邮件可信其二内容可信
字数 1633 2025-08-06 18:08:09

邮件钓鱼攻击技术全面指南

0x00 前言

近年来邮件钓鱼攻击呈现显著增长趋势:

  • 2021年钓鱼攻击增长210%
  • 一般诈骗邮件上升近60%
  • 伪冒快递/邮政诈骗增长近25倍
  • BEC商务邮件欺诈增长近8倍
  • 企业内部社交工程演练邮件量上升90%

邮件钓鱼因其低成本、高自定义、成功率高的特点成为黑客常用攻击手法。

0x01 钓鱼目的分类

1. 获取账号凭据

  • 伪造登录页面(密码重置、安全警告等)
  • 获取邮箱、OA、Auth门户等账户
  • 利用高权限账户下发指令

2. 获取主机权限

  • 诱导执行恶意脚本/软件
  • 绕过安全邮件网关检测:
    • 将恶意文件放在云端
    • 使用第三方可信平台(网盘、文档笔记等)
    • 上传恶意文件到目标企业服务器

3. 获取人物信息

  • 使用第三方问卷/表单服务
  • 伪装广告诱导信息填写
  • 高频率发送需更换不同发件服务器

0x02 邮件钓鱼技战法

1. QQ群组迂回作战

  • 通过弱口令进入邮箱/OA
  • 发现企业QQ群并伪装加入
  • 伪造业务流程钓鱼获取二次验证
  • 关键词搜索目标群:
    • 全称/缩写
    • 下属单位
    • 部门/业务线
    • 地域信息

2. 伪装HR突破

  • 锁定IT/开发/中层管理人员
  • 运营虚假HR社交账号
  • 发送带木马的"面试通知"

3. 社工客服

  • 客服通常安全意识薄弱
  • 通过情绪表达获取信任
  • 发送带恶意链接的"系统崩溃"截图

4. 供应链污染

  • 攻击安全服务提供商:
    • 伪造样本分析需求
  • 攻击设备供应商:
    • 伪造故障协助请求
  • 攻击开发商:
    • 污染代码仓库

5. 应急情景化钓鱼

  • 构造虚假管理后台
  • 在技术群"曝光"后台漏洞
  • 诱导管理员登录

0x03 钓鱼手法类型

1. 诱导链接钓鱼

  • URL伪装手法:
    • 近似域名(taoba0.com)
    • 仿冒子域名
    • 显示与实际不同的链接
    • 短链接
    • 利用URL特性

2. 恶意附件钓鱼

  • 常见载体:
    • 文档/图片/压缩包
    • 脚本程序(exe/vbs/bat)
  • 免杀技巧:
    • 附件加密压缩
    • 类型仿冒(.docx.exe)
    • 长文件名隐藏

3. 仿冒邮件

  • 伪造发件人信息
  • 利用上级单位身份增加可信度

4. BEC商务邮件欺诈

  • 伪装领导/同事要求转账
  • 冒充高管向财务发送资金申请
  • 伪装律师处理紧急事务

5. 二维码钓鱼

  • 规避链接检查
  • 利用个人手机获取信息
  • 国内中招率高达26.7%

0x04 钓鱼场景模板

工作相关

  • 伪装公司:节假日通知、福利问卷
  • 伪装领导:团建、考核、任免通知
  • 伪装财务:薪资调整、补贴发放

系统相关

  • 系统维修/升级通知
  • 安全补丁/U盾证书安装

信息引导

  • 账户变更通知
  • 安全警告(服务器被攻陷)
  • 投诉举报

第三方名义

  • 营销广告
  • 抽奖中奖

热点场景

  • 疫情相关通知
  • 节假日补贴

0x05 可信邮件构造

1. 发件人伪造

  • 注册近似域名:
    • 字符替换(0→o)
    • 添加字符/inc./int.
  • IDN域名欺骗:
    • 使用Unicode近似字符
    • Punycode编码转换

2. 绕过SPF检测

  • 查找未设置SPF记录的域名
  • 利用Sender和From字段差异:
    • Sender设为合法服务器
    • From伪造目标发件人
  • 使用邮件托管服务SMTP2GO

3. 内容可信度

  • 使用HTML制作精美邮件
  • 添加企业专属签名
  • 创造紧迫性:
    • "48小时内不回复将关闭账户"

4. 附件处理

  • 使用合法云存储存放恶意文件
  • 利用企业自身服务器存放payload
  • 免杀技术:
    • ShellCode分离加载
    • 远程加载ShellCode

0x06 提高成功率技巧

  • 选择最佳发送时间:
    • 上班后1-2小时(9-10点)
    • 午休后1-2小时(14-15点)
  • 控制发信频率:
    • 同一邮箱间隔2-5天
  • 分割收件人列表
  • 使用变量避免内容重复
  • 确保邮件合规:
    • 避免危险HTML元素
    • 图片添加alt属性
    • 包含退订标头
    • 避免隐藏文本

