
#### 概述 (Overview)

钓鱼（Phishing）是一种基于社交工程的网络攻击形式，主要通过电子邮件进行。社交工程是指通过利用人性的心理弱点（如好奇、恐惧、贪婪、助人意愿等）来操纵个体执行特定行为或泄露敏感信息。钓鱼攻击的目的是诱骗受害者泄露个人信息、账户凭证，或在其计算机上执行恶意代码。

钓鱼邮件通常伪装成来自受害者信任的来源，如知名企业、合法机构或已知联系人。邮件内容旨在制造紧迫感、恐惧或诱惑，驱使受害者点击恶意链接、下载并打开附件，或直接回复敏感信息。

#### 钓鱼攻击的类型 (Types of Phishing Attacks)

根据目标的范围和定制程度，钓鱼攻击可以分为几种类型：

- **钓鱼 (Phishing)**：针对广泛人群的大规模攻击，邮件内容通常比较通用。
- **鱼叉式钓鱼 (Spear Phishing)**：针对特定个人、企业或组织的定制化攻击。邮件内容根据目标的特点（如姓名、职位、公司、兴趣）量身定制，使其更具欺骗性，更难被技术手段（如垃圾邮件过滤器）检测。鱼叉式钓鱼是红队行动中获取初始访问的常用手段。
- **短信钓鱼 (Smishing)**：通过短信（SMS）进行的钓鱼攻击。
- **语音钓鱼 (Vishing)**：通过电话进行的钓鱼攻击，攻击者可能冒充银行工作人员、技术支持等。

**示例场景**:

1. 攻击者侦察到目标公司位置及其附近的食品供应商。
2. 发现一家本地饼干店“终极饼干”。
3. 攻击者注册一个类似域名 `ultimate-cookies.thm`。
4. 攻击者向目标公司员工发送邮件，伪装成“终极饼干”，以免费饼干为诱饵，诱导员工访问网站注册。
5. 员工因熟悉这家本地店而更容易信任，点击链接访问攻击者搭建的虚假网站并注册（可能使用与其他账户相同的密码）。
6. 攻击者获取到员工的电子邮件和密码，成功登录其公司邮箱。
7. 攻击者现在可以访问公司内部信息，并利用该邮箱对其他员工发起进一步的钓鱼攻击。

#### 钓鱼攻击的构成要素 (Components of a Phishing Attack)

一个成功的钓鱼邮件需要精心设计其各个组成部分，使其尽可能具有说服力。

- **发件人地址 (Sender Address)**：
    - 理想情况下，发件人地址应模仿知名品牌、合法机构或目标熟悉的联系人/同事的域名和邮箱格式。
    - 可以利用 OSINT 手段（如社交媒体、公开评论、招聘信息、LinkedIn）了解受害者与哪些品牌或个人有互动。
- **主题 (Subject Line)**：
    - 应设置为紧急、担忧或能引起强烈好奇的内容，促使受害者立即打开邮件。
    - **示例**: “您的账户异常登录警告”、“您的包裹配送失败”、“重要通知：工资信息更新（请勿转发）”、“您有新照片需要查看”。
- **内容 (Content)**：
    - 如果冒充品牌或供应商，应研究其官方邮件模板（风格、标志、措辞、签名等），力求高度模仿。
    - 如果冒充个人或同事，应了解其常用的称呼、邮件签名习惯等细节，增加真实感。
    - **恶意链接**: 指向攻击者搭建的钓鱼网站或托管恶意载荷的页面。应使用锚文本伪装，如 `<a href="http://spoofsite.thm">点击此处验证账户</a>` 或 `<a href="http://spoofsite.thm">https://legitbank.com/login</a>`，使链接文本看起来合法。

#### 钓鱼基础设施 (Phishing Infrastructure)

发起钓鱼活动通常需要搭建一定的后台基础设施来支持邮件发送、网站托管和数据收集。

- **域名 (Domain Name)**：注册一个看起来正式、易混淆或模仿目标域名的域名。
- **SSL/TLS 证书**: 为钓鱼网站申请证书，使网站通过 HTTPS 加密连接，增加合法性外观。
- **邮件服务器/账户 (Mail Server/Account)**：用于发送大量定制化邮件。可以自建邮件服务器或使用支持 SMTP 发信服务的提供商。
- **DNS 记录 (DNS Records)**：正确配置 SPF (Sender Policy Framework)、DKIM (DomainKeys Identified Mail)、DMARC (Domain-Based Message Authentication, Reporting & Conformance) 1记录，提高邮件的可投递性，降低被识别为垃圾邮件的概率。
- **Web 服务器 (Web Server)**：托管钓鱼网站或恶意载荷。服务器也应配置 SSL/TLS。
- **分析 (Analytics)**：用于跟踪钓鱼活动的效果，例如已发送、成功送达、打开、点击链接、提交数据（凭证）的邮件数量和具体用户。

