实战攻防
社工实验:邮件钓鱼
2019-01-16 10:15

数据泄露事件与社会工程学事件和鱼叉式网络钓鱼攻击有关。网络钓鱼攻击通常是电子邮件钓鱼,然后骗取受害者点击恶意链接,最后使用恶意的漏洞Payload攻击受害者计算机。

而apt的概念是高级持续性威胁,关于邮件钓鱼是针对性地了解员工的兴趣爱好,看他社交应用感兴趣的内容,或者是每个员工都关心的关于薪资的邮件内容,然后把恶意文件作为附件发送,这样钓鱼成功几率会大大提升。

钓鱼邮件指利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。

通常钓鱼邮件会使用自建邮件服务器批量发送垃圾邮件,抛大网,总会有一两个上当的,并且会附带来源邮件地址的欺骗,对此,收到陌生邮件或者钓鱼邮件时,我们可以从分析邮件头内容获取到重要信息,来判断钓鱼者的攻击手法。

钓鱼邮件中经常会使用一些短语:

确认您的账户

企业不会要求您通过电子邮件发送密码、登录信息或用户名、社会保障号或其他个人信息。

如果您收到来自任何其他公司的电子邮件,要求您更新您的信用卡信息,不要回复:这是网络钓鱼诈骗。

“您赢得了抽奖”

抽奖诈骗是常见的网络钓鱼诈骗,也称预付款欺诈。最常见的预付款欺诈之一是声称您赢得巨额奖金的消息,或者某个人将向您支付巨额金钱,而您只需付出很少,或无需付出任何代价。抽奖诈骗经常引用大公司,或者大的媒体节目栏目组等等。

“如果您不在48小时内回复,您的帐户将被关闭”。
这些消息传达了紧迫性,因此您将会不假思索地立即回复。网络钓鱼电子邮件甚至可能会声称,需要您的回复是因为您的帐户可能已经被泄露。

在合天网安实验室找到了邮件钓鱼实验环境:www.hetianlab.com,搜索apt之邮件钓鱼。

首先,拓扑是这样的:

微信图片_20190116103854.jpg

服务器:window2003,IP地址: 10.1.1.188

邮件服务器绑定域名mail.heetian.com;邮件钓鱼服务器绑定域名www.hack.com

安装mysql,hmailserver,IIS

操作主机:Win2003, IP地址:随机

如果在实战,重点肯定是邮件服务器与钓鱼WEB服务器搭建的,但这个实验重在体验,做简单演示,只享受钓鱼的过程。采用hmailserver,可以快速构建邮件服务器,并且已经已经提前搭建好mysql服务器。mysql登录口令为root:adsl!)@$

登录10.1.1.188服务器后,hmailserver已经安装好,管理口令为888888,并且配置了两个帐号,hr@heetian.comadmin@heetian.comhr@heetian.com的帐号里已经默认收到一份钓鱼邮件。

首先我们来到搭建的邮件服务器给自己创建个用户,在工具》账户》添加

微信图片_20190116104017.jpg

微信图片_20190116104039.jpg

填好服务器的地址和密码,点击“我的服务要求身份验证”。

微信图片_20190116104131.jpg

(实战中接着就构造钓鱼邮件,搭好钓鱼网站)实验中已经发送到邮箱了。我们先来看下正常的网站时这样的。

微信图片_20190116104226.jpg

钓鱼页面的网站是下面这样的,唯一的差别就是域名不一样。如果缺乏安全意识的人员就会在上面输入账号密码,

微信图片_20190116104312.jpg

输入密码的按登陆的时候,就会弹出一个空白页面。

微信图片_20190116104357.png

接着就是模拟攻击者的步骤了。去到攻击者搭建好的后台,已经接收到受害者在钓鱼页面请求的用户名和密码了。

微信图片_20190116104439.png

整个实验过程结束了,所以回顾一下整个过程。

1.攻击者搭好邮件服务器,钓鱼网站。

2.攻击者发送精心构造的钓鱼邮件

3.受害者点击邮件里的链接

4.攻击者接收受害者的密码

根据这个实验案例给大家温馨提示一下,收到邮件时要注意一下几点:

1.看发件人地址。如果是公务邮件,发件人多数会使用工作邮箱,如果发现对方使用的是个人邮箱帐号或者邮箱账号拼写很奇怪,那么就需要提高警惕。钓鱼邮件的发件人地址经常会进行伪造,比如伪造成本单位域名的邮箱账号或者系统管理员账号。

2.看正文目的。当心对方索要登录密码,一般正规的发件人所发送的邮件是不会索要收件人的邮箱登录账号和密码的,所以在收到邮件后要留意此类要求避免上当。

3.不要轻信发件人地址中显示的“显示名”。因为显示名实际上是可以随便设置的,要注意阅读发件邮箱全称。

4.不要轻易点开陌生邮件中的链接。正文中如果有链接地址,切忌直接打开,大量的钓鱼邮件使用短链接(例如http://t.cn/zWU7f71)或带链接的文字来迷惑用户。如果接到的邮件是邮箱升级、邮箱停用等办公信息通知类邮件,在点开链接时,还应认真比对链接中的网址是否为单位网址,如果不是,则可能为钓鱼邮件。

5.不要放松对“熟人”邮件的警惕。攻击者常常会利用攻陷的组织内成员邮箱发送钓鱼邮件,如果收到了来自信任的朋友或者同事的邮件,你对邮件内容表示怀疑,可直接拨打电话向其核实。





本文仅用于普及网络安全知识,提高小伙伴的安全意识的同时介绍常见漏洞的特征等,若读者因此做出危害网络安全的行为后果自负,与合天智汇以及原作者无关,特此声明。本文为原创文章,转载请注明出处!

上一篇:当骗子利用漏洞诈骗……
下一篇:没错...又拿到教务系统最高权限了
版权所有 合天智汇信息技术有限公司 2013-2018 湘ICP备14001562号-6
Copyright © 2013-2018 Heetian Corporation, All rights reserved
4006-123-731