Questa domanda è, in parte, "Come faccio a ricevere le mie email di phishing oltre il rilevamento dello spam?" rispondere che non è davvero nel nostro interesse e non dovresti passare troppo tempo esso. Invece, ottieni il tuo server di invio autorizzato nella whitelist in modo che il test non venga eseguito attraverso i filtri antispam.
La soluzione più semplice è utilizzare un'agenzia di test ben nota come Cofense PhishMe , Wombat o KnowBe4 , e faranno il sollevamento pesante e ti guideranno attraverso il resto. Questo potrebbe non essere l'ideale se hai un budget davvero piccolo e / o se fa parte di un progetto studentesco.
Un buon test di phishing in-house deve
Hai il permesso:
- Approvazione da parte di un dirigente o direttore, non solo IT o Ingegneria
- I team infosec e netops rilevanti dovrebbero firmare questo test
Utilizza server esterni:
- Invia il test da un intervallo di indirizzi IP esterno
- Ignora la scansione antispam inserendo nella whitelist gli IP di invio del test
Identificarsi come test di phishing nelle intestazioni:
- Aggiungi un'intestazione
X-PHISHTEST
con le tue informazioni di contatto per le escalation
- Lasciando questo indicatore i gruppi di sicurezza possono ignorare tranquillamente i report
The X-PHISHTEST
header triggers a “phishing attack” verdict in some spam detection solutions and prevents the “free pass” for reported phishing reports from meddling with real attack detection. Note the need for whitelisting above.
Avere un buon sito di atterraggio:
- Considera un dominio vanity come
<institution>-support.com
- Incorpora ciascun indirizzo utente nella stringa di query del collegamento
- Registrare i clic degli utenti e gli IP da cui hanno fatto clic per il rapporto
- Spiega agli utenti che si sono innamorati della tua trappola e li hanno educati
- Collegamento o contenuto host simile al APWG 's Stop.Think.Connect.
- Rivela il test alla radice del documento o senza una stringa di query
così i ricercatori di sicurezza possono capire il tuo intento
Test di phishing non validi
- Si metteranno nei guai con la gestione dei tester
- Può ottenere la sospensione degli account più grandi
- Potrebbe essere preso come spam e quindi non riuscire a raggiungere gli obiettivi
- Rischio fastidioso ma non educare la base utenti
- Confonderà i filtri antispam se formati come phishing
risposte alle tue domande specifiche
Dove posso ospitare questo sito e come posso inviare questa email?
Se segui le regole precedenti su un buon test e un buon sito di atterraggio, non dovresti incontrare problemi. Come indicato sopra, è una buona idea avvisare i gestori di rete (inclusa la società di hosting Web) prima di eseguire questo test.
Ho visto alcuni siti di hosting gratuiti. I provider di posta elettronica danno scarsa reputazione a tali siti di hosting gratuiti?
Probabilmente ti stai riferendo a sistemi di rilevamento dello spam, che al giorno d'oggi sono straordinariamente complessi, coinvolgendo quanti più metadati possibile e combinando tutto con un sacco di salsa segreta e apprendimento automatico. Vuoi veramente bypassare il rilevamento dello spam con la whitelist. L'antispam lato client è raramente abbastanza potente da discriminare nel modo in cui ti stai preoccupando.
Inoltre, per inviare l'email, dovrei scegliere i provider di servizi di posta elettronica più diffusi come gmail, hotmail o dovrei usare la posta elettronica usa e getta? Cosa aumenterà le possibilità che l'email raggiunga gli utenti?
Ancora una volta, devi evitare l'anti-spam, a questo punto la maggior parte di questo non ha importanza. Un dominio di vanity a basso costo come <institution>-support.com
viene fornito con la possibilità di inviare all'interno dell'ambiente ospitato dal tuo provider.
Ritengo che GMail e Hotmail siano monouso. Molti test di penetrazione registrano account come <institution>[email protected]
e usano buoni buoni da nomi come <institution> Support
(che è l'unica cosa che viene visualizzata dai client di posta mobili).