如何伪造一封合格的钓鱼邮件

本文分享了一次钓鱼邮件测试活动的经验,包括如何制作逼真的钓鱼邮件、选择最佳发送时间及目标人群等。揭示了钓鱼邮件背后的攻防知识和技术细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

有幸参与了公司安全周之钓鱼邮件的策划与开发,虽然持续时间很短,但收获较大,主动点击邮件链接的人数超过了20%,主动提交密码的也超过了7%,说明提高安全意识之路还任重道远,更重要的是,从小伙伴的反馈中,钓鱼邮件要想达到合格,还有很多可以提高的地方。

1. 必须满足的条件

  1. 必须能够顺利穿越反垃圾邮件防火墙,含邮件内容与邮件标题;
  2. 图片一定要高清,并且能自动适应所有邮件客户端;
  3. 邮件发送地址一定要有高度相似性,并且要采用别人熟悉的别名;
  4. 钓鱼地址尽可能采用域名,并于大家熟悉的域名具有相似性,如com与cn、gov与gov.cn;
  5. 钓鱼地址尽可能拟真化,最好还带有点可读性,如“changePass/[MD5]”串;
  6. 钓鱼页面一定要高度相似性,最好能直接扒下所有的样式;

2. 最难的条件

最困难的地方来自于阅读习惯与企业文化,要想模拟得高保真,达到A货的级别,那么行文风格、布局、落款、签名、LOGO、主题都是需要仔细打磨的地方,细节打磨得越逼真,那么中招的人将成倍增加。

说它最困难,是因为这方面的资料很少外泄,所以如果内外结合的话,或者平时注意收集,那么企业内部中招的可能性极高。

习惯性的惯性是难以抵抗的,这是人性的盲区,从我们的测试来看,大部分的人都是习惯性的点击与提交数据。

3. 技术的选择

很惊讶,从事后反馈来看,很多人看出钓鱼邮件是否伪造竟然来自于技术的成熟性,如下:
1. 静态资源的缓存;
2. 服务的响应速度;
3. 错误处理;
4. 业务逻辑判断的真实性;
5. REST地址的合理性;
6. 服务的安全性,是否启用了证书;
简单总结一句,模拟的场景越贴近现实,越容易使人上当,因为大部分的人都会这么想——怎么会可能花费这么大的时间与精力来完成一封钓鱼邮件。所以,你的工作做得越多,你的回报越多。

4. 时间的选择

从我们的测试数据来看,13点的上当人数远远超过14点以后的上当人数,这说明在人中午犯困时,上当的机遇远远高于头脑清醒时,清闲时的中招概率远远大于忙碌时的概率。

5. 人员的选择

这是最令我们诧异的地方,中招的人绝大部分来自于研发部分,如大数据部门、平台技术部、信息安全部、基础架构部,相反市场、业务、人力部门中招人数较少,什么原因呢?这难道就是传说中的灯下黑,还是阅历决定了判断力?

6. 手机客户端

从统计结果来看,使用手机客户端的占比越来越高,而且转化率极高,这是以后发展的重点,结合二维码使用,或许能取得更惊人的效果。

7. 嚣张的回馈

有很少一部分邮件还进行了回复,并且破口大骂,这让我们轻易从他的签名中拿到了需要的敏感信息,如手机号码、部门、职务等。这让我产生了一个想法,是不是也可以故意露出一个破绽,吸引这些人出手呢?计中计,能行吗?

结论

一封钓鱼邮件涉及到了很多攻防知识与细节,只要打磨得巧妙,出现合理的时间与空间上,一定简单而有效。

### 钓鱼邮件伪造技术 攻击者通常通过修改邮件头部的“发件人”地址来实现邮件地址的伪造,从而使接收方误以为邮件来自合法的域名或邮箱地址[^2]。这种行为可能涉及伪装成公司内部人员、合作伙伴或其他可信实体,以增加欺骗的成功率。 除了伪造发件人地址外,攻击者还可能利用社会工程学手段,设计具有迷惑性的邮件内容和主题,诱导收件人点击恶意链接或下载附件。这些链接可能会重定向到虚假网站,要求用户提供敏感信息,如密码或信用卡号[^3]。 ### 防范钓鱼邮件的技术与策略 #### 1. 发件人验证 通过检查发件人的邮箱地址是否异常,可以初步判断邮件的真实性。例如,在公务场景下,如果收到一封声称来自某公司的邮件,但其发件人地址却是免费邮箱服务提供商(如Gmail或Yahoo),则应保持高度警惕[^4]。 此外,还可以关注发件人名称是否存在细微差异,例如将字母替换为外观相似的字符(如用数字“0”代替字母“O”)。这类细节往往是区分真实邮件伪造邮件的关键线索。 #### 2. 使用邮件安全认证技术 为了防止邮件被篡改或冒充,企业可部署SPF(Sender Policy Framework)、DKIM(DomainKeys Identified Mail)以及DMARC(Domain-based Message Authentication, Reporting & Conformance)等协议。这些技术能够有效减少未经授权发送邮件的可能性,并帮助收件服务器验证邮件来源的合法性[^1]。 #### 3. 用户教育与意识提升 定期开展员工培训课程,增强他们对潜在威胁的认知水平至关重要。具体而言,教导用户如何辨别可疑迹象——包括但不限于不寻常的语言风格、紧急催促语气或是请求提供机密资料的行为模式——有助于降低上当受骗的概率。 ```python import re def check_sender_email(email_address): """简单函数用于检测发件人邮箱是否属于公共域""" public_domains = ['gmail.com', 'yahoo.com', 'hotmail.com'] domain = email_address.split('@')[-1].lower() if any(domain.endswith(d) for d in public_domains): return True # 可能存在风险 else: return False # 较为安全 example_email = "admin@company.corp" result = check_sender_email(example_email) print(f"Is the sender's address suspicious? {result}") ``` 上述脚本展示了一个基本的方法去评估某个给定电子信箱是否源自公用平台;返回值`True`表示该账户可能存在安全隐患需进一步审查。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值