Sembra che quello che stai tentando di fare è una campagna di phishing sulla rete della tua azienda. Mentre hai una buona idea con il file .doc , l'implementazione sarebbe troppo complicata. Puoi farlo con macro , ma ci saranno un sacco di pop up che chiedono il utente per abilitare i macro e confermare che è pericoloso ecc. In definitiva, penso che la maggior parte dei dipendenti si spaventerebbe. Potresti scavare un po 'più a fondo e usare msfvenom per incorporare il malware in un file, ma ora stai sfruttando fisicamente la macchina di ogni utente della società che fa clic su di esso, il che è anche una cattiva idea. Se hai risorse aziendali che richiedono l'accesso con le credenziali della società, ti consiglio di inviare una copia letterale di un'email che verrà generata da quel servizio che richiede l'azione dell'utente facendo clic su un link (assicurati che il link non provenga dal url aziendale altrimenti si fidano e sconfigge lo scopo di farli sembrare prima di fare clic). Chiedi all'URL di reindirizzare su un server web (potrebbe farlo internamente con DNS senza acquistare il dominio) visualizzando una copia di una pagina di accesso a cui sono abituato, quindi reindirizza a una pagina "Sei stato catturato". In base alle informazioni di accesso, puoi determinare chi è stato catturato.
Nell'interesse della sicurezza, consiglio NOT di registrare una qualsiasi password sul server web e di includere uno snippet nella pagina "Sei stato catturato", in modo da poter cambiare immediatamente la password. La migliore pratica sarebbe quella di garantire che il modulo Web non invii nemmeno la password o la sostituisca con un testo casuale prima di inviarlo in rete.
Per rispondere alla tua domanda sul firewall, ti consiglio di non fare nessuna parte di questo al di fuori della rete aziendale, se possibile. Ciò aumenterebbe le possibilità di intercettazione di informazioni da parte di attori malintenzionati. Nel caso in cui questo traffico si spenga in rete, ciò dipenderà dagli ACL, ma la maggior parte del traffico HTTP non è molto limitato.
Soprattutto, assicurati di tenere una riunione dopo la campagna di pesca in modo che tu possa spiegare ai dipendenti cosa è successo, come tenerlo d'occhio e cosa fare se succede di nuovo.
Modifica 1:
Se sei preoccupato di ingannare gli utenti che utilizzano la loro macchina fuori dalla rete, ti consiglio di utilizzare un nome di dominio registrato con TLS diretto a un server web di proprietà della tua azienda e ospitato nel dominio della società. Per impostazione predefinita, gli ACL probabilmente non permetteranno il traffico HTTP a qualsiasi macchina da Internet. Se il server web si trova in un datacenter, potrebbe essere più probabile. Dovrai lavorare con NetOps, il team o chiunque sia responsabile degli ACL di rete per confermare ciò.