#### 钓鱼工具 (Phishing Tools)

自动化工具可以极大地简化钓鱼活动的设置、执行和管理。

- **GoPhish**:
    - **是什么**: 开源、基于 Web 的钓鱼框架。
    - **特点**: 提供用户友好的界面，方便配置发送服务器、创建邮件模板和登录页面（支持所见即所得编辑、导入 HTML），管理目标用户组，启动和跟踪钓鱼活动，提供详细的结果分析仪表板。
    - **网站**: `getgophish.com`。
- **SET (Social Engineering Toolkit)**:
    - **是什么**: 开源的社交工程工具集。
    - **特点**: 包含多种攻击模块，包括创建鱼叉式钓鱼邮件、快速克隆网站以搭建钓鱼页面、生成各种格式的恶意载荷等。
    - **网站**: `trustedsec.com`。

#### GoPhish 使用示例 (GoPhish Usage Example)

使用 GoPhish 搭建一次简单的钓鱼活动流程。

1. **配置发送服务器 (Sending Profiles)**: 设置用于发送邮件的 SMTP 服务器连接信息。
    - 点击 `Sending Profiles` -> `New Profile`。
    - 填写名称、发件人 (`From` 地址)、SMTP 服务器地址和端口 (`Host`)、认证信息等。
    - `Save Profile`。
2. **创建登录页面 (Landing Pages)**: 设计受害者点击钓鱼链接后访问的虚假网站页面。
    - 点击 `Landing Pages` -> `New Page`。
    - 填写名称、导入或编写 HTML 代码（如仿冒登录页）。
    - **关键**: 勾选 `Capture Submitted Data` 和 `Capture Passwords` 框，确保收集用户输入。
    - 配置重定向页面 (`Redirect to`)：用户提交数据后重定向到的页面（如真实的登录成功页面）。
    - `Save Page`。
    - _示例 HTML (仿冒登录页)_:
        
        HTML
        
        ```
        <!DOCTYPE html>
        <html lang="en">
        <head>
            <meta charset="UTF-8">
            <title>ACME IT SUPPORT - Admin Panel</title>
            </head>
        <body>
            <h2>ACME IT SUPPORT</h2>
            <h3>Admin Panel</h3>
            <form method="post">
                <div class="login-form">
                    <div>Username:</div>
                    <div><input name="username"></div>
                    <div>Password:</div>
                    <div><input type="password" name="password"></div>
                    <div><input type="submit" value="Login"></div>
                </div>
            </form>
        </body>
        </html>
        ```
        
3. **创建邮件模板 (Email Templates)**: 设计钓鱼邮件的内容和格式。
    - 点击 `Email Templates` -> `New Template`。
    - 填写名称、主题 (`Subject`)。
    - 在 HTML 编辑器中编写邮件内容，插入图片、格式化文本等。
    - **关键**: 插入指向登录页面的链接。链接文本可以是任何具有诱导性的文字（如“点击此处”），但实际 URL 需要使用 GoPhish 的变量标签，GoPhish 发送邮件时会将其替换为托管登录页面的 URL。通常是在链接的 URL 字段填写 `{{.URL}}` 或通过界面按钮插入链接并指定 URL 为 `{{.URL}}`。
    - `Save Template`。
4. **创建用户和组 (Users and Groups)**: 导入或手动添加目标用户的电子邮件地址列表。
    - 点击 `Users & Groups` -> `New Group`。
    - 填写组名称，添加目标用户的电子邮件地址列表。
    - `Save Group`。
5. **创建并启动活动 (Campaigns)**: 将前面创建的组件组合起来，配置活动参数并开始发送邮件。
    - 点击 `Campaigns` -> `New Campaign`。
    - 填写活动名称。
    - 选择之前创建的 `Email Template`、`Landing Page`、`Sending Profile`、`Users & Groups`。
    - 设置托管钓鱼页面的公共访问 URL (`URL`)。
    - 设置启动日期 (`Launch Date`)。
    - `Launch Campaign`。
6. **查看结果 (Results)**: 跟踪活动的实时进展和效果。
    - GoPhish 提供一个仪表板，显示邮件发送、送达、打开、点击链接、提交数据等统计信息。
    - 可以查看每个目标用户的详细状态变化历史。

