社会工程学攻击-钓鱼
字数 1985 2025-08-26 22:12:01

社会工程学攻击之钓鱼攻击全面指南

钓鱼攻击概述

钓鱼攻击是一种利用人类心理弱点而非技术漏洞进行攻击的手段,通过伪装成可信来源获取敏感信息或诱导执行恶意操作。

钓鱼攻击主要类型

1. 钓鱼邮件攻击

  • 定义:伪装成合法邮件欺骗收件人回复敏感信息或访问恶意网站
  • 特点
    • 仿冒银行、理财等正规机构
    • 诱导输入信用卡、银行卡号、账户密码等
    • 常包含恶意附件或链接

2. 钓鱼WiFi攻击

  • 实施方式:伪造虚假WiFi热点
  • 攻击流程
    1. 设置与合法WiFi相似的名称
    2. 用户连接后窃取传输数据
    3. 获取登录凭证等敏感信息

3. 钓鱼二维码攻击

  • 技术原理
    • 将恶意URL编码为QR码
    • 替换合法QR码
    • 导向伪造登录页面窃取信息
  • 常见场景:网站登录QR码被替换

4. 伪基站攻击

  • 组成:主机+笔记本电脑的非法无线电设备
  • 攻击特点
    • 利用GSM单向认证缺陷
    • 冒用他人号码发送诈骗短信
    • 常配合伪造网页实施攻击
  • 部署方式:汽车或隐蔽地点

5. 标签钓鱼(Tabnabbing)

  • 发现者:Mozilla Firefox界面负责人Aza Raskin
  • 攻击流程
    1. 网页嵌入第三方script或Flash
    2. 侦测用户常用服务
    3. 用户离开后页面变更为伪造服务
    4. 诱导输入个人信息

6. 鱼叉式网络钓鱼

  • 特点:针对特定目标的高针对性攻击
  • 来源:主要源于亚洲与东欧地区

7. U盘钓鱼

  • 实施方式
    • U盘植入木马/病毒
    • 通过丢弃或邮寄方式传播
  • 高级技巧:Unicode RTLO文件名伪装
    • 使用U+202e字符实现文件名反转
    • 如将"caijuedoc.exe"显示为"caijueexe.doc"

水坑攻击(补充)

  • 定义:在目标常访问的合法网站植入攻击代码
  • 特点
    • 属于APT攻击的一种
    • 利用网站弱点而非制作钓鱼网站
    • 利用浏览器漏洞植入恶意程序
  • 优势:比传统钓鱼更具欺骗性和效率
  • 常见利用漏洞:Adobe Reader、JRE、Flash、IE零日漏洞

钓鱼攻击实战演示

环境准备

  • 服务器:CentOS 7、Windows 7、Windows 2008 R2
  • 攻击机:Kali Linux
  • 靶机:Windows 7

1. 使用Cobalt Strike制作钓鱼邮件

  1. 启动teamserver:sudo ./teamserver 192.168.32.138 mitian
  2. 启动客户端:./cobalstrike
  3. 创建监听器
  4. 生成Word宏病毒:Attacks > Packages > MS Office Macro
  5. 创建含病毒的Word文档

2. 钓鱼网站制作方法

方法一:Cobalt Strike克隆网站

  1. Attacks > Web Drive-by > Clone Site
  2. 选择目标网站(如补天登录页面)
  3. 访问克隆的钓鱼网站(如192.168.32.142:80)

方法二:使用SEToolkit

  1. 启动SET:终端输入setoolkit
  2. 选择社会工程学攻击(选项1)
  3. 选择网站攻击(选项2)
  4. 选择钓鱼网站攻击(选项3)
  5. 选择网站克隆(选项2)
  6. 输入攻击机IP和目标网站URL
  7. 受害者输入凭证后,攻击机终端显示窃取的信息

方法三:手动搭建钓鱼网站

  1. 获取目标网站源码(如QQ空间)
  2. 部署到服务器
  3. 诱导用户访问并输入凭证

3. 邮件伪造技术

使用SWAKS

  1. 测试邮件发送:swaks –to [目标邮箱]
  2. 发送钓鱼邮件示例: 
    swaks --to target@example.com --from fake@sender.com \
--h-From: '"总裁办"<admin@company.com>' \
--header "Subject: 重要通知" \
--body "请下载附件查看最新政策" \
--attach-name 重要文件.doc \
--attach-type application/msword \
--attach /path/to/malicious.doc

使用在线工具Emkei's Mailer

  • 网址:https://emkei.cz/
  • 支持伪造发件人信息发送邮件

匿名邮箱服务

  • YOPmail:http://www.yopmail.com
  • 可用于注册临时匿名邮箱

钓鱼攻击防范措施

  1. 邮件附件

    • 不要轻易相信邮件附件
    • 特别是Word文档中的宏内容

  2. 链接警惕

    • 谨慎点击注册、中奖等链接
    • 检查域名真实性

  3. 细节检查

    • 注意邮件行文风格、落款、签名
    • 异常签名可能是社工试探

  4. 服务器响应

    • 钓鱼网站通常服务器配置较低
    • 响应速度可能异常

  5. 紧急邮件

    • 对言辞激烈的邮件保持警惕
    • 可能是为了获取你的邮件签名信息

高级技巧补充

  1. Unicode RTLO文件名伪装

    • 使用U+202e字符实现文件名反转显示
    • 实际文件:caijuedoc.exe
    • 显示为:caijueexe.doc

  2. SMTP服务伪造

    • 自建SMTP服务
    • 使用工具如SimpleEmailSpoofer伪造域名发送

  3. 鱼饵设计原则

    • 内容诱人(如美女图片、中奖信息)
    • 细节逼真(签名、模板、图标、落款)
    • 使用相似域名
    • 确保附件能绕过杀毒软件

总结

钓鱼攻击形式多样且不断演进,从传统邮件到二维码、伪基站等新型方式。防御需要技术措施与安全意识并重,特别要注意细节异常和保持对"诱人"内容的警惕性。安全团队应定期进行钓鱼演练,提升整体防范能力。

