假冒电子邮件网络钓鱼，你需要知道的秘密！

　　随着大型企业的边界安全越来越好，无论是APT攻击还是红蓝对抗演练，钓鱼、水坑攻击的使用越来越多。

　　由于发送电子邮件的传统标准——1982年制定的简单邮件传输协议（SMTP）根本不验证发件人的电子邮件地址，垃圾邮件发送者可以随意编造发件人地址来发送垃圾邮件。 收件人很无助，因为你无法分辨电子邮件是谁发送的。

　　在SPF系统中，每个需要发送邮件的企业在其公开发布的DNS域名记录中列出了自己域名下所有需要发送邮件的IP地址段； 接收电子邮件的服务器会列出电子邮件中的发件人。 其所属的域名，搜索该公司颁发的合法IP地址范围，然后检查发送电子邮件的机器是否属于这些地址范围，就可以判断该电子邮件是否是伪造的。

　　一般来说，发件人会在电子邮件的标头中插入 DKIM-Signature 和电子签名信息。 接收方通过DNS查询获取公钥，然后进行验证。

　　【DMARC】协议基于现有的两种主流电子邮件安全协议【DKIM】和【SPF】。 邮件发送者（域所有者）在[DNS]中声明它采用此协议。 当邮件接收方（其MTA需要支持DMARC协议）收到从该域发送的电子邮件时，会执行DMARC验证。 如果验证失败，需要将报告发送到指定的[URI]（通常是电子邮件地址）。

　　80端口代表钓鱼网站开放的端口； 后端管理页面开放的端口为3333，默认账号和密码为admin/gophish。

　　可能会提示证书不正确，点击高级-继续页面，输入默认账号和密码登录：admin/gophish

　　它可能不是默认密码。 vps启动./gophish后，命令行中会给出一个临时密码。 使用临时密码登录，然后设置新密码。

　　打开浏览器访问：80/ 由于我们没有配置钓鱼页面，所以出现面未找到的小提示说明运行正常。

　　进入后台后，左边的栏代表各种功能，包括仪表板、营销活动、用户和组、电子邮件模板、登陆页面和发送配置文件：

　　单击新建配置文件以创建新策略并依次填写每个字段。 填写您刚刚创建的发送电子邮件地址和用户名。

　　Interface Type：Interface Type是接口类型。 默认为 SMTP 类型，不可修改。 因此，需要在发送邮箱中启用SMTP服务。 然而，SMTP的25端口在大多数机器上被禁用，因此需要将其配置为465端口。

　　From:From 是发件人，如网络钓鱼电子邮件中所示。 （实际使用中，一般需要伪造近似域名）。

　　（可选）电子邮件标头：电子邮件标头是自定义电子邮件标头字段，例如电子邮件标头的 X-Mailer 字段。 如果不修改该字段的值，则通过gophish发送的邮件的邮件头的X-Mailer值将默认为gophish。

　　设置完以上字段后，您可以单击“发送测试电子邮件”发送测试电子邮件，以检查 SMTP 服务器是否通过身份验证。

　　配置钓鱼邮件后，您可以通过LandingPages模块创建新的钓鱼网站页面。 这里支持手写html文件，也可以导入网站功能。

　　第一个是导入站点。 点击“导入站点”后，填写伪造网站的URL，然后点击“导入”，即可通过互联网自动抓取伪造网站的前端代码。

　　内容编辑框是编辑钓鱼页面的第二种方法，但大多数情况下，更多的是用来辅助第一种方法，即修改源代码和预览导入的页面。

　　通常，网络钓鱼的目的是捕获受害者的用户名和密码。 因此，在单击“保存页面”之前，请记住选中“捕获提交的数据”。 勾选Capture Submitted Data后，页面上会多出一个Capture Passwords。 选项，显然是为了捕获密码。 通常，可以选择选中该框来验证帐户可用性。 如果只是为了测试统计受害用户是否提交数据而不泄露账户隐私，则无需检查。 此外，当选中“捕获提交的数据”时，页面上还会有一个额外的“重定向到”。 它的功能是当受害用户点击时，点击提交。 表单之后，将页面重定向到指定的 URL。 可以填写伪造网站的URL，造成受害者第一次填写错误的账号和密码的感觉（一般来说，当登录页面提交的表单数据与数据库不一致时，URL登录页面的最后会添加一个error参数，用于提示用户用户账号或密码不正确，所以在Redirect to中，最好在URL中填写error参数）。