#### 相关概念与技术 (Related Concepts and Techniques)

与钓鱼攻击密切相关的其他技术和策略。

- **投递器 (Droppers)**：
    - **是什么**: 在钓鱼攻击中，有时不是直接发送最终恶意软件，而是发送一个“投递器”。投递器本身通常体积小，代码简单，旨在绕过初级检测。
    - **功能**: 在受害者系统上执行后，投递器负责下载、解密或解压并执行真正的恶意载荷。
- **选择钓鱼域名 (Choosing Phishing Domains)**：
    - **重要性**: 好的钓鱼域名能增加邮件和网站的欺骗性，并可能影响邮件过滤器评分。
    - **策略**:
        - **过期域名**: 购买已有历史的过期域名，可能比全新域名有更好的邮件发送信誉。
        - **拼写欺骗 (Typosquatting)**: 注册与目标域名非常相似的域名，利用用户的打字错误或快速浏览时的视觉误差（如 `g00gle.com` 仿冒 `google.com`，`micorsoft.com` 仿冒 `microsoft.com`）。
        - **顶级域名替代 (TLD Substitution)**: 使用相同的域名主体，但更换顶级域名（如 `target.org` 仿冒 `target.com`）。
        - **域名同形字攻击/脚本欺骗 (Domain Homograph Attacks / Script Spoofing)**: 利用 Unicode 字符集中不同语言脚本中视觉上相似或相同的字符来注册域名，创建与真实域名看起来几乎完全一样的假域名（如使用西里尔字母 `а` 替换拉丁字母 `a`）。
- **在钓鱼中使用 MS Office 文档 (Using MS Office Documents in Phishing)**：
    - **方法**: 将包含恶意宏（VBA 代码）的 Office 文档作为钓鱼邮件附件发送。
    - **执行**: 用户打开文档时，Office 通常会提示“启用宏”。如果用户选择启用，则宏代码将被执行，可以用于下载并执行恶意载荷、窃取信息等。
    - **示例场景**: 伪装成重要文件（如工资表、发票），利用用户的好奇心或工作职责诱导其打开并启用宏。

钓鱼（Phishing）是一种基于社交工程的网络攻击形式，主要通过电子邮件进行。社交工程是指通过利用人性的心理弱点（如好奇、恐惧、贪婪、助人意愿等）来操纵个体执行特定行为或泄露敏感信息。钓鱼攻击的目的是诱骗受害者泄露个人信息、账户凭证，或在其计算机上执行恶意代码。

钓鱼攻击全解：技术与实战

安全

钓鱼攻击是一种社交工程网络攻击，通过伪装成可信来源的邮件、短信或电话诱骗受害者泄露敏感信息。常见类型包括普通钓鱼、鱼叉式钓鱼、短信钓鱼和语音钓鱼。攻击者精心设计发件人地址、主题和内容，利用紧迫感或诱惑诱导点击恶意链接。钓鱼工具如GoPhish可自动化攻击流程，提高成功率。防范需警惕异常邮件，核实来源，避免随意点击链接或下载附件。

服务器

TLS证书

短信

热销域名限时优惠，新客首年免费！


domain

4核4G3M云服务器 新用户低至38元/年！

国内短信0.038元/条起，接入便捷，稳定可靠


文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

钓鱼攻击是一种社交工程网络攻击，通过伪装成可信来源的邮件、短信或电话诱骗受害者泄露敏感信息。常见类型包括普通钓鱼、鱼叉式钓鱼、短信钓鱼和语音钓鱼。攻击者精心设计发件人地址、主题和内容，利用紧迫感或诱惑诱导点击恶意链接。钓鱼工具如GoPhish可自动化攻击流程，提高成功率。防范需警惕异常邮件，核实来源，避免随意点击链接或...

钓鱼攻击全解：技术与实战-腾讯云开发者社区-腾讯云

钓鱼攻击全解：技术与实战

钓鱼攻击全解：技术与实战

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