Conduzione di attacchi di phishing etico [chiuso]

0

Per scopi di ricerca, sto conducendo un attacco di phishing etico nella mia istituzione. Ho il permesso dall'istituzione per lo stesso. Ho creato il sito di phishing e il contenuto dell'email e registrerò chi e quanti utenti hanno visitato il sito di phishing. Intendo inviare collegamenti a un sito Web di phishing nell'email come questo .

Dove posso ospitare questo sito e come posso inviare questa email?

Ho visto alcuni siti di hosting gratuiti. I provider di posta elettronica danno scarsa reputazione a tali siti di hosting gratuiti?

Inoltre, per inviare l'e-mail, dovrei scegliere i provider di servizi di posta elettronica più diffusi come gmail, hotmail o dovrei usare e-mail usa e getta? Cosa aumenterà le possibilità che l'email raggiunga gli utenti?

    
posta user5155835 18.10.2017 - 12:30
fonte

2 risposte

3

Questa domanda è, in parte, "Come faccio a ricevere le mie email di phishing oltre il rilevamento dello spam?" rispondere che non è davvero nel nostro interesse e non dovresti passare troppo tempo esso. Invece, ottieni il tuo server di invio autorizzato nella whitelist in modo che il test non venga eseguito attraverso i filtri antispam.

La soluzione più semplice è utilizzare un'agenzia di test ben nota come Cofense PhishMe , Wombat o KnowBe4 , e faranno il sollevamento pesante e ti guideranno attraverso il resto. Questo potrebbe non essere l'ideale se hai un budget davvero piccolo e / o se fa parte di un progetto studentesco.

Un buon test di phishing in-house deve

Hai il permesso:

  • Approvazione da parte di un dirigente o direttore, non solo IT o Ingegneria
  • I team infosec e netops rilevanti dovrebbero firmare questo test

Utilizza server esterni:

  • Invia il test da un intervallo di indirizzi IP esterno
  • Ignora la scansione antispam inserendo nella whitelist gli IP di invio del test

Identificarsi come test di phishing nelle intestazioni:

  • Aggiungi un'intestazione X-PHISHTEST con le tue informazioni di contatto per le escalation
  • Lasciando questo indicatore i gruppi di sicurezza possono ignorare tranquillamente i report
    ⚠ The X-PHISHTEST header triggers a “phishing attack” verdict in some spam detection solutions and prevents the “free pass” for reported phishing reports from meddling with real attack detection. Note the need for whitelisting above.

Avere un buon sito di atterraggio:

  • Considera un dominio vanity come <institution>-support.com
  • Incorpora ciascun indirizzo utente nella stringa di query del collegamento
  • Registrare i clic degli utenti e gli IP da cui hanno fatto clic per il rapporto
  • Spiega agli utenti che si sono innamorati della tua trappola e li hanno educati
  • Collegamento o contenuto host simile al APWG 's Stop.Think.Connect.
  • Rivela il test alla radice del documento o senza una stringa di query
    così i ricercatori di sicurezza possono capire il tuo intento

Test di phishing non validi

  • Si metteranno nei guai con la gestione dei tester
  • Può ottenere la sospensione degli account più grandi
  • Potrebbe essere preso come spam e quindi non riuscire a raggiungere gli obiettivi
  • Rischio fastidioso ma non educare la base utenti
  • Confonderà i filtri antispam se formati come phishing

risposte alle tue domande specifiche

Dove posso ospitare questo sito e come posso inviare questa email?

Se segui le regole precedenti su un buon test e un buon sito di atterraggio, non dovresti incontrare problemi. Come indicato sopra, è una buona idea avvisare i gestori di rete (inclusa la società di hosting Web) prima di eseguire questo test.

Ho visto alcuni siti di hosting gratuiti. I provider di posta elettronica danno scarsa reputazione a tali siti di hosting gratuiti?

Probabilmente ti stai riferendo a sistemi di rilevamento dello spam, che al giorno d'oggi sono straordinariamente complessi, coinvolgendo quanti più metadati possibile e combinando tutto con un sacco di salsa segreta e apprendimento automatico. Vuoi veramente bypassare il rilevamento dello spam con la whitelist. L'antispam lato client è raramente abbastanza potente da discriminare nel modo in cui ti stai preoccupando.

Inoltre, per inviare l'email, dovrei scegliere i provider di servizi di posta elettronica più diffusi come gmail, hotmail o dovrei usare la posta elettronica usa e getta? Cosa aumenterà le possibilità che l'email raggiunga gli utenti?

Ancora una volta, devi evitare l'anti-spam, a questo punto la maggior parte di questo non ha importanza. Un dominio di vanity a basso costo come <institution>-support.com viene fornito con la possibilità di inviare all'interno dell'ambiente ospitato dal tuo provider.

Ritengo che GMail e Hotmail siano monouso. Molti test di penetrazione registrano account come <institution>[email protected] e usano buoni buoni da nomi come <institution> Support (che è l'unica cosa che viene visualizzata dai client di posta mobili).

    
risposta data 19.10.2017 - 20:42
fonte
2

Prima di tutto ci sono diversi servizi che forniscono test di phishing, ad esempio PhishMe. Il tuo post suggerisce un livello basso di abilità tecnica che implica che dovresti prendere in considerazione l'utilizzo di uno di questi invece di crearne uno tuo.

Dal punto di vista dei collegamenti, tenterei nuovamente di utilizzare un dominio dall'aspetto realistico. Se hai un DNS interno, puoi indirizzare gli utenti a questo senza dover pagare per registrare il nome. Se inserisci un ID nel link, puoi mappare chi ha fatto clic sull'utente finale ( nonexistanteventscompany.com/event/