攻防演练布防工作要点，落实防社工钓鱼宣贯

第一章、概述

攻防演练前下发全体攻防演练动员通知，起草全员通知邮件，告知相关演练的注意事项，包括社工防范、钓鱼、禁止私接WiFi等，落实防社工要求和宣贯工作。

社工钓鱼渠道包括：

1)钓鱼邮件社工

2)电话诱骗社工

3)社交软件社工

4)工单受理社工

5)伪装投诉或举报人社工

6)WiFi社工

7)投放U盘社工

8)近源攻击

第二章、钓鱼邮件社工

1）钓鱼邮件方法

• 通过更改邮件头伪造为企业内部可信发件人，隐藏真实攻击者邮箱账户，发起网络钓鱼攻击。

• 通过伪装成企业内部可信发件人邮箱（比如使用高度相似的邮箱名），发起网络钓鱼攻击。

• 通过预先获得的企业内部可信发件人邮箱，发起网络钓鱼攻击。

2）钓鱼邮件内容常见的特征

通过在邮件附件中发送带有恶意木马样本的文件、恶意链接、二维码来诱导收件人运行可执行文件获取终端权限，访问恶意链接提交自身账号密码等敏感信息。

3）预防邮件钓鱼

对不符合政务单位常见行文风格、内容异常的邮件提高警惕，切勿轻易点击邮件中的exe、zip、rar、html等类型文件，包括政务邮箱与个人邮箱。攻防演练期间未经确认的情况，尽量不使用邮箱，不点击邮箱附件和链接。

第三章、电话诱骗社工

利用信息差，伪装成内部安全管理员或其它职能身份，以配合工作为由诱导电话接听者按照攻击者要求去访问恶意链接地址，下载恶意程序到本地并运行安装。

例如攻防演练期间攻击者伪装成安全管理员给内部员工以保障期间系统或软件升级为由打电话诱使其访问精心构造的恶意网站并下载伪装成安全软件升级包的后门程序，最终导致终端被控。

第四章、社交软件社工

攻击方在脉脉、默默、微信上伪装成求职者找到在工作人员，聊天想入职，然后加社交软件（如微信）把病毒伪装成求职简历发给受害者，受害者直接用手机打不开文件，对方引导用电脑打开，即中病毒远控木马。

第五章、工单受理社工

攻击者伪装成业务办理人员，在业务受理页面上提交恶意文件并通过诱导工单受理人员点击执行，从而获得终端控制权。

例如：演练期间攻击者伪装成客户，在工单系统附件中上传恶意文件，诱导处理人员点击并下载附件，从而导致被钓鱼。

第六章、伪装投诉或举报人社工

攻击者伪装投诉或举报人员，在互联网上查询到相关业务办理人员联系方式，电话沟通递交投诉或举报材料，通过微信提交恶意文件并通过诱导业务受理人员点击执行，从而获得终端控制权。

第七章、WiFi社工

WIFI是一种短距离局域网无线传输技术，数据在传输过程中通常不加密。如果有黑客恶意监听无线路由器上传输的数据，数据将被黑客窃取。

防护要求：

1) 禁止私自架设WIFI热点

• 在办公网络架设无线路由器必须经过批准并进行安全安装；

• WiFi密码必须八位数以上 ，包含大小写、数字和 标点符号 ，定期修改密码。

• 梳理单位无线网边界，关闭不具备安全条件及不必要开启的无线功能，确保攻击方无法利用无线方式对公司发起攻击。

2) 禁止使用WIFI万能钥匙

• 不要使用WIFI万能钥匙之类的产品；

• 当手机和笔记本连上Wi Fi后 ，留意连接到的Wi Fi 热点名称。

3) 禁止使用公共WIFI

• 公共场合连接Wi Fi时请同商家确认好Wi Fi名称；

• 没有密码的公共Wi Fi慎用；

• 使用支付APP时 ，尽量使用运营商的4G/5G网络。

第八章、 U盘防护手段

防护要求：

1）Windows10中，打开“设置”-“ 自动播放”-关闭“在所有媒体和设备上使用自动播放”；

2）使用“U盘助手”的查杀及安全打开功能；即插即用，3、禁止长期接入办公电脑当成电脑磁盘使用;

4）禁止使用移动存储介质存储任何涉密信息;

5）工作U盘和生活U盘分开使用;

6）不使用未知来源的U盘。

第九章、近源攻击

典型线下攻击-近源攻击包括：

1)Wi-Fi 攻击：无线 Wi-Fi 攻击、ARP欺骗、Wi-Fi 钓鱼、无线设备攻击等。

2)物理攻击：门锁攻击、HID 攻击等、废旧纸质文件。

3)人机接口攻击：BadUSB、键盘记录器、HDMI 嗅探等。

4)蓝牙攻击：蓝牙重放攻击、蓝牙 DDoS 攻击、蓝牙 MITM 攻击、蓝牙数据嗅探等。

5)ZigBee 攻击：ZigBee 窃听攻击、ZigBee 密钥攻击等。

6)新型近源攻击：无人机。

7)暴露设备近源攻击：基站、通信基础设施。

Taps:

1）扫描关注微信，设为星标。 2）下载地址：微信公众号回复"dyxg"获取文档下载