如何伪造一封合格的钓鱼邮件

有幸参与了公司安全周之钓鱼邮件的策划与开发，虽然持续时间很短，但收获较大，主动点击邮件链接的人数超过了20%，主动提交密码的也超过了7%，说明提高安全意识之路还任重道远，更重要的是，从小伙伴的反馈中，钓鱼邮件要想达到合格，还有很多可以提高的地方。

1. 必须满足的条件

1. 必须能够顺利穿越反垃圾邮件防火墙，含邮件内容与邮件标题；
2. 图片一定要高清，并且能自动适应所有邮件客户端；
3. 邮件发送地址一定要有高度相似性，并且要采用别人熟悉的别名；
4. 钓鱼地址尽可能采用域名，并于大家熟悉的域名具有相似性，如com与cn、gov与gov.cn;
5. 钓鱼地址尽可能拟真化，最好还带有点可读性，如“changePass/[MD5]”串；
6. 钓鱼页面一定要高度相似性，最好能直接扒下所有的样式；

2. 最难的条件

最困难的地方来自于阅读习惯与企业文化，要想模拟得高保真，达到A货的级别，那么行文风格、布局、落款、签名、LOGO、主题都是需要仔细打磨的地方，细节打磨得越逼真，那么中招的人将成倍增加。

说它最困难，是因为这方面的资料很少外泄，所以如果内外结合的话，或者平时注意收集，那么企业内部中招的可能性极高。

习惯性的惯性是难以抵抗的，这是人性的盲区，从我们的测试来看，大部分的人都是习惯性的点击与提交数据。

3. 技术的选择

很惊讶，从事后反馈来看，很多人看出钓鱼邮件是否伪造竟然来自于技术的成熟性，如下：
1. 静态资源的缓存；
2. 服务的响应速度；
3. 错误处理；
4. 业务逻辑判断的真实性；
5. REST地址的合理性；
6. 服务的安全性，是否启用了证书；
简单总结一句，模拟的场景越贴近现实，越容易使人上当，因为大部分的人都会这么想——怎么会可能花费这么大的时间与精力来完成一封钓鱼邮件。所以，你的工作做得越多，你的回报越多。

4. 时间的选择

从我们的测试数据来看，13点的上当人数远远超过14点以后的上当人数，这说明在人中午犯困时，上当的机遇远远高于头脑清醒时，清闲时的中招概率远远大于忙碌时的概率。

5. 人员的选择

这是最令我们诧异的地方，中招的人绝大部分来自于研发部分，如大数据部门、平台技术部、信息安全部、基础架构部，相反市场、业务、人力部门中招人数较少，什么原因呢？这难道就是传说中的灯下黑，还是阅历决定了判断力？

6. 手机客户端

从统计结果来看，使用手机客户端的占比越来越高，而且转化率极高，这是以后发展的重点，结合二维码使用，或许能取得更惊人的效果。

7. 嚣张的回馈

有很少一部分邮件还进行了回复，并且破口大骂，这让我们轻易从他的签名中拿到了需要的敏感信息，如手机号码、部门、职务等。这让我产生了一个想法，是不是也可以故意露出一个破绽，吸引这些人出手呢？计中计，能行吗？

结论

一封钓鱼邮件涉及到了很多攻防知识与细节，只要打磨得巧妙，出现合理的时间与空间上，一定简单而有效。