本文作者:0x584A(信安之路作者团队成员)
今天是入职甲方公司做信息安全的第一个月,给我的感觉就是新鲜,思考及关注的面和做白帽子挖漏洞完全不一样。
上周在写面向公司人员的安全意识培训材料,就邮件钓鱼实际演练了一波,效果还是有的。
很多企业内部的安全部门,都会不定期的对员工进行邮件钓鱼,这是加深安全意识最有效的方法。
我这里利用的是 cobalt strike
里的 Clone site
功能,最终克隆公司内部的 HR 系统。
示例:
我这里是偷懒了,图快速的方便,反复尝试后才成功克隆 HR 系统并键盘监听成功。建议还是自建 WEB 页面用于钓鱼,CS 在这里存在很多的不便和 BUG,比如克隆某邮箱登录页面,键盘监听失效等。
成后的页面:
这里可有朋友注意到了,请求的域名为什么和你设置的 Local Host
、Local Port
不一样?
其实正常 Clone site
配置完后,请求的路径为
http://47.**.**.173:98/s****.php
而我上图中的地址为
http://test.cn.jgeek.cn/s****.php
我这里是利用 NGINX 反代来实现的。
第一步,在域名解析中增加你要邮件钓鱼的目标域名,让其看起来更加真实。
第二步,设置 NGINX 反代
这样我们访问
http://test.cn.jgeek.cn/
的时候,实际上是
http://47.**.**.173:98
最终我们构造好邮件发出即可。
这种钓鱼邮件的攻击,只要大家养成对风险感知就可以规避大部分情况。
我这还算比较温和的,向下面几种你会中招吗?