　　第一个是导入电子邮件。 用户可以先在自己的邮箱系统中设计一封钓鱼邮件，然后发送给自己或其他合作伙伴。 他们收到设计的电子邮件后，可以打开它并选择导出为eml文件或显示电子邮件的原始文本，然后将内容复制到gophish的导入电子邮件中以导入设计的钓鱼电子邮件。

　　需要注意的是，在单击“导入”之前，您需要选中“更改链接以指向登陆页面”。 当钓鱼事件发生时，该功能会自动将电子邮件中的超链接转换为钓鱼网站的URL。

　　主题：主题是电子邮件的主题。 通常为了提高电子邮件的真实性，你需要自己编一个有吸引力的主题。

　　内容编辑框：内容编辑框是编写电子邮件内容的第二种模式。 内容编辑框提供了文本和HTML两种模式来编写电子邮件内容。 使用方法与普通编辑器相同。 其中，HTML模式下的预览功能较为常用。 编辑完内容后，点击“预览”即可清楚地看到邮件的具体内容和格式。

　　添加跟踪图像：添加跟踪图像是在钓鱼邮件末尾添加跟踪图像，以跟踪受害者是否打开了收到的钓鱼邮件。 默认情况下会选中它。 如果不勾选，将无法追踪受害用户是否打开钓鱼邮件（注：追踪受害用户是否点击钓鱼链接以及捕获提交的数据不会受其影响）添加文件：正在发送添加文件 可以将附件添加到电子邮件中。 首先，可以添加相关文件以提高电子邮件的真实性。 其次，可以与反杀木马配合使用，诱导受害用户下载并打开。

　　Users & Groups的作用是将钓鱼目标邮箱地址导入gophish并准备发送。 单击新建组创建新的钓鱼目标用户组。

　　批量导入用户：批量导入用户是批量导入用户邮箱。 通过上传符合特定模板的CSV文件，批量导入目标用户邮箱。 单击旁边灰色字体的“下载 CSV 模板”可下载特定的 CSV 模板文件。 其中，模板文件的Email为必填项，其余Frist Name、Last Name、Position为选填项。

　　补充：除了批量导入目标用户邮箱外，gophish还提供了导入单个邮箱的方法，非常方便在开始钓鱼之前对钓鱼组织进行内部测试。 无需上传繁琐的文件，直接填写电子邮件即可，其余的名字、姓氏和职位都是可选的。

　　编辑目标用户的电子邮件地址后，单击保存更改，将编辑后的目标电子邮件地址保存在 gophish 中。

　　在营销活动中，您可以创建新的钓鱼事件，选择编辑好的钓鱼邮件模板和钓鱼页面，通过配置的发送地址将钓鱼邮件发送给目标用户组中的所有用户。

　　（要点）URL：URL是用于替换所选钓鱼邮件模板中的超链接的值，该值指向所选钓鱼页面部署的URL。

　　简单来说，这里的URL需要填写当前运行gophish脚本的主机的IP地址。 因为启动gophish后，gophish默认监听3333和80端口。 3333端口为后台管理系统，80端口用于部署钓鱼页面。 当URL填写主机IP/，或[]()时，当前钓鱼事件创建成功。 gophish 将在主机的 80 端口上部署当前钓鱼事件选择的钓鱼页面，并将发送的钓鱼邮件中的所有超链接替换为部署在 80 端口上的钓鱼页面的 URL。

　　启动日期：启动日期是网络钓鱼事件的实施日期。 通常，如果只发送少量电子邮件，则此项不需要修改。 如果您需要发送大量电子邮件，最好使用旁边的发送电子邮件方式。

　　（可选）Send Emails By：与Launch Date结合使用，Send Emails By可以理解为当前钓鱼事件下所有钓鱼邮件发送的时间。 Launch Date 用作开始发送时间，Send Emails By 用作完成发送时间，两者之间的时间将除以所有电子邮件（以分钟为单位）。

