聲明： 禁止一切非法網(wǎng)絡(luò)釣魚行動，本文章旨在安全分享，僅供安全學習探討，如非法未授權(quán)進行網(wǎng)絡(luò)釣魚，由此引起的責任與后果自行承擔，當你繼續(xù)閱讀下文，即默認同意此聲明！

一、簡介

1.1 前言

??“人是系統(tǒng)中最大的漏洞“，信息安全中，人也是最難避免的安全因素，由此，安全意識也非常重要，定期的仿真釣魚演練在甲方安全工作中難以避免，安全意識的提升還是要靠 ”真槍實彈“ 來解決，讓大家演練起來，參與進來，只有親身經(jīng)歷過才會記憶深刻，不會在一個地方摔多次！本篇文章是筆者憑親身主導完成多次近三萬員工的釣魚演練經(jīng)驗來書寫，旨在分享甲方釣魚演練中的那些經(jīng)驗與快樂！

1.2 整體思路

1.3 演練所需

• 釣魚軟件：gophish（開源網(wǎng)絡(luò)釣魚工具包）
• 云服務器：1臺（如演練人數(shù)過萬，有條件建議兩臺，分別用來搭建釣魚服務器各演練一半人員，容錯率高一些）
• 云服務器建議配置：

• 發(fā)信郵箱
  企業(yè)內(nèi)釣魚演練需要提前和IT部門打好溝通，申請測試郵箱，并且開放白名單，不限制發(fā)信次數(shù)及頻率，缺點就是企業(yè)內(nèi)郵箱過于真實，前兩次釣魚不建議使用企業(yè)內(nèi)郵箱，建議外部，不過一般大型企業(yè)不止一個郵箱后綴，需要跟IT部門確認。

1.4 各郵件廠商日群發(fā)上限

以下是我整理的其它免費郵箱廠商單日發(fā)信頻率上限：

1. Gmail
   普通谷歌郵箱每小時內(nèi)發(fā)送量上限為50封，每天發(fā)送量上限為500封，Gmail Apps（Google for work）限制會放寬很多，試用用戶每天發(fā)送量上限500封，正式用戶每天上限2000封。

2. 網(wǎng)易
   

3. foxmail
   對IP或其他檢測有機制，每天頻率高或者連發(fā)180條以上就錯誤，今日不讓再發(fā)
   

4. 電信21cn
   兩個賬號發(fā)送了61封，暫未有限制
   

5. 126郵箱
   對IP或其他檢測有機制，每天頻率高或者連發(fā)30條以上就錯誤，但是能繼續(xù)retrying，斷斷續(xù)續(xù)發(fā)
   
   

6. sina郵箱
   每天頻率高或者連發(fā)38條以上就錯誤，但是能繼續(xù)retrying，斷斷續(xù)續(xù)發(fā)，后續(xù)賬號每天內(nèi)發(fā)25條，跟IP地址無關(guān)
   

二、釣魚平臺搭建及配置

2.1 gophish平臺搭建

》》github下載gophish：https://github.com/gophish/gophish

》》下載并解壓

》》修改配置文件中監(jiān)聽地址

vi config.json

》》賦予執(zhí)行權(quán)限（略）并使用日志輸出中的用戶名和密碼進行登陸

如果git clone下載，使用源代碼構(gòu)建方式，需要下載Go
》》下載git
yum -y install git
》》下載安裝go
sudo yum install -y epel-release
sudo yum -y install golang
go version
go env -w GOPROXY=https://goproxy.cn,direct
》》go build