防御建议

  1. 员工安全意识培训
  2. 部署SPF、DKIM、DMARC
  3. 邮件网关加强附件检测
  4. 限制外部邮件标记
  5. 建立钓鱼邮件报告机制
  6. 定期进行钓鱼演练

通过全面了解攻击手法,企业可以更有针对性地构建防御体系,降低邮件钓鱼风险。

邮件钓鱼攻击技术全面指南 0x00 前言 近年来邮件钓鱼攻击呈现显著增长趋势: 2021年钓鱼攻击增长210% 一般诈骗邮件上升近60% 伪冒快递/邮政诈骗增长近25倍 BEC商务邮件欺诈增长近8倍 企业内部社交工程演练邮件量上升90% 邮件钓鱼因其低成本、高自定义、成功率高的特点成为黑客常用攻击手法。 0x01 钓鱼目的分类 1. 获取账号凭据 伪造登录页面(密码重置、安全警告等) 获取邮箱、OA、Auth门户等账户 利用高权限账户下发指令 2. 获取主机权限 诱导执行恶意脚本/软件 绕过安全邮件网关检测: 将恶意文件放在云端 使用第三方可信平台(网盘、文档笔记等) 上传恶意文件到目标企业服务器 3. 获取人物信息 使用第三方问卷/表单服务 伪装广告诱导信息填写 高频率发送需更换不同发件服务器 0x02 邮件钓鱼技战法 1. QQ群组迂回作战 通过弱口令进入邮箱/OA 发现企业QQ群并伪装加入 伪造业务流程钓鱼获取二次验证 关键词搜索目标群: 全称/缩写 下属单位 部门/业务线 地域信息 2. 伪装HR突破 锁定IT/开发/中层管理人员 运营虚假HR社交账号 发送带木马的"面试通知" 3. 社工客服 客服通常安全意识薄弱 通过情绪表达获取信任 发送带恶意链接的"系统崩溃"截图 4. 供应链污染 攻击安全服务提供商: 伪造样本分析需求 攻击设备供应商: 伪造故障协助请求 攻击开发商: 污染代码仓库 5. 应急情景化钓鱼 构造虚假管理后台 在技术群"曝光"后台漏洞 诱导管理员登录 0x03 钓鱼手法类型 1. 诱导链接钓鱼 URL伪装手法: 近似域名(taoba0.com) 仿冒子域名 显示与实际不同的链接 短链接 利用URL特性 2. 恶意附件钓鱼 常见载体: 文档/图片/压缩包 脚本程序(exe/vbs/bat) 免杀技巧: 附件加密压缩 类型仿冒(.docx.exe) 长文件名隐藏 3. 仿冒邮件 伪造发件人信息 利用上级单位身份增加可信度 4. BEC商务邮件欺诈 伪装领导/同事要求转账 冒充高管向财务发送资金申请 伪装律师处理紧急事务 5. 二维码钓鱼 规避链接检查 利用个人手机获取信息 国内中招率高达26.7% 0x04 钓鱼场景模板 工作相关 伪装公司:节假日通知、福利问卷 伪装领导:团建、考核、任免通知 伪装财务:薪资调整、补贴发放 系统相关 系统维修/升级通知 安全补丁/U盾证书安装 信息引导 账户变更通知 安全警告(服务器被攻陷) 投诉举报 第三方名义 营销广告 抽奖中奖 热点场景 疫情相关通知 节假日补贴 0x05 可信邮件构造 1. 发件人伪造 注册近似域名: 字符替换(0→o) 添加字符/inc./int. IDN域名欺骗: 使用Unicode近似字符 Punycode编码转换 2. 绕过SPF检测 查找未设置SPF记录的域名 利用Sender和From字段差异: Sender设为合法服务器 From伪造目标发件人 使用邮件托管服务SMTP2GO 3. 内容可信度 使用HTML制作精美邮件 添加企业专属签名 创造紧迫性: "48小时内不回复将关闭账户" 4. 附件处理 使用合法云存储存放恶意文件 利用企业自身服务器存放payload 免杀技术: ShellCode分离加载 远程加载ShellCode 0x06 提高成功率技巧 选择最佳发送时间: 上班后1-2小时(9-10点) 午休后1-2小时(14-15点) 控制发信频率: 同一邮箱间隔2-5天 分割收件人列表 使用变量避免内容重复 确保邮件合规: 避免危险HTML元素 图片添加alt属性 包含退订标头 避免隐藏文本 防御建议 员工安全意识培训 部署SPF、DKIM、DMARC 邮件网关加强附件检测 限制外部邮件标记 建立钓鱼邮件报告机制 定期进行钓鱼演练 通过全面了解攻击手法,企业可以更有针对性地构建防御体系,降低邮件钓鱼风险。