=================
免责声明:希望大家以遵守《网络安全法》相关法律,本团队发表此文章仅用于研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本团队无关。
=================
什么是邮件钓鱼?邮件钓鱼即为将我们精心设计的一个钓鱼页面或者木马文件发送给受害人,然后引诱目标用户点击恶意文件或输入自己的敏感信息。而目前最常见的仍然是邮件钓鱼的方式,通过一些五花八门的样本制作手段,让人防不胜防;常见的钓鱼方式还有WiFi钓鱼,二维码钓鱼,外设钓鱼,伪基站钓鱼,社交工具钓鱼等。
邮箱钓鱼,用钓鱼的方式可以简单区分为链接钓鱼和附件钓鱼:
链接钓鱼:攻击者在邮件中嵌入钓鱼链接,引导鱼单击链接直接指向虚假钓鱼网站或链接。
附件钓鱼:攻击者将病毒等保存在附件中。常见附件为PDF、Doc、Excel、md等形式的附件。
1. 钓鱼平台搭建
(1)Gophish是一个功能强大的开源网络钓鱼框架,平台联动邮件服务器可以做到对邮件的统筹下发,有关于gophish钓鱼平台及ewomail邮件服务器的搭建及使用,团队小伙伴已经进行详细的记录,烦请移步查阅,此处不再一一介绍。
此外,除上述Gophish平台外,还有SET、Phishing Frenzy等开源平台及Rapid7、ThreaatSim、PhishMe、PhishLine等商业付费平台可以尝试。
2.钓鱼页面构建
钓鱼页面不作为重点内容,根据个人需求来订制,主要目的还是通过诱导目标点击邮箱附件从而达到预期目的,钓鱼页面相关只做简单介绍。
(1)使用cobaltstrike clone页面
点击Attacks---Web Drive-by --- Clone site,输入需要克隆的页面
(2)使用Social-Engineer Toolkit进行钓鱼页面构造
sudo ./setoolkit
选择1社会工程学攻击
选择 2) Website Attack Vectors --> 3) Credential Harvester Attack Method --> 2) Site Cloner
此外也可以用SiteCopy进行网站克隆,通过该工具可以将网页上的内容全部保存下来,配合Pricking软件用来做nginx代理,能够记录受害者的账号密码,此处不再展开介绍。
3.邮箱伪造
使用SWAKS伪造(适合没有设置SPF协议)
经过测试,目标很多自建邮箱的单位并未设置SPF协议,使得伪造邮件有机可乘,由于篇幅原因,此处拿已设置spf的邮箱进行演示。
(1)SWAKS伪造并发送邮件
测试是否可以和目标邮箱发送数据
swaks –to [xxxx@xx.com]
如果目标仅配置了SPF,可以尝试如mailgun、sendgrid站点,这些权威邮件服务商,会被大部分邮件服务商加到白名单中,这样他们的邮件就不会进到垃圾箱。
邮箱收集
邮箱地址还是要通过正常的信息收集流程去针对性的查找目标邮箱,以下几个方法可以辅助获得及验证目标邮箱
(1) 通过Subdomainbrute、Layer子域名挖掘机ksubdomain、Oneforall等域名爆破工具,获得目标邮箱域名
(2) https://intelx.io 在线查看是否存在数据泄露信息
(3) https://hunter.io/ 只需要输入公司邮箱后缀(xxx.com),也可以得到相应的邮箱。总的来说真实度还可以。
(4) http://www.skymem.info/ 直接搜索域名,可以获取注册邮箱信息,更适合国外的公司
在通过种种信息手段收集到邮箱之后,我们可以对邮箱进行验证,查询邮箱是否有效
(5) https://mailtester.com/testmail.php 查询邮箱有效性
(6) https://github.com/Tzeross/verifyemail 批量查询邮箱的有效性
钓鱼话术
可以根据实际业务和对象来选择合适的话术,具体案例和钓鱼模板,可以参考团队社工钓鱼模块wiki进行适当的修改http://wiki.tidesec.com/docs/SocialEngin。
参考链接
https://blog.csdn.net/weixin_44257023/article/details/125564308
https://www.zoho.com.cn/mail/help/adminconsole/dkim-configuration.html
