这周接到客户要求,组织一次钓鱼演练,要求是发送钓鱼邮件钓取用户账号及个人信息。用户提交后,跳转至警告界面,以此来提高客户单位针对钓鱼邮件的防范意识。
与客户沟通后得知他们企业内部是由邮箱网关的,那么就意味着大批量将钓鱼邮件发送至目标邮箱中是难以做到的,但沟通后客户同意将我报备的IP和域名添加进白名单,这样能解决邮件能否成功接收这一大难题了。因此这里使用gophish进行钓鱼邮件演练,使用该工具的好处在于:
-
可以快速部署一次钓鱼行动
-
获取到的数据信息很直观,UI交互合理
此外还需要我们做好如下两个准备。
前期准备:
1.域名申请
这里使用的是godaddy来申请的域名。域名选择上尽量选择与客户域名相似。例如Think.com可以考虑使用Thlnk.com、Th1nk.com来掩人耳目,或者使用IDN伪造域名手段。
IDN伪造域名手段
这里浅析一下该手段:
早期的DNS(Domain Name System)是只支持英文域名解析。在IDNs(国际化域名Internationalized Domain Names)推出以后,为了保证兼容以前的DNS,所以,对IDNs进行punycode转码,转码后的punycode就由26个字母+10个数字,还有“-”组成。
其实就是将unicode编码转化成Punycode,而转换后的Punycode在浏览器中显示的是unicode编码后的字符。
如我们想有个тhink.com
域名,可以申请xn--hink-p6d.com
。
这里推荐使用网站直接转换:https://www.cha127.com/cndm/?decoded=&encode=Encode+>>
但不同浏览器在针对IDN域名伪造这个手段上,有不同的防护策略。火狐中并未对IDN伪造进行防护,因此如https://www.xn--80ak6aa92e.com/
这个域名,就显示的是https://www.аррӏе.com/
。
而谷歌会先弹出访问警告,忽略警告后访问后仍显示的是https://www.xn--80ak6aa92e.com/
edge同谷歌一样,虽然不警告,但最后显示的也是https://www.xn--80ak6aa92e.com/
。
但如果仅想为邮箱服务器搞个域名,可以直接使用申请 тhink.com
。这种类似字符可以在wiki中找到:https://zh.wikipedia.org/wiki/Unicode字符列表
2.服务器
服务器选择上需要注意以下3点
-
配置