》》成功

》》輸入完成需要重置新密碼再行登錄

》》至此，Gophish搭建完成，登陸成功控制臺

2.2 收件目標配置（User & Groups）

用途： 用來添加釣魚對象

》》單個手動添加

》》批量導入添加，下載csv模版，將待釣魚演練的目標郵箱填至郵箱列


》》直接上傳保存

2.3 發(fā)信郵箱配置（Sending Profiles）

用途： 發(fā)信者

Host主機地址

部分郵箱密碼是需要授權(quán)碼，而非密碼！

2.4 郵件模版配置（Email Templates）

用途： 釣魚模板

釣魚模板為釣魚演練的核心之一，應該非常逼真

2.5 釣魚網(wǎng)站配置（Landing Pages）

用途： 釣魚克隆網(wǎng)站

釣魚克隆網(wǎng)站主要是需要克隆輸入用戶名密碼的站點，需要前端開發(fā)能力最好，另一個是仿真域名的購買

2.6 發(fā)件活動配置（Campaigns）

用途： 釣魚任務的創(chuàng)建

2.7 跳轉(zhuǎn)警示網(wǎng)站

在釣魚網(wǎng)站配置頁面設(shè)置警示網(wǎng)站

注意：

1. 站點證書使用SSL證書；
2. 使用標志性詞語，如注意、警惕等，建議更改密碼（避免短時間內(nèi)發(fā)生安全事件后糾紛）。

如：

三、數(shù)據(jù)統(tǒng)計

3.1 統(tǒng)計方法：

3.1.1 后臺文件導出

導出會有兩個CSV文件：

1. Results為和控制面板統(tǒng)計數(shù)據(jù)一致，但不會存在輸入的數(shù)據(jù)！
2. Raw Events數(shù)據(jù)比實際控制面板要多很多，用戶輸入了多次就會有多行（最終統(tǒng)計數(shù)據(jù)使用此文件）！
   

3.1.2 文件整理方法

如果有多個Campaigns就合并到一個文件中 ->選擇篩選，提取出Submitted Data數(shù)值 ->對郵箱進行去重提交（刪除重復項，刪除重復完成后輸入數(shù)據(jù)行數(shù)應該和控制面板中數(shù)值一致） ->人工篩選去掉測試提交數(shù)據(jù)（人家未輸入真實數(shù)據(jù)不屬于上鉤人員，所以最終應少于控制面板中數(shù)）最終應該為以下四個sheet
（文件合并完成我更改了名稱）

3.1.3 人工刪選技巧

當企業(yè)人數(shù)多時難免有大量數(shù)據(jù)需要人工進行刪選，這里分享一些Excel處理時的經(jīng)驗和技巧，根據(jù)導出文件的特征，先曬選處一輪特征密碼（111111、123456等）：
->選擇紅框中的特征：

->數(shù)據(jù) ->曬選 ->文本曬選，輸入特征：

->點擊確定，選擇某列，->右鍵 ->刪除行 ->刪除工作表整行

注意：iphone端輸入無法顯示的也使用此方法：

3.2 注意事項

注：最終數(shù)據(jù)統(tǒng)計跟實際控制面板有偏差！文章來源地址http://www.zghlxwxcb.cn/news/detail-417049.html

1. 演練要通過上級領(lǐng)導郵件審批；
2. 由于代碼問題，可能未輸入數(shù)據(jù)就可提交，導致 “Submitted Data” +1;
3. 手機端輸入的數(shù)據(jù)無法顯示：
   
   (查看后臺確認：)
   
   
4. 為貼近真實數(shù)據(jù)，針對輸入形如密碼123456、111111、111111111、aaaaaa，手機號18888888888、13000000000、17000000001等應該人工曬選出來（具體還要根據(jù)企業(yè)中通訊錄人員信息校對，防止少部分誤刪），避免安排考試后產(chǎn)生矛盾分歧（實際還要根據(jù)自己企業(yè)平臺中是否允許弱密碼和懲罰方式進行判斷）；

四、演練意義

1. 識別人為風險優(yōu)先級，降低安全人為風險；
2. 提升安全意識成熟度，增強網(wǎng)絡(luò)安全意識。

到了這里，關(guān)于甲方安全之仿真釣魚演練（郵件+網(wǎng)站釣魚）的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！