記憶猶新的兩次釣魚都是金融類項目:一次是和三個小伙伴硬懟了一個月銀行后滚停,還要靠社工大佬釣魚才勉強(qiáng)完成紅隊測評報告死嗦。另一次是團(tuán)隊的小伙伴辛辛苦苦WEB打點啦一周褒繁,才發(fā)現(xiàn)大家都在釣魚犬庇,因為目標(biāo)同樣是金融類俯渤,結(jié)果可想而知呆细。
在經(jīng)歷過N次技不如人,甘拜下風(fēng)之后八匠,是時候靜下心來好好學(xué)習(xí)下釣魚啦絮爷!接下來,我們便從常見魚種梨树、釣法坑夯、裝備及技巧幾方面了解下釣魚!/手動狗頭
網(wǎng)絡(luò)釣魚(Phishing)
攻擊者利用欺騙性的電子郵件或偽造的 Web 站點等進(jìn)行網(wǎng)絡(luò)詐騙活動抡四。
關(guān)于網(wǎng)絡(luò)釣魚的概念解讀柜蜈,我覺得越抽象越合適,它只是社會工程學(xué)的一個思想指巡,傳統(tǒng)的網(wǎng)絡(luò)釣魚一般無特定人群或?qū)ο笫缏模S著釣魚技術(shù)和思路的發(fā)展,針對釣魚手法藻雪、技巧秘噪、對象等衍生出大量分支叫法,但如果忽視這些阔涉,結(jié)果只有一個缆娃,PUA SUCCESS!
魚叉式網(wǎng)絡(luò)釣魚(Spear Phishing)
魚叉式網(wǎng)絡(luò)釣魚相對于普通網(wǎng)絡(luò)釣魚瑰排,起攻擊對象并非一般普通人贯要,而是特定公司、組織之成員椭住,故受竊之資訊已非一般網(wǎng)絡(luò)釣魚所竊取之個人資料崇渗,而是其他高度敏感性資料,如知識產(chǎn)權(quán)及商業(yè)機(jī)密京郑。
鯨釣(whaling)
也被成為捕鯨式釣魚宅广。鯨釣的目標(biāo)多為特定公司、組織內(nèi)的最高決策層些举,比如CEO跟狱,CFO等等。這些人可以獲取非常有價值的信息户魏,包括商業(yè)秘密和管理公司賬戶的密碼驶臊。
鯨釣和魚叉式網(wǎng)絡(luò)釣魚的區(qū)別在于,鯨釣只針對組織內(nèi)的高級別人員叼丑,而魚叉式網(wǎng)絡(luò)釣魚的目標(biāo)是重要的組織关翎,它可能會向該組織內(nèi)的所有員工發(fā)釣魚郵件鸠信,而不單單針對高層纵寝。
水坑攻擊(Watering Hole Attack)
早在 2012 年,國外就有研究人員提出了“水坑攻擊”的概念星立。這種攻擊方式的命名受獅子等猛獸的狩獵方式啟發(fā)爽茴。在捕獵時,獅子并不總是會主動出擊贞铣,他們有時會埋伏水坑邊上闹啦,等目標(biāo)路過水坑停下來喝水的時候,就抓住時機(jī)展開攻擊辕坝。這樣的攻擊成功率就很高窍奋,因為目標(biāo)總是要到水坑“喝水”的。
水坑攻擊時一種看似簡單但成功率較高的網(wǎng)絡(luò)攻擊方式酱畅。攻擊目標(biāo)多為特定的團(tuán)體(組織琳袄、行業(yè)、地區(qū)等)纺酸。攻擊者首先通過猜測(或觀察)確定這組目標(biāo)經(jīng)常訪問的網(wǎng)站窖逗,然后入侵其中一個或多個網(wǎng)站,植入惡意軟件餐蔬。在目標(biāo)訪問該網(wǎng)站時碎紊,會被重定向到惡意網(wǎng)址或觸發(fā)惡意軟件執(zhí)行佑附,導(dǎo)致該組目標(biāo)中部分成員甚至全部成員被感染,由于此種攻擊借助了目標(biāo)團(tuán)體所信任的網(wǎng)站仗考,攻擊成功率很高音同,即便是那些對魚叉攻擊或其他形式的釣魚攻擊具有防護(hù)能力的團(tuán)體。
雖然少有資料把水坑攻擊放到釣魚攻擊一類秃嗜,但我們通過對水坑攻擊方式對解讀可以看出权均,水坑攻擊其實也可以算是魚叉式釣魚的一種延伸。
畢竟锅锨,誰說站在岸上的才叫漁夫叽赊?誰說污泥滿身的不算英雄!
網(wǎng)絡(luò)交友詐騙(Catfishing )
主要針對的是利用社交網(wǎng)站交友必搞、婚戀的人群必指。攻擊者在社交網(wǎng)站上創(chuàng)建虛假個人資料,欺騙交友者恕洲,進(jìn)而騙財騙色騙感情取劫,甚至竊取個人信息進(jìn)行更多惡意活動。
所謂鯰魚研侣,有一個故事:為了讓活鱈魚在運(yùn)輸過程中保持新鮮和活力谱邪,人們一般會在鱈魚群中放入一條鯰魚(catfish)。因為鯰魚是鱈魚的天敵庶诡,為了躲避鯰魚惦银,鱈魚會一直保持警惕,不會在死水中紋絲不動末誓。
面對鯰魚扯俱,沒有一個鱈魚會選擇無視,而這也促成了Catfishing計劃的推進(jìn)喇澡!之前接觸的一些詐騙案件迅栅,來自婚戀交友網(wǎng)站或者APP的占比還是挺高的。
其他
以上分類按照釣魚方法進(jìn)行了簡單的分類晴玖,倘若按照媒介分類的話读存,基站釣魚、wifi釣魚呕屎、badusb釣魚让簿、郵箱釣魚、短信釣魚等等等等秀睛,而且隨著釣魚技術(shù)的發(fā)展尔当,在技術(shù)范疇上也一直在革新,如針對區(qū)塊鏈的51% Attack等等蹂安,借本次垂釣系列椭迎,我們將在合法的范圍內(nèi)對主流垂釣技術(shù)展開一些技術(shù)探討锐帜。
總結(jié)
回顧一下自己的職業(yè)生涯,雖然一邊說著不擅釣魚畜号,但仔細(xì)想來抹估,釣魚其實也一直在用,主要是圍繞水坑攻擊技術(shù)展開弄兜。在真實的攻擊場景下,我們沒必要徒增桎梏瓷式,所有的釣魚思想和方案是可以并行的替饿。
筆者性格也算靦腆,catfishing可能真的不太適合我贸典,在如今的攻防演練盛行的時代视卢,如何在合情合理合三觀的實施社工,達(dá)成成果廊驼,這便是寫本系列的初衷据过。