社会工程学攻击之钓鱼攻击全面指南 钓鱼攻击概述 钓鱼攻击是一种利用人类心理弱点而非技术漏洞进行攻击的手段,通过伪装成可信来源获取敏感信息或诱导执行恶意操作。 钓鱼攻击主要类型 1. 钓鱼邮件攻击 定义 :伪装成合法邮件欺骗收件人回复敏感信息或访问恶意网站 特点 : 仿冒银行、理财等正规机构 诱导输入信用卡、银行卡号、账户密码等 常包含恶意附件或链接 2. 钓鱼WiFi攻击 实施方式 :伪造虚假WiFi热点 攻击流程 : 设置与合法WiFi相似的名称 用户连接后窃取传输数据 获取登录凭证等敏感信息 3. 钓鱼二维码攻击 技术原理 : 将恶意URL编码为QR码 替换合法QR码 导向伪造登录页面窃取信息 常见场景 :网站登录QR码被替换 4. 伪基站攻击 组成 :主机+笔记本电脑的非法无线电设备 攻击特点 : 利用GSM单向认证缺陷 冒用他人号码发送诈骗短信 常配合伪造网页实施攻击 部署方式 :汽车或隐蔽地点 5. 标签钓鱼(Tabnabbing) 发现者 :Mozilla Firefox界面负责人Aza Raskin 攻击流程 : 网页嵌入第三方script或Flash 侦测用户常用服务 用户离开后页面变更为伪造服务 诱导输入个人信息 6. 鱼叉式网络钓鱼 特点 :针对特定目标的高针对性攻击 来源 :主要源于亚洲与东欧地区 7. U盘钓鱼 实施方式 : U盘植入木马/病毒 通过丢弃或邮寄方式传播 高级技巧 :Unicode RTLO文件名伪装 使用U+202e字符实现文件名反转 如将"caijuedoc.exe"显示为"caijueexe.doc" 水坑攻击(补充) 定义 :在目标常访问的合法网站植入攻击代码 特点 : 属于APT攻击的一种 利用网站弱点而非制作钓鱼网站 利用浏览器漏洞植入恶意程序 优势 :比传统钓鱼更具欺骗性和效率 常见利用漏洞 :Adobe Reader、JRE、Flash、IE零日漏洞 钓鱼攻击实战演示 环境准备 服务器:CentOS 7、Windows 7、Windows 2008 R2 攻击机:Kali Linux 靶机:Windows 7 1. 使用Cobalt Strike制作钓鱼邮件 启动teamserver: sudo ./teamserver 192.168.32.138 mitian 启动客户端: ./cobalstrike 创建监听器 生成Word宏病毒: Attacks > Packages > MS Office Macro 创建含病毒的Word文档 2. 钓鱼网站制作方法 方法一:Cobalt Strike克隆网站 Attacks > Web Drive-by > Clone Site 选择目标网站(如补天登录页面) 访问克隆的钓鱼网站(如192.168.32.142:80) 方法二:使用SEToolkit 启动SET:终端输入 setoolkit 选择社会工程学攻击(选项1) 选择网站攻击(选项2) 选择钓鱼网站攻击(选项3) 选择网站克隆(选项2) 输入攻击机IP和目标网站URL 受害者输入凭证后,攻击机终端显示窃取的信息 方法三:手动搭建钓鱼网站 获取目标网站源码(如QQ空间) 部署到服务器 诱导用户访问并输入凭证 3. 邮件伪造技术 使用SWAKS 测试邮件发送: swaks –to [目标邮箱] 发送钓鱼邮件示例: 使用在线工具Emkei's Mailer 网址:https://emkei.cz/ 支持伪造发件人信息发送邮件 匿名邮箱服务 YOPmail:http://www.yopmail.com 可用于注册临时匿名邮箱 钓鱼攻击防范措施 邮件附件 : 不要轻易相信邮件附件 特别是Word文档中的宏内容 链接警惕 : 谨慎点击注册、中奖等链接 检查域名真实性 细节检查 : 注意邮件行文风格、落款、签名 异常签名可能是社工试探 服务器响应 : 钓鱼网站通常服务器配置较低 响应速度可能异常 紧急邮件 : 对言辞激烈的邮件保持警惕 可能是为了获取你的邮件签名信息 高级技巧补充 Unicode RTLO文件名伪装 : 使用U+202e字符实现文件名反转显示 实际文件: caijuedoc.exe 显示为: caijueexe.doc SMTP服务伪造 : 自建SMTP服务 使用工具如SimpleEmailSpoofer伪造域名发送 鱼饵设计原则 : 内容诱人(如美女图片、中奖信息) 细节逼真(签名、模板、图标、落款) 使用相似域名 确保附件能绕过杀毒软件 总结 钓鱼攻击形式多样且不断演进,从传统邮件到二维码、伪基站等新型方式。防御需要技术措施与安全意识并重,特别要注意细节异常和保持对"诱人"内容的警惕性。安全团队应定期进行钓鱼演练,提升整体防范能力。