假冒電子郵件網絡釣魚，你需要知道的秘密！

獲取編程專家推薦的23本編程資料！

電子郵件網絡釣魚入門

隨著大型企業的邊界安全越來越好，無論是APT攻擊還是紅藍對抗演練，釣魚、水坑攻擊的使用越來越多。

1. 電子郵件安全的三大協議 1.1 SPF

SPF是Sender Policy Framework的縮寫，翻譯成中文為發件人策略框架。

主要功能是防止偽造電子郵件地址。

由于發送電子郵件的傳統標準——1982年制定的簡單郵件傳輸協議（SMTP）根本不驗證發件人的電子郵件地址，垃圾郵件發送者可以隨意編造發件人地址來發送垃圾郵件。 收件人很無助，因為你無法分辨電子郵件是誰發送的。

在SPF系統中，每個需要發送郵件的企業在其公開發布的DNS域名記錄中列出了自己域名下所有需要發送郵件的IP地址段； 接收電子郵件的服務器會列出電子郵件中的發件人。 其所屬的域名，搜索該公司頒發的合法IP地址范圍，然后檢查發送電子郵件的機器是否屬于這些地址范圍，就可以判斷該電子郵件是否是偽造的。

檢查SPF是否開啟

nslookup 類型=

記錄中出現 spf1 表示使用了 spf。 所謂的偽造郵件是無法發送到QQ郵箱的。

但一般甲方不訂立此協議。

1.2 DKIM

DKIM，電子郵件身份驗證標準 - 域密鑰識別郵件標準。 域名密鑰識別郵件的縮寫。

一般來說，發件人會在電子郵件的標頭中插入 DKIM-Signature 和電子簽名信息。 接收方通過DNS查詢獲取公鑰，然后進行驗證。

1.3 DMARC

dmarc由Paypal、Google、Microsoft、Yahoo等于2012年1月30日開發，相關內容包括DMARC協議。

【DMARC】協議基于現有的兩種主流電子郵件安全協議【DKIM】和【SPF】。 郵件發送者（域所有者）在[DNS]中聲明它采用此協議。 當郵件接收方（其MTA需要支持DMARC協議）收到從該域發送的電子郵件時，會執行DMARC驗證。 如果驗證失敗，需要將報告發送到指定的[URI]（通常是電子郵件地址）。

2. 環境設置 2.1 Gophish 設置

我正在使用ubuntu

下載

獲取

解壓

mkdir -p/gophishunzip gophish-v0.11.0-linux-64bit.zip -d/gophish/cd/gophish/

將config.json中的127.0.0.1修改為0.0.0.0。

80端口代表釣魚網站開放的端口； 后端管理頁面開放的端口為3333，默認賬號和密碼為admin/gophish。

{“admin_server”：{“listen_url”：“0.0.0.0:3333”，“use_tls”：true，“cert_path”：“gophish_admin.crt”，“key_path”：“gophish_admin.key”}，“phish_server”：{ “listen_url”：“0.0.0.0:80”，“use_tls”：false，“cert_path”：“example.crt”，“key_path”：“example.key”}，“db_name”：“sqlite3”，“db_path” : "gophish.db","migrations_prefix": "db/db_","contact_address": "","logging": {"filename": "","level": ""}}

在后臺運行，設置當前環境。

chmod+x gophish./gophish &

訪問：3333/

可能會提示證書不正確，點擊高級-繼續頁面，輸入默認賬號和密碼登錄：admin/gophish

它可能不是默認密碼。 vps啟動./gophish后，命令行中會給出一個臨時密碼。 使用臨時密碼登錄，然后設置新密碼。

進入釣魚界面：

打開瀏覽器訪問：80/ 由于我們沒有配置釣魚頁面，所以出現404頁面未找到的小提示說明運行正常。

Gophish 已構建。

2.2 電子郵件設置

官方文檔：

ewomail需要centos，但是這時候不像重裝系統，所以使用docker來搭建。

apt install docker.iodocker 搜索 ewomaildocker pull bestwu/ewomail

創建并啟動容器：（將命令替換為自己的域名mail.*.格式）。

docker run --restart=always -p25:25 -p109:109 -p110:110 -p143:143 -p465:465 -p587:587 -p993:993 -p995:995 -p81 :80 -p8080:8080 -v`pwd`/mysql/:/ewomail/mysql/data/ -v`pwd`/vmail/:/ewomail/mail/ -v`pwd`/ssl/certs/ :/etc/ssl/certs/ -v`pwd`/ssl/private/:/etc/ssl/private/ -v`pwd`/rainloop:/ewomail/www/rainloop/data -v`pwd` /ssl/dkim/:/ewomail/dkim/ --nameewomail bestwu/ewomail

