邮件钓鱼小总结

1. 事前准备

   邮箱、微信号、脉脉账号、匿名手机号等等需要做到匿名，vps、c2 啥的需要注意是不是被标记

   多个邮箱要经常着用，发多了被识别成垃圾邮件导致邮箱容易被封

   提前设定模糊的人设，微信脉脉这种需要养号，可以定的高级点让人产生想点的欲望，建议每次 hw 换一下名字

   最好是用 163 邮箱，然后改一下名字这样收到的比较正式

   

   

2. 信息收集

   1. 搜索引擎，微信公众号方面搜比较新的准确的信息，一般就是找招聘、招标，比如邮箱和电话

      目标名字
      "XXXX"  联系方式
              投递简历
              hr
              招聘
              应聘
              贷款
              手机号

   2. 邮箱收集网站，用网站找邮箱存在的问题就是邮箱太多太旧没法准确定位到人

      http://www.skymem.info/

      https://phonebook.cz/

      在收集邮箱之后，我们要对邮箱进行验证，因为有些邮箱目标企业人员已经放弃或不用（离职，职位调动等）

      https://mailtester.com/testmail.php

      https://app.snov.io/verify/individual-emails

      这款工具可以自动组合邮箱地址再根据组合的结果逐个验证

      https://github.com/angusluk/MailTester
      在线客服 / hr / boss 直聘弄微信号

   3. 构造字典，很多企业邮箱都是姓名拼音@公司域名，用一些字典如：中国人姓名拼音、字母缩写top100，1000，10000，结合已有的信息，多一个邮箱就多一份成功率

      这里可以配合这个网址 https://www.aies.cn/pinyin.htm 根据收集到的目标信息制定对应人名字典进行组合

   可以把搜集到疑似网络管理员、运维人员、安全部门的人员提取出来，这些人单独写邮箱或者不发，因为这些人安全意识相对较高

3. 生成木马，木马要做到最基本的几点

   1. 免杀

   2. 结合收集信息去写木马文案

      比如招聘就投个人简历

   3. 木马隐蔽性，如：pdf 自解压释放实现

4. 发送钓鱼

   1. 钓鱼平台大批量发送，不知道内容问题还是 hw 期间比较严，上线率不高
   2. 邮箱单钓，即使是单钓也不能给一个目标发很多，总有安全意识高，内容要结合邮箱来源
   3. 即时通讯软件钓鱼，最好结合打点获得的精准数据，找合适的理由

5. 上线 c2/cs

   1. 上线时微信通知
   2. 一键持久化
   3. 证书名区分钓鱼目标，方便管理
   4. 定时查看 ip 是不是被标记或有相关情报

注意点：

钓鱼邮件啥的发送时间需要特别注意，钓鱼不像打点可以24H，需要根据目标单位员工上下班和午休时间相关联，最好是上午发这样时间比较充足

成功率比较高的几种方式：

1. 结合已有的系统如：oa 里边的个人信息加微信钓
2. 最近新出招聘投简历
3. 找客服投问题

遇到的问题有些人安全意识比较高或者公司规定只接收 pdf 或者 word 文件，就需要其他的马

1. 免杀 pdf 捆绑自解压
2. 结合漏洞钓鱼，coremail、wps、office

其他文章

红队测试之邮箱打点

https://xz.aliyun.com/t/10731

Macos钓鱼上线CS踩坑流程

钓鱼模版

一些网上收集的钓鱼模版

重置密码

攻击者伪装成管理员，让受害者点击钓鱼邮件中的链接来修改各种各样的密码！如下：

xxx,您好
  我是xx部门的信息，我的oa系统账号密码忘记了，麻烦帮我重置一下我的oa帐号密码，然后将新的账号密码发到这个邮箱，十分感谢！

大家好：
  近期由于我们公司的邮箱密码泄露，为防止不法分子利用，影响到我们的数据安全，各位员工的密码均需要及时更新修改，在收到邮件的第一时间，请登录如下平台，立即修改自己邮箱的账号密码。

