钓鱼攻击全解：技术与实战

概述 (Overview)

钓鱼（Phishing）是一种基于社交工程的网络攻击形式，主要通过电子邮件进行。社交工程是指通过利用人性的心理弱点（如好奇、恐惧、贪婪、助人意愿等）来操纵个体执行特定行为或泄露敏感信息。钓鱼攻击的目的是诱骗受害者泄露个人信息、账户凭证，或在其计算机上执行恶意代码。

钓鱼邮件通常伪装成来自受害者信任的来源，如知名企业、合法机构或已知联系人。邮件内容旨在制造紧迫感、恐惧或诱惑，驱使受害者点击恶意链接、下载并打开附件，或直接回复敏感信息。

钓鱼攻击的类型 (Types of Phishing Attacks)

根据目标的范围和定制程度，钓鱼攻击可以分为几种类型：

• 钓鱼 (Phishing)：针对广泛人群的大规模攻击，邮件内容通常比较通用。
• 鱼叉式钓鱼 (Spear Phishing)：针对特定个人、企业或组织的定制化攻击。邮件内容根据目标的特点（如姓名、职位、公司、兴趣）量身定制，使其更具欺骗性，更难被技术手段（如垃圾邮件过滤器）检测。鱼叉式钓鱼是红队行动中获取初始访问的常用手段。
• 短信钓鱼 (Smishing)：通过短信（SMS）进行的钓鱼攻击。
• 语音钓鱼 (Vishing)：通过电话进行的钓鱼攻击，攻击者可能冒充银行工作人员、技术支持等。

示例场景:

1. 攻击者侦察到目标公司位置及其附近的食品供应商。
2. 发现一家本地饼干店“终极饼干”。
3. 攻击者注册一个类似域名ultimate-cookies.thm。
4. 攻击者向目标公司员工发送邮件，伪装成“终极饼干”，以免费饼干为诱饵，诱导员工访问网站注册。
5. 员工因熟悉这家本地店而更容易信任，点击链接访问攻击者搭建的虚假网站并注册（可能使用与其他账户相同的密码）。
6. 攻击者获取到员工的电子邮件和密码，成功登录其公司邮箱。
7. 攻击者现在可以访问公司内部信息，并利用该邮箱对其他员工发起进一步的钓鱼攻击。

钓鱼攻击的构成要素 (Components of a Phishing Attack)

一个成功的钓鱼邮件需要精心设计其各个组成部分，使其尽可能具有说服力。

• 发件人地址 (Sender Address)：
  • 理想情况下，发件人地址应模仿知名品牌、合法机构或目标熟悉的联系人/同事的域名和邮箱格式。
  • 可以利用 OSINT 手段（如社交媒体、公开评论、招聘信息、LinkedIn）了解受害者与哪些品牌或个人有互动。
• 主题 (Subject Line)：
  • 应设置为紧急、担忧或能引起强烈好奇的内容，促使受害者立即打开邮件。
  • 示例: “您的账户异常登录警告”、“您的包裹配送失败”、“重要通知：工资信息更新（请勿转发）”、“您有新照片需要查看”。
• 内容 (Content)：
  • 如果冒充品牌或供应商，应研究其官方邮件模板（风格、标志、措辞、签名等），力求高度模仿。
  • 如果冒充个人或同事，应了解其常用的称呼、邮件签名习惯等细节，增加真实感。
  • 恶意链接: 指向攻击者搭建的钓鱼网站或托管恶意载荷的页面。应使用锚文本伪装，如<a href="http://spoofsite.thm">点击此处验证账户</a>或<a href="http://spoofsite.thm">https://legitbank.com/login</a>，使链接文本看起来合法。

钓鱼基础设施 (Phishing Infrastructure)

发起钓鱼活动通常需要搭建一定的后台基础设施来支持邮件发送、网站托管和数据收集。

• 域名 (Domain Name)：注册一个看起来正式、易混淆或模仿目标域名的域名。
• SSL/TLS 证书: 为钓鱼网站申请证书，使网站通过 HTTPS 加密连接，增加合法性外观。
• 邮件服务器/账户 (Mail Server/Account)：用于发送大量定制化邮件。可以自建邮件服务器或使用支持 SMTP 发信服务的提供商。
• DNS 记录 (DNS Records)：正确配置 SPF (Sender Policy Framework)、DKIM (DomainKeys Identified Mail)、DMARC (Domain-Based Message Authentication, Reporting & Conformance) 1记录，提高邮件的可投递性，降低被识别为垃圾邮件的概率。
• Web 服务器 (Web Server)：托管钓鱼网站或恶意载荷。服务器也应配置 SSL/TLS。
• 分析 (Analytics)：用于跟踪钓鱼活动的效果，例如已发送、成功送达、打开、点击链接、提交数据（凭证）的邮件数量和具体用户。

钓鱼工具 (Phishing Tools)

自动化工具可以极大地简化钓鱼活动的设置、执行和管理。

• GoPhish:
  • 是什么: 开源、基于 Web 的钓鱼框架。
  • 特点: 提供用户友好的界面，方便配置发送服务器、创建邮件模板和登录页面（支持所见即所得编辑、导入 HTML），管理目标用户组，启动和跟踪钓鱼活动，提供详细的结果分析仪表板。
  • 网站:getgophish.com。
• SET (Social Engineering Toolkit):
  • 是什么: 开源的社交工程工具集。
  • 特点: 包含多种攻击模块，包括创建鱼叉式钓鱼邮件、快速克隆网站以搭建钓鱼页面、生成各种格式的恶意载荷等。
  • 网站:trustedsec.com。