域名系統：

最終搭建效果：

域名：8080

帳號 admin 密碼 ewomail123

添加電子郵件：

2.3 Gophish功能介紹

進入后臺后，左邊的欄代表各種功能，包括儀表板、營銷活動、用戶和組、電子郵件模板、登陸頁面和發送配置文件：

功能

簡要描述;簡介

儀表板

查看總體測試狀態的儀表板

活動

每次攻擊前都需要配置

用戶和組

用戶和用戶組（添加釣魚所需的郵箱地址及相關基本信息）

電子郵件模板

電子郵件模板

登陸頁面

需要假釣魚頁面

發送配置文件

釣魚郵件發送配置

發送配置文件 發送策略

發送配置文件的主要功能是配置用于向 gophish 發送釣魚郵件的電子郵件地址。

單擊新建配置文件以創建新策略并依次填寫每個字段。 填寫您剛剛創建的發送電子郵件地址和用戶名。

名稱：名稱字段用于為新創建的發送策略命名，不會影響釣魚的實施。

Interface Type：Interface Type是接口類型。 默認為 SMTP 類型，不可修改。 因此，需要在發送郵箱中啟用SMTP服務。 然而，SMTP的25端口在大多數機器上被禁用，因此需要將其配置為465端口。

From:From 是發件人，如網絡釣魚電子郵件中所示。 （實際使用中，一般需要偽造近似域名）。

Host：Host是smtp服務器的地址，格式為：25

用戶名：用戶名是smtp服務認證的用戶名。 密碼：密碼是smtp服務認證的密碼。

（可選）電子郵件標頭：電子郵件標頭是自定義電子郵件標頭字段，例如電子郵件標頭的 X-Mailer 字段。 如果不修改該字段的值，則通過gophish發送的郵件的郵件頭的X-Mailer值將默認為gophish。

設置完以上字段后，您可以單擊“發送測試電子郵件”發送測試電子郵件，以檢查 SMTP 服務器是否通過身份驗證。

但是我收不到郵件啊……

我們先通過qq郵箱轉發一下：

user 和 from 都填寫電子郵件帳戶。

輸入密碼的授權碼：

成功頁面。

1. Landing Pages 釣魚頁面

配置釣魚郵件后，您可以通過LandingPages模塊創建新的釣魚網站頁面。 這里支持手寫html文件，也可以導入網站功能。

名稱：名稱用于為當前創建的釣魚頁面命名。

導入站點：gophish提供了兩種設計釣魚頁面的方式，

第一個是導入站點。 點擊“導入站點”后，填寫偽造網站的URL，然后點擊“導入”，即可通過互聯網自動抓取偽造網站的前端代碼。

在這里百度一下測試一下。

內容編輯框是編輯釣魚頁面的第二種方法，但大多數情況下，更多的是用來輔助第一種方法，即修改源代碼和預覽導入的頁面。

（要點）捕獲提交的數據：

通常，網絡釣魚的目的是捕獲受害者的用戶名和密碼。 因此，在單擊“保存頁面”之前，請記住選中“捕獲提交的數據”。 勾選Capture Submitted Data后，頁面上會多出一個Capture Passwords。 選項，顯然是為了捕獲密碼。 通常，可以選擇選中該框來驗證帳戶可用性。 如果只是為了測試統計受害用戶是否提交數據而不泄露賬戶隱私，則無需檢查。 此外，當選中“捕獲提交的數據”時，頁面上還會有一個額外的“重定向到”。 它的功能是當受害用戶點擊時，點擊提交。 表單之后，將頁面重定向到指定的 URL。 可以填寫偽造網站的URL，造成受害者第一次填寫錯誤的賬號和密碼的感覺（一般來說，當登錄頁面提交的表單數據與數據庫不一致時，URL登錄頁面的最后會添加一個error參數，用于提示用戶用戶賬號或密碼不正確，所以在Redirect to中，最好在URL中填寫error參數）。

