有幸参与了公司安全周之钓鱼邮件的策划与开发,虽然持续时间很短,但收获较大,主动点击邮件链接的人数超过了20%,主动提交密码的也超过了7%,说明提高安全意识之路还任重道远,更重要的是,从小伙伴的反馈中,钓鱼邮件要想达到合格,还有很多可以提高的地方。
1. 必须满足的条件
- 必须能够顺利穿越反垃圾邮件防火墙,含邮件内容与邮件标题;
- 图片一定要高清,并且能自动适应所有邮件客户端;
- 邮件发送地址一定要有高度相似性,并且要采用别人熟悉的别名;
- 钓鱼地址尽可能采用域名,并于大家熟悉的域名具有相似性,如com与cn、gov与gov.cn;
- 钓鱼地址尽可能拟真化,最好还带有点可读性,如“changePass/[MD5]”串;
- 钓鱼页面一定要高度相似性,最好能直接扒下所有的样式;
2. 最难的条件
最困难的地方来自于阅读习惯与企业文化,要想模拟得高保真,达到A货的级别,那么行文风格、布局、落款、签名、LOGO、主题都是需要仔细打磨的地方,细节打磨得越逼真,那么中招的人将成倍增加。
说它最困难,是因为这方面的资料很少外泄,所以如果内外结合的话,或者平时注意收集,那么企业内部中招的可能性极高。
习惯性的惯性是难以抵抗的,这是人性的盲区,从我们的测试来看,大部分的人都是习惯性的点击与提交数据。
3. 技术的选择
很惊讶,从事后反馈来看,很多人看出钓鱼邮件是否伪造竟然来自于技术的成熟性,如下:
1. 静态资源的缓存;
2. 服务的响应速度;
3. 错误处理;
4. 业务逻辑判断的真实性;
5. REST地址的合理性;
6. 服务的安全性,是否启用了证书;
简单总结一句,模拟的场景越贴近现实,越容易使人上当,因为大部分的人都会这么想——怎么会可能花费这么大的时间与精力来完成一封钓鱼邮件。所以,你的工作做得越多,你的回报越多。
4. 时间的选择
从我们的测试数据来看,13点的上当人数远远超过14点以后的上当人数,这说明在人中午犯困时,上当的机遇远远高于头脑清醒时,清闲时的中招概率远远大于忙碌时的概率。
5. 人员的选择
这是最令我们诧异的地方,中招的人绝大部分来自于研发部分,如大数据部门、平台技术部、信息安全部、基础架构部,相反市场、业务、人力部门中招人数较少,什么原因呢?这难道就是传说中的灯下黑,还是阅历决定了判断力?
6. 手机客户端
从统计结果来看,使用手机客户端的占比越来越高,而且转化率极高,这是以后发展的重点,结合二维码使用,或许能取得更惊人的效果。
7. 嚣张的回馈
有很少一部分邮件还进行了回复,并且破口大骂,这让我们轻易从他的签名中拿到了需要的敏感信息,如手机号码、部门、职务等。这让我产生了一个想法,是不是也可以故意露出一个破绽,吸引这些人出手呢?计中计,能行吗?
结论
一封钓鱼邮件涉及到了很多攻防知识与细节,只要打磨得巧妙,出现合理的时间与空间上,一定简单而有效。