甲方钓鱼演练实施指南

// 弹窗提示
window.alert = function(msg, callback) {
  // 自定义弹窗代码
  alert("很遗憾活动结束!");
}

// 页面跳转方法
window.location.href="目标页面";

甲方钓鱼演练实施指南 1. 演练前准备工作 1.1 需求背景 应对政策合规和攻防演练检测两大KPI 将演练与安全意识培训相结合 1.2 协同资源 领导沟通确认 申请"免死金牌" 说明演练收益、实施过程和结果处置方案 数据资源协调 获取参与演练人员的邮箱地址 以邮件形式沟通并强调保密性 合作共赢 与HR部门协商组织安全意识培训课程 确保演练后有连贯性学习 2. 规划演练 2.1 人员选择范围 重点部门 ：产研团队、数据团队、客服、销售团队 排除对象 ：高级领导和财务等敏感部门 2.2 钓鱼方式选择 凭证类钓鱼 获取账号凭证 确保钓到的账号密码外网可用 证明危害性以推动多因子验证 木马钓鱼 获取电脑信息并建立据点 侵入性较大，不推荐大面积使用 3. 实施钓鱼阶段 3.1 话术剧本设计 四要素原则 ：人、事、物、时间 禁止内容 ：政治、疫情、舆情、绯闻相关 角色扮演 ：HR、行政、IT等合理角色 事件合理性 ：符合公司日常习惯 驱动动作 ：利诱或威逼执行特定操作 时间因素 ：制造紧迫感 示例剧本 ： 角色：HR部门 事件：征集回家过节礼品选择 时间：限定截止日期 奖励：前100名完成者获神秘礼物 3.2 钓鱼页面制作 工具选择 SiteCopy ：克隆页面工具 GitHub: https://github.com/Threezh1/SiteCopy Pricking ：自动化部署水坑和网页钓鱼工具 GitHub: https://github.com/Rvn0xsy/Pricking 用于nginx代理和记录账号密码 henggeFish ：邮件批量发送工具 GitHub: https://github.com/SkewwG/henggeFish 考虑垃圾邮件绕过机制 页面选择原则 选择具有外部SSO和内部ERP混用的登录页面 确保页面与话术配合合理 克隆页面制作 内网服务 ： 使用SiteCopy克隆到国外VPS 解决内网页面外网访问问题 外网服务 ： 直接使用Pricking 复杂页面可结合SiteCopy 页面部署 使用宝塔面板快速部署 方便HTTPS证书申请 便捷的域名绑定和文件管理 安全原则： 权限最小化 非必要不开启服务 使用时开启，不用时关闭 跳转技巧 提交后显示"活动结束"提示 跳转到公司论坛或Wiki页面 使用Pricking的hook功能记录账号密码 前端代码示例 ： 3.3 域名准备 使用国外域名避免备案问题 开启域名隐私保护 使用子域名混淆绕过浏览器检测 例如：login.oday.com.sso1.xyz/redict.html 测试域名是否会被识别为钓鱼页面 3.4 账号密码获取 调用SSO接口验证密码正确性 或对密码进行MD5加密存储 避免保留明文密码 3.5 批量发送邮件 邮箱准备 Outlook邮箱 垃圾过滤机制较宽松 使用10分钟邮箱注册 利用接码平台认证 163邮箱 1个手机号可认证15个邮箱 每个邮箱发送10个地址 发送技巧 使用密送方式发送 避免使用邮件组发送 测试全流程后再正式发送 4. 培训方案 钓鱼社工宣贯 使用真实数据作为案例 针对性部门培训 研发团队：技术导向 其他团队：安全意识导向 安全部门职能介绍 如何识别钓鱼 快速上报渠道 5. 工具总结 | 工具名称 | 用途 | GitHub地址 | |---------|------|-----------| | SiteCopy | 克隆页面 | https://github.com/Threezh1/SiteCopy | | Pricking | 水坑和网页钓鱼 | https://github.com/Rvn0xsy/Pricking | | henggeFish | 批量发送邮件 | https://github.com/SkewwG/henggeFish |