填寫以上參數后點擊保存頁面即可保存編輯好的釣魚頁面。

1. 電子郵件模板 網絡釣魚電子郵件模板

創建相應的釣魚郵件模板。 這里的釣魚模板可以直接編輯，也可以導入其他郵箱的模板。

名稱：同樣，該字段用于命名當前創建的釣魚郵件模板。

導入電子郵件：gophish 提供了兩種編輯電子郵件內容的方式。

第一個是導入電子郵件。 用戶可以先在自己的郵箱系統中設計一封釣魚郵件，然后發送給自己或其他合作伙伴。 他們收到設計的電子郵件后，可以打開它并選擇導出為eml文件或顯示電子郵件的原始文本，然后將內容復制到gophish的導入電子郵件中以導入設計的釣魚電子郵件。

在這里您可以直接打開郵箱中的一封信，點擊顯示原文，然后就可以復制、導入、粘貼進去。

影響：

需要注意的是，在單擊“導入”之前，您需要選中“更改鏈接以指向登陸頁面”。 當釣魚事件發生時，該功能會自動將電子郵件中的超鏈接轉換為釣魚網站的URL。

主題：主題是電子郵件的主題。 通常為了提高電子郵件的真實性，你需要自己編一個有吸引力的主題。

內容編輯框：內容編輯框是編寫電子郵件內容的第二種模式。 內容編輯框提供了文本和HTML兩種模式來編寫電子郵件內容。 使用方法與普通編輯器相同。 其中，HTML模式下的預覽功能較為常用。 編輯完內容后，點擊“預覽”即可清楚地看到郵件的具體內容和格式。

添加跟蹤圖像：添加跟蹤圖像是在釣魚郵件末尾添加跟蹤圖像，以跟蹤受害者是否打開了收到的釣魚郵件。 默認情況下會選中它。 如果不勾選，將無法追蹤受害用戶是否打開釣魚郵件（注：追蹤受害用戶是否點擊釣魚鏈接以及捕獲提交的數據不會受其影響）添加文件：正在發送添加文件 可以將附件添加到電子郵件中。 首先，可以添加相關文件以提高電子郵件的真實性。 其次，可以與反殺木馬配合使用，誘導受害用戶下載并打開。

填寫完上述字段后，單擊“保存模板”保存當前編輯的釣魚郵件模板。

1. 用戶和組 用戶和組

Users & Groups的作用是將釣魚目標郵箱地址導入gophish并準備發送。 單擊新建組創建新的釣魚目標用戶組。

名稱：名稱是當前創建的用戶組的名稱。

批量導入用戶：批量導入用戶是批量導入用戶郵箱。 通過上傳符合特定模板的CSV文件，批量導入目標用戶郵箱。 單擊旁邊灰色字體的“下載 CSV 模板”可下載特定的 CSV 模板文件。 其中，模板文件的Email為必填項，其余Frist Name、Last Name、Position為選填項。

補充：除了批量導入目標用戶郵箱外，gophish還提供了導入單個郵箱的方法，非常方便在開始釣魚之前對釣魚組織進行內部測試。 無需上傳繁瑣的文件，直接填寫電子郵件即可，其余的名字、姓氏和職位都是可選的。

編輯目標用戶的電子郵件地址后，單擊保存更改，將編輯后的目標電子郵件地址保存在 gophish 中。

1. 活動網絡釣魚事件

Campaigns的作用是連接以上四個功能Sending Profiles、Email Templates、Landing Pages、Users & Groups，并創建網絡釣魚事件。