账号解冻

攻击者伪装成系统管理员，让受害者点击钓鱼邮件中的链接解冻账号

您好！
  上网行为管理近几日发现您的账号存在异常行为，为了防止您的账号被不法分子盗取，我们暂时将您的账号进行了冻结，如果不是您本人的操作的话，可以点击下面的链接进行解冻。

升级补丁

攻击者伪装成系统管理员，让受害者点击钓鱼邮件中的附件 升级补丁。

各位同事，大家好！
  近日微软发布了本月安全更新补丁，其中包含一个RDP（远程桌面服务）远程代码执行漏洞的补丁更新，对应CVE编号为CVE-2019-0708,现需要所有员工的电脑都打上补丁，漏洞补丁直接下载附件即可

信息收集

利用疫情，让受害者点击钓鱼邮件中的链接反馈相关信息。

各位同事，大家好：
近日，在xx的来往人员中进行核算检查时，又发现了核酸检测呈阳性的人员。
    为了更好的配合政府的疫情防控工作的顺利展开，我们公司主动承担了内部人员的信息收集工作，需要员工填写一些个人基本信息、核酸检测信息、行程信息等信息。 
可以扫描二维码填写基本信息

各位同事，大家好：
    为落实“xx市疫情防控策略”的工作要求，推进疫情防控相关的数据共享，提升排查效率。我司开发人员设计出一个“疫情防控信息公示系统”，将个人基本信息，行程信息，温度信息，是否打疫苗等相关信息整合到一个公示平台之上，员工可以在线查看有关信息，享受”一站式”服务，同时推进疫情防控工作的展开。
目前该系统处于推广阶段，开发人员将根据用户体验，不断优化业务流程，继续完善平台共功能，欢迎各位领导、同事提出宝贵意见。
平台网址:http:xx.xx.com

节假日礼包

各位同事好：    
    春节临近，旧的一年即将过去，崭新的一年即将到来，我们将为各位员工准备春节大礼包，现在需要填写一下家庭住址等基本信息

简历模板

攻击手段:根据招聘信息对招聘邮箱进行钓鱼邮件攻击，发送带有宏代码的简历文档，及免杀exe程序

邮件模板:
您好:
看到贵公司官网在招聘产品开发岗，本人7年金融证券相关产品开发经验，具有较为丰富的项目经验，主要擅长Java,C++等语言，附件是本人开发的作品及个人简历，还请贵司查看，期待您的回信，谢谢。

合作模板

攻击手段:
根据官网搜集到公司的业务功能、合作的企业信息及联系方式
发送钓鱼邮件附件为带有office宏攻击代码的word文档。

邮件模板:
xxx公司您好：
我是xxx公司市场营销部的xxx,我在贵公司官网上了解到贵方有提供xxx业务服务(或经xxx合作商推荐)。满足本公司的项目需求，故有合作意向，以下为本公司的项目合作意向书，请查阅，希望能与贵方合作共赢！

投诉邮件

攻击手段: 
根据官网搜集到目标咨询及投诉渠道获取邮箱账号。
发送钓鱼邮件附件为带有office宏攻击代码的word文档。

邮件模板:
xxx银行您好:
我是贵方银行的用户,我于x月x日与行方在线客户进行业务咨询，但是编号xxx客服服务态度恶劣且怠慢，非但没能解决我的问题，还给我带来了很不好的用户体验。相关聊天记已记录在文档里，请行内人员尽快给一个处理的结果。

官方通告

其他的一些网站

邮箱收集

官网找的邮箱适合精准钓鱼，资源列表里的邮箱每个邮箱只发几封防止被封

https://hunter.io/

http://www.skymem.info/

https://phonebook.cz/

https://www.email-format.com/i/search/

https://github.com/bit4woo/teemo

https://github.com/laramies/theHarvester

在线发送邮件：

https://emkei.cz/?reCAPTCHAv2

http://tool.chacuo.net/mailanonymous

https://ihuan.me/mail

http://deadfake.com/Send.aspx

临时邮箱

http://24mail.chacuo.net/

https://10minutemail.net/

http://www.linshiyouxiang.net/