　　填写完上述字段并点击启动活动后，就会创建该钓鱼事件（注意：如果不修改启动日期，默认情况下，钓鱼事件创建后会立即发送钓鱼邮件）。

　　当网络钓鱼事件发生时，仪表板将自动开始统计数据。 统计数据项包括邮件发送成功数及率、邮件打开数及率、钓鱼链接被点击数及率、账号及密码数据提交数及率、提交次数及率等。收到的电子邮件报告的数量。 。 此外，还有一个时间线，记录每个行为发生的时间。

　　需要说明的是，Dashboard统计的是所有钓鱼事件的数据，而不是单个钓鱼事件的数据。 如果您只需要查看单个钓鱼事件的统计信息，您可以在营销活动中找到该钓鱼事件，然后单击“查看结果”按钮进行查看。

　　然后扫描该IP地址的C段（端口25、109、110、143、465、995、993）。 一般情况下，很容易找到目标邮件服务器入口。

　　收集完邮箱后，我们需要对邮箱进行验证，因为部分目标公司员工已经放弃或不再使用（辞职、调岗等）。

　　我们在枚举邮箱用户的时候，尽量查找尽可能多的词典，比如汉语拼音、缩写词前100、1000、10000。这里我们需要更多的鱼叉。 多一个邮箱就意味着多一份成功。 速度。

　　当然，我们可以提取出可疑的网络管理员、运维人员、安全部门人员。 这些人单独写邮件或者不发送，因为这些人的安全意识比较高，很容易惊动别人。 我们需要确保一些非技术员工的安全。 意识薄弱的人开始采摘弱柿子。

　　这种弱口令爆破的方法只适用于目标公司自有的邮件服务器如OWA等，百度、腾讯、阿里巴巴、网易等邮箱不优先考虑。

　　此外，电子邮件用户名和密码经常使用公司缩写+2019、2020等社会工程密码。 额外的字典将提高成功率。

　　对于 SPF，您需要绕过 SPF。 您可以使用swaks+smtp2go。 您需要使用电子邮件托管平台来绕过 SPF 监控。

　　通过文案写作，如何让你的电子邮件看起来更真实？ 最简单的就是利用超链接将元素内容改为你想要仿冒的域名。 在电子邮件页面上，将直接显示该元素的内容。 我们可以使用一些与目标相似的域名。 比如用0代替o，用1代替l，vv代替w等。你需要发挥你的想象力来寻找相似的域名：如果你找不到这样相似的域名或者这个域名比较价格昂贵，你可以尝试一些更粗俗的东西。 。 例如，如何使用国际域名注册域名？ 在了解如何注册此类域名之前，您需要首先了解什么是国际域名IDN。

　　是指域名中至少包含一个特殊语言字母的域名。 特殊语言包括中文、法语、拉丁语等。在DNS系统工作中，这个域名会被编码成ASCII字符串，并通过Punycode进行翻译。 Punycode是基于RFC 3492标准开发的编码系统。 主要用于将域名从本地语言使用的Unicode编码转换为可以在DNS系统中使用的编码。

　　目前，由于操作系统的核心是由英文组成，而DNS服务器的解析也是通过英文代码进行交换，因此DNS服务器不支持直接的中文域名解析。 所有中文域名解析都需要转换成punycode代码，然后被DNS Parse punycode代码使用。 事实上，目前所有主流浏览器都完美支持IDN域名。 浏览器会自动对IDN域名进行Punycode，地址栏仍显示原来输入的IDN域名。

　　乍一看，它们看起来一样。 但是当第一个域名复制到浏览器时，就变成了其他字符。仔细一看，第一个域名n下面有一个点，哈哈哈，这就是区别，其实是转码后的域名庞尼码

　　之前的假冒看起来类似，但如果浏览器上直接出现不安全警告或者红色斜线，很容易引起目标的警惕。 所以在条件允许的情况下，尽量去做全套剧。