实施网络钓鱼伦理攻击

Question

出于研究目的，我在我的机构里进行了一次合乎道德的网络钓鱼攻击。我也得到了机构的许可。我已经创建了钓鱼网站和电子邮件内容，我将记录谁和多少用户访问钓鱼网站。我打算发送到一个钓鱼网站的电子邮件，如这链接。

我在哪里托管这个网站，如何发送这封电子邮件？

我看过一些免费的托管网站。电子邮件提供商会给这样的免费托管网站低声誉吗？

此外，对于发送电子邮件，我应该选择流行的电子邮件服务提供商，如gmail，hotmail，还是我应该使用一次性电子邮件？什么将增加电子邮件到达用户的机会？

Answer 1

在某种程度上，这个问题是，“如何让我的网络钓鱼邮件通过垃圾邮件检测？”我们共享的任何技巧也可能被实际的攻击者使用，而可交付性并不是您时间的最佳利用。相反，配置您的发送基础结构以绕过威胁检测，这样您的测试就不会在任何垃圾邮件筛选器中运行。

最简单的解决方案是使用著名的测试机构，如Cofense PhishMe、袋熊或KnowBe4，他们将完成繁重的工作，并带领您完成剩下的工作。如果你有一个很小的预算和/或如果这是一个学生项目的一部分，这可能是不理想的。

一个好的内部钓鱼测试必须

获得许可：

• 得到执行或董事的批准，而不仅仅是IT或工程部
• 相关的信息和网络操作团队应该在这个测试中签字。

使用外部服务器：

• 从外部IP地址范围发送测试
• Allowlist:绕过测试发送IP的反垃圾邮件扫描(S)

在其标题中将自己标识为网络钓鱼测试：

• 为升级添加一个包含联系人信息的X-PHISHTEST标头
• 保留此指示符可使安全组安全地忽略报告。

X-PHISHTEST报头在一些垃圾邮件检测解决方案中触发“钓鱼攻击”判决，并防止报告的钓鱼报告的“自由传球”干扰真正的攻击检测。请注意上述允许列表的必要性。

有一个好的着陆地点：

• 考虑像<institution>-support.com这样的虚荣心域
• 在链接的查询字符串中嵌入每个用户地址
• 记录用户的点击和他们为您的报告单击的IP
• 告诉用户他们落入你的陷阱，并教育他们。
• 链接或主机内容类似于APWG's Stop.Think.Connect。
• 在文档根目录或没有查询string的情况下显示测试，以便安全研究人员能够理解您的意图。

不好的钓鱼测试

• 会给测试人员的管理带来麻烦
• 会使更大的帐户暂停
• 可能会被捕获为垃圾邮件，因此达不到目标。
• 有烦人的风险，但却没有教育用户
• 将反垃圾邮件过滤器训练成网络钓鱼。

回答您的具体问题

我在哪里托管这个网站，如何发送这封电子邮件？

只要你遵循上述关于一个好的测试和一个好的着陆点的规则，你就不会遇到问题。如前所述，在进行此测试之前提醒您的网络运营商(包括您的网络托管公司)是个好主意。

我看过一些免费的托管网站。电子邮件提供商会给这样的免费托管网站低声誉吗？

您可能指的是垃圾邮件检测系统，它现在非常复杂，尽可能多地引入元数据，并将其与许多秘密酱汁和机器学习结合起来。你真的想要绕过垃圾邮件检测的允许列表。客户端反垃圾邮件很少有足够的力量来区分你所担心的方式。

此外，对于发送电子邮件，我应该选择流行的电子邮件服务提供商，如gmail，hotmail，还是我应该使用一次性电子邮件？什么将增加电子邮件到达用户的机会？

再次，你需要绕过反垃圾邮件，在这一点上，这并不重要。像<institution>-support.com这样的廉价虚荣心域可能具有在您的提供商托管环境中发送的能力。

我认为GMail和Hotmail是一次性的。许多渗透测试都会注册像<institution>-support@gmail.com这样的帐户，并使用<institution> Support这样的显示名称(这是移动电子邮件客户端显示的唯一功能)。

Answer 2

首先，有几种服务提供钓鱼测试-例如PhishMe。你的帖子暗示你的技术水平很低，这意味着你应该考虑使用其中的一种，而不是自己的。

链接方面，我会再次尝试使用一个看起来逼真的域。如果您有内部DNS，那么您可以将用户指向这一点，而无需实际支付注册名称的费用。如果将ID注入到链接中，则可以将单击该ID的用户映射回最终用户(nonexistanteventscompany.com/event/ab3fd4?invitee=[user@company.com])。

就主机而言，这可以在几乎所有您可以DNS地址到的机器上运行--只是一个基本的web服务器，它从数据库中的链接中记录ID (可能只是一个Python脚本)。