模板一 根据实际情况 #
选择邮件主题 #
1、经过一番信息收集,我们找到了一则通知是关于客户公司近期正在推广新的信息公示系统,并附上了信息公示系统的URL(无需身份认证),所以可以利用这一点编辑一封主题是关于推广新信息公示系统的钓鱼邮件,诱导公司员工先通过我们的钓鱼页面登录OA门户,再通过重定向,定位到新的信息公示系统。这样,既能捕获到员工的OA账号密码,又能够有效降低可疑度,形成一个闭环。
确定发件人 #
准备的差不多后,客户发来了一份员工及部门的邮箱列表,通过筛选,结合公司情况,我们确定了一个技术部的邮箱,并伪造成”技术部<jishubu@abcI(i)mn.com>”来发送钓鱼邮件,保证了钓鱼邮件的权威性和可信度
模板二 简历模板 #
攻击手段:根据招聘信息对招聘邮箱进行钓鱼邮件攻击,发送带有宏代码的简历文档,及免杀exe程序
邮件模板: 您好: 看到贵公司官网在招聘产品开发岗,本人7年金融证券相关产品开发经验,具有较为丰富的项目经验,主要擅长Java,C++等语言,附件是本人开发的作品及个人简历,还请贵司查看,期待您的回信,谢谢。
模板三 合作模板 #
攻击手段:根据官网搜集到公司的业务功能、合作的企业信息及联系方式
发送钓鱼邮件附件为带有office宏攻击代码的word文档。
邮件模板: xxx公司您好: 我是xxx公司市场营销部的xxx,我在贵公司官网上了解到贵方有提供xxx业务服务(或经xxx合作商推荐)。满足本公司的项目需求,故有合作意向,以下为本公司的项目合作意向书,请查阅,希望能与贵方合作共赢!
模板四 投诉邮件 #
攻击手段:
根据官网搜集到目标咨询及投诉渠道获取邮箱账号。
发送钓鱼邮件附件为带有office宏攻击代码的word文档。
邮件模板: xxx银行您好: 我是贵方银行的用户,我于x月x日与行方在线客户进行业务咨询,但是编号xxx客服服务态度恶劣且怠慢,非但没能解决我的问题,还给我带来了很不好的用户体验。相关聊天记已记录在文档里,请行内人员尽快给一个处理的结果。 模板五 官方通告
文章来源 #
网络钓鱼案例学习 - Ctrl_C+Ctrl_V - 博客园
https://www.cnblogs.com/sakura521/p/14923399.html