在營銷活動中，您可以創建新的釣魚事件，選擇編輯好的釣魚郵件模板和釣魚頁面，通過配置的發送地址將釣魚郵件發送給目標用戶組中的所有用戶。

單擊“新建活動”以創建新的網絡釣魚事件。

名稱：名稱是為新的網絡釣魚事件命名。

電子郵件模板：電子郵件模板是網絡釣魚電子郵件模板。 這里選擇上面剛剛編輯的釣魚郵件模板。

Landing Page：Landing Page就是釣魚頁面，這里選擇上面編輯的那個。

（要點）URL：URL是用于替換所選釣魚郵件模板中的超鏈接的值，該值指向所選釣魚頁面部署的URL。

簡單來說，這里的URL需要填寫當前運行gophish腳本的主機的IP地址。 因為啟動gophish后，gophish默認監聽3333和80端口。 3333端口為后臺管理系統，80端口用于部署釣魚頁面。 當URL填寫主機IP/，或[]()時，當前釣魚事件創建成功。 gophish 將在主機的 80 端口上部署當前釣魚事件選擇的釣魚頁面，并將發送的釣魚郵件中的所有超鏈接替換為部署在 80 端口上的釣魚頁面的 URL。

啟動日期：啟動日期是網絡釣魚事件的實施日期。 通常，如果只發送少量電子郵件，則此項不需要修改。 如果您需要發送大量電子郵件，最好使用旁邊的發送電子郵件方式。

（可選）Send Emails By：與Launch Date結合使用，Send Emails By可以理解為當前釣魚事件下所有釣魚郵件發送的時間。 Launch Date 用作開始發送時間，Send Emails By 用作完成發送時間，兩者之間的時間將除以所有電子郵件（以分鐘為單位）。

發送配置文件：發送配置文件是發送策略。 在這里選擇您剛剛編輯的：

填寫完上述字段并點擊啟??動活動后，就會創建該釣魚事件（注意：如果不修改啟動日期，默認情況下，釣魚事件創建后會立即發送釣魚郵件）。

1、儀表盤儀表抓取

當網絡釣魚事件發生時，儀表板將自動開始統計數據。 統計數據項包括郵件發送成功數及率、郵件打開數及率、釣魚鏈接被點擊數及率、賬號及密碼數據提交數及率、提交次數及率等。收到的電子郵件報告的數量。 。 此外，還有一個時間線，記錄每個行為發生的時間。

需要說明的是，Dashboard統計的是所有釣魚事件的數據，而不是單個釣魚事件的數據。 如果您只需要查看單個釣魚事件的統計信息，您可以在營銷活動中找到該釣魚事件，然后單擊“查看結果”按鈕進行查看。

3. 郵箱管理

郵件釣魚信息收集：

3.1 找到目標開放的郵件服務端口和Web郵箱入口

通過掃描c段找到入口

首先，你需要從MX記錄域名中找到他的真實IP地址。

然后掃描該IP地址的C段（端口25、109、110、143、465、995、993）。 一般情況下，很容易找到目標郵件服務器入口。

通過子域名找到郵箱入口

Sublist3r、TeeMO、LangSrcCurise、Digger 等

通過搜索引擎抓取

谷歌黑客搜索；

百度、搜狗、360、Bing。

站點：標題：“Outlook Web App”

站點：標題：“郵件”

網站：標題：“網絡郵件”

Shodan、fofa、zoomeye 搜索等

3.2 批量收集目標郵箱地址 3.3 驗證郵箱地址

收集完郵箱后，我們需要對郵箱進行驗證，因為部分目標公司員工已經放棄或不再使用（辭職、調崗等）。

您可以通過以下方式檢查該電子郵件地址是否存在

verifyemail是一個可以批量驗證郵件的工具

郵件測試器.py

該工具可以自動組合電子郵件地址，并根據組合結果一一驗證。

該腳本的優點是它會根據名字中的名字隨機組合組合，然后一一驗證。

我們在枚舉郵箱用戶的時候，盡量查找盡可能多的詞典，比如漢語拼音、縮寫詞前100、1000、10000。這里我們需要更多的魚叉。 多一個郵箱就意味著多一份成功。 速度。

當然，我們可以提取出可疑的網絡管理員、運維人員、安全部門人員。 這些人單獨寫郵件或者不發送，因為這些人的安全意識比較高，很容易驚動別人。 我們需要確保一些非技術員工的安全。 意識薄弱的人開始采摘弱柿子。

