甲方钓鱼演练实施指南<\/h1>

1. 演练前准备工作<\/h2>

1.1 需求背景<\/h3>

应对政策合规和攻防演练检测两大KPI<\/li>

将演练与安全意识培训相结合<\/li> <\/ul>

1.2 协同资源<\/h3>

领导沟通确认<\/strong><\/p>

申请"免死金牌"<\/li>
说明演练收益、实施过程和结果处置方案<\/li> <\/ul> <\/li>

数据资源协调<\/strong><\/p>

获取参与演练人员的邮箱地址<\/li>
以邮件形式沟通并强调保密性<\/li> <\/ul> <\/li>

合作共赢<\/strong><\/p>

与HR部门协商组织安全意识培训课程<\/li>
确保演练后有连贯性学习<\/li> <\/ul> <\/li> <\/ol>
2. 规划演练<\/h2>
2.1 人员选择范围<\/h3>

重点部门<\/strong>：产研团队、数据团队、客服、销售团队<\/li>
排除对象<\/strong>：高级领导和财务等敏感部门<\/li> <\/ul>
2.2 钓鱼方式选择<\/h3>

凭证类钓鱼<\/strong><\/p>

获取账号凭证<\/li>
确保钓到的账号密码外网可用<\/li>
证明危害性以推动多因子验证<\/li> <\/ul> <\/li>

木马钓鱼<\/strong><\/p>

获取电脑信息并建立据点<\/li>
侵入性较大，不推荐大面积使用<\/li> <\/ul> <\/li> <\/ol>
3. 实施钓鱼阶段<\/h2>
3.1 话术剧本设计<\/h3>

四要素原则<\/strong>：人、事、物、时间<\/li>
禁止内容<\/strong>：政治、疫情、舆情、绯闻相关<\/li>
角色扮演<\/strong>：HR、行政、IT等合理角色<\/li>
事件合理性<\/strong>：符合公司日常习惯<\/li>
驱动动作<\/strong>：利诱或威逼执行特定操作<\/li>
时间因素<\/strong>：制造紧迫感<\/li> <\/ul>
示例剧本<\/strong>：<\/p>

角色：HR部门<\/li>
事件：征集回家过节礼品选择<\/li>
时间：限定截止日期<\/li>
奖励：前100名完成者获神秘礼物<\/li> <\/ul>
3.2 钓鱼页面制作<\/h3>
工具选择<\/h4>

SiteCopy<\/strong>：克隆页面工具<\/p>

GitHub: https:\/\/github.com\/Threezh1\/SiteCopy<\/li> <\/ul> <\/li>

Pricking<\/strong>：自动化部署水坑和网页钓鱼工具<\/p>

GitHub: https:\/\/github.com\/Rvn0xsy\/Pricking<\/li>
用于nginx代理和记录账号密码<\/li> <\/ul> <\/li>

henggeFish<\/strong>：邮件批量发送工具<\/p>

GitHub: https:\/\/github.com\/SkewwG\/henggeFish<\/li>
考虑垃圾邮件绕过机制<\/li> <\/ul> <\/li> <\/ol>
页面选择原则<\/h4>

选择具有外部SSO和内部ERP混用的登录页面<\/li>
确保页面与话术配合合理<\/li> <\/ul>
克隆页面制作<\/h4>

内网服务<\/strong>：<\/p>

使用SiteCopy克隆到国外VPS<\/li>
解决内网页面外网访问问题<\/li> <\/ul> <\/li>

外网服务<\/strong>：<\/p>

直接使用Pricking<\/li>
复杂页面可结合SiteCopy<\/li> <\/ul> <\/li> <\/ol>
页面部署<\/h4>

使用宝塔面板快速部署

方便HTTPS证书申请<\/li>
便捷的域名绑定和文件管理<\/li> <\/ul> <\/li>
安全原则：

权限最小化<\/li>
非必要不开启服务<\/li>
使用时开启，不用时关闭<\/li> <\/ul> <\/li> <\/ul>
跳转技巧<\/h4>

提交后显示"活动结束"提示<\/li>
跳转到公司论坛或Wiki页面<\/li>
使用Pricking的hook功能记录账号密码<\/li> <\/ul>
前端代码示例<\/strong>：<\/p>
\/\/ 弹窗提示 <\/span><\/span><\/span><\/span>window.alert<\/span> =<\/span> function<\/span>(msg<\/span>, callback<\/span>) { <\/span><\/span> \/\/ 自定义弹窗代码 <\/span><\/span><\/span><\/span> alert<\/span>("很遗憾活动结束!"<\/span>); <\/span><\/span>} <\/span><\/span> <\/span><\/span>\/\/ 页面跳转方法 <\/span><\/span><\/span><\/span>window.location<\/span>.href<\/span>=<\/span>"目标页面"<\/span>; <\/span><\/span><\/code><\/pre>3.3 域名准备<\/h3> 使用国外域名避免备案问题<\/li> 开启域名隐私保护<\/li> 使用子域名混淆绕过浏览器检测例如：login.oday.com.sso1.xyz\/redict.html<\/li> <\/ul> <\/li> 测试域名是否会被识别为钓鱼页面<\/li> <\/ul> 3.4 账号密码获取<\/h3> 调用SSO接口验证密码正确性<\/li> 或对密码进行MD5加密存储<\/li> 避免保留明文密码<\/li> <\/ul> 3.5 批量发送邮件<\/h3> 邮箱准备<\/h4> Outlook邮箱<\/strong><\/p> 垃圾过滤机制较宽松<\/li> 使用10分钟邮箱注册<\/li> 利用接码平台认证<\/li> <\/ul> <\/li> 163邮箱<\/strong><\/p> 1个手机号可认证15个邮箱<\/li> 每个邮箱发送10个地址<\/li> <\/ul> <\/li> <\/ol> 发送技巧<\/h4> 使用密送方式发送<\/li> 避免使用邮件组发送<\/li> 测试全流程后再正式发送<\/li> <\/ul> 4. 培训方案<\/h2> 钓鱼社工宣贯<\/strong><\/p> 使用真实数据作为案例<\/li> <\/ul> <\/li> 针对性部门培训<\/strong><\/p> 研发团队：技术导向<\/li> 其他团队：安全意识导向<\/li> <\/ul> <\/li> 安全部门职能介绍<\/strong><\/p> 如何识别钓鱼<\/li> 快速上报渠道<\/li> <\/ul> <\/li> <\/ol> 5. 工具总结<\/h2> 工具名称<\/th> 用途<\/th> GitHub地址<\/th> <\/tr> <\/thead> SiteCopy<\/td> 克隆页面<\/td> https:\/\/github.com\/Threezh1\/SiteCopy<\/td> <\/tr> Pricking<\/td> 水坑和网页钓鱼<\/td> https:\/\/github.com\/Rvn0xsy\/Pricking<\/td> <\/tr> henggeFish<\/td> 批量发送邮件<\/td> https:\/\/github.com\/SkewwG\/henggeFish<\/td> <\/tr> <\/tbody> <\/table>

工具名称<\/th>	用途<\/th>	GitHub地址<\/th> <\/tr> <\/thead>
SiteCopy<\/td>	克隆页面<\/td>	https:\/\/github.com\/Threezh1\/SiteCopy<\/td> <\/tr>
Pricking<\/td>	水坑和网页钓鱼<\/td>	https:\/\/github.com\/Rvn0xsy\/Pricking<\/td> <\/tr>
henggeFish<\/td>	批量发送邮件<\/td>	https:\/\/github.com\/SkewwG\/henggeFish<\/td> <\/tr> <\/tbody> <\/table>