钓鱼邮件测试中的表现进行监测,观察比较基准测试和网络安全意识培训后的演练在 网络钓鱼中招率 数据上的变化。

●总结阶段:经过持续的安全意识培训和模拟网络钓鱼测试,我们选取一年后的时间节点进行钓鱼测试,检验员工安全意识和技能经过一年时间的提升情况。

钓鱼邮件测试主要流程

序号 阶段 操作
1 需求规划 ●钓鱼场景 ●参加人员范围 ●邮件模板制定
2 服务器和域名准备 ●购买服务器(搭建邮件服务器、配置SPF和DKIM) ●购买域名(配置DNS解析)
3 钓鱼页面制作 ●爬取目标站点前端代码 ●调试前端代码,部署至服务器
4 邮件模板制作 ●与测试部门沟通确定邮件模板
5 人员名单获取 ●通过脚本爬取 ●通过联系相关部门提供
6 发送钓鱼邮件 ●发送成功/失败 ●尝试绕过防护
7 统计测试数据 ●分析统计数据 ●输出测试报告