這里您可以與本網站合作，根據收集到的目標信息，開發對應名稱的詞典進行組合。

3.4 郵箱爆破

這種弱口令爆破的方法只適用于目標公司自有的郵件服務器如OWA等，百度、騰訊、阿里巴巴、網易等郵箱不優先考慮。

使用的工具有medusa、Hydra、SNETCracker、APT34組織owa爆破工具等。

此外，電子郵件用戶名和密碼經常使用公司縮寫+2019、2020等社會工程密碼。 額外的字典將提高成功率。

4. 電子郵件偽造

一般情況下，如果沒有SPF，可以直接用swaks偽造。

-t –to 目標地址 -t -f –from 源地址（發件人） -f "text"--protocol 設置協議（未測試）--body "" //引號內內容為郵件正文； - -header "Subject:hello" //電子郵件頭信息，主題為電子郵件標題 -ehlo 偽造電子郵件 ehlo header --data ./Desktop/email.txt //將正常源電子郵件的內容保存到TXT文件中，然后將其用作普通電子郵件發送；

網上打假：

匿名郵箱：

5.繞過SPF

繞過sendgird、mailgun

對于 SPF，您需要繞過 SPF。 您可以使用swaks+smtp2go。 您需要使用電子郵件托管平臺來繞過 SPF 監控。

swaks --to --from --ehlo xxxdan--body“你好，我是007”--server -p 2525 -au user -ap pass

6. 釣魚域名注冊

通過文案寫作，如何讓你的電子郵件看起來更真實？ 最簡單的就是利用超鏈接將元素內容改為你想要仿冒的域名。 在電子郵件頁面上，將直接顯示該元素的內容。 我們可以使用一些與目標相似的域名。 比如用0代替o，用1代替l，vv代替w等。你需要發揮你的想象力來尋找相似的域名：如果你找不到這樣相似的域名或者這個域名比較價格昂貴，你可以嘗試一些更粗俗的東西。 。 例如，如何使用國際域名注冊域名？ 在了解如何注冊此類域名之前，您需要首先了解什么是國際域名IDN。

6.1什么是國際化域名（IDN）？

是指域名中至少包含一個特殊語言字母的域名。 特殊語言包括中文、法語、拉丁語等。在DNS系統工作中，這個域名會被編碼成ASCII字符串，并通過Punycode進行翻譯。 Punycode是基于RFC 3492標準開發的編碼系統。 主要用于將域名從本地語言使用的Unicode編碼轉換為可以在DNS系統中使用的編碼。

目前，由于操作系統的核心是由英文組成，而DNS服務器的解析也是通過英文代碼進行交換，因此DNS服務器不支持直接的中文域名解析。 所有中文域名解析都需要轉換成punycode代碼，然后被DNS Parse punycode代碼使用。 事實上，目前所有主流瀏覽器都完美支持IDN域名。 瀏覽器會自動對IDN域名進行Punycode，地址欄仍顯示原來輸入的IDN域名。

看看這兩個域名，

納納

乍一看，它們看起來一樣。 但是當第一個域名復制到瀏覽器時，就變成了其他字符。仔細一看，第一個域名n下面有一個點，哈哈哈，這就是區別，其實是轉碼后的域名龐尼碼

試

A

您可以在這里找到類似的并對其進行編碼，

punycode在線轉換工具：

Unicode編碼表：

之前的假冒看起來類似，但如果瀏覽器上直接出現不安全警告或者紅色斜線，很容易引起目標的警惕。 所以在條件允許的情況下，盡量去做全套劇。

7. 釣魚文件制作 7.1 APT提示

假冒擴展 kilerrat 工具

文件捆綁

傳統宏文件

CHM釣魚

CVE-2018-2174

Windows 快捷鍵

構建DDE釣魚文檔

將外部對象（OLE）插入到單詞作弊中

IQY 功能釣魚

PPT動作按鈕功能結構PPSX釣魚

RAR減壓釣魚

NiFengQiPi是一個專注于程序員圈的技術平臺。 您可以獲取最新的技術動態、最新的內測資質、BAT等大公司的經驗、自我成長、學習資料、職業路線、賺錢思路、微信搜索反向關注！

Tags：釣魚 郵件 郵箱 域名 發送