GoPhish 使用示例 (GoPhish Usage Example)

使用 GoPhish 搭建一次简单的钓鱼活动流程。

1. 配置发送服务器 (Sending Profiles): 设置用于发送邮件的 SMTP 服务器连接信息。

   • 点击Sending Profiles->New Profile。
   • 填写名称、发件人 (From地址)、SMTP 服务器地址和端口 (Host)、认证信息等。
   • Save Profile。

2. 创建登录页面 (Landing Pages): 设计受害者点击钓鱼链接后访问的虚假网站页面。

   • 点击Landing Pages->New Page。

   • 填写名称、导入或编写 HTML 代码（如仿冒登录页）。

   • 关键: 勾选Capture Submitted Data和Capture Passwords框，确保收集用户输入。

   • 配置重定向页面 (Redirect to)：用户提交数据后重定向到的页面（如真实的登录成功页面）。

   • Save Page。

   • 示例 HTML (仿冒登录页):

     HTML

     <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>ACME IT SUPPORT - Admin Panel</title> </head> <body> <h2>ACME IT SUPPORT</h2> <h3>Admin Panel</h3> <form method="post"> <div class="login-form"> <div>Username:</div> <div><input name="username"></div> <div>Password:</div> <div><input type="password" name="password"></div> <div><input type="submit" value="Login"></div> </div> </form> </body> </html>

3. 创建邮件模板 (Email Templates): 设计钓鱼邮件的内容和格式。

   • 点击Email Templates->New Template。
   • 填写名称、主题 (Subject)。
   • 在 HTML 编辑器中编写邮件内容，插入图片、格式化文本等。
   • 关键: 插入指向登录页面的链接。链接文本可以是任何具有诱导性的文字（如“点击此处”），但实际 URL 需要使用 GoPhish 的变量标签，GoPhish 发送邮件时会将其替换为托管登录页面的 URL。通常是在链接的 URL 字段填写{{.URL}}或通过界面按钮插入链接并指定 URL 为{{.URL}}。
   • Save Template。

4. 创建用户和组 (Users and Groups): 导入或手动添加目标用户的电子邮件地址列表。

   • 点击Users & Groups->New Group。
   • 填写组名称，添加目标用户的电子邮件地址列表。
   • Save Group。

5. 创建并启动活动 (Campaigns): 将前面创建的组件组合起来，配置活动参数并开始发送邮件。

   • 点击Campaigns->New Campaign。
   • 填写活动名称。
   • 选择之前创建的Email Template、Landing Page、Sending Profile、Users & Groups。
   • 设置托管钓鱼页面的公共访问 URL (URL)。
   • 设置启动日期 (Launch Date)。
   • Launch Campaign。

6. 查看结果 (Results): 跟踪活动的实时进展和效果。

   • GoPhish 提供一个仪表板，显示邮件发送、送达、打开、点击链接、提交数据等统计信息。
   • 可以查看每个目标用户的详细状态变化历史。

相关概念与技术 (Related Concepts and Techniques)

与钓鱼攻击密切相关的其他技术和策略。

• 投递器 (Droppers)：
  • 是什么: 在钓鱼攻击中，有时不是直接发送最终恶意软件，而是发送一个“投递器”。投递器本身通常体积小，代码简单，旨在绕过初级检测。
  • 功能: 在受害者系统上执行后，投递器负责下载、解密或解压并执行真正的恶意载荷。
• 选择钓鱼域名 (Choosing Phishing Domains)：
  • 重要性: 好的钓鱼域名能增加邮件和网站的欺骗性，并可能影响邮件过滤器评分。
  • 策略:
    • 过期域名: 购买已有历史的过期域名，可能比全新域名有更好的邮件发送信誉。
    • 拼写欺骗 (Typosquatting): 注册与目标域名非常相似的域名，利用用户的打字错误或快速浏览时的视觉误差（如g00gle.com仿冒google.com，micorsoft.com仿冒microsoft.com）。
    • 顶级域名替代 (TLD Substitution): 使用相同的域名主体，但更换顶级域名（如target.org仿冒target.com）。
    • 域名同形字攻击/脚本欺骗 (Domain Homograph Attacks / Script Spoofing): 利用 Unicode 字符集中不同语言脚本中视觉上相似或相同的字符来注册域名，创建与真实域名看起来几乎完全一样的假域名（如使用西里尔字母а替换拉丁字母a）。
• 在钓鱼中使用 MS Office 文档 (Using MS Office Documents in Phishing)：
  • 方法: 将包含恶意宏（VBA 代码）的 Office 文档作为钓鱼邮件附件发送。
  • 执行: 用户打开文档时，Office 通常会提示“启用宏”。如果用户选择启用，则宏代码将被执行，可以用于下载并执行恶意载荷、窃取信息等。
  • 示例场景: 伪装成重要文件（如工资表、发票），利用用户的好奇心或工作职责诱导其打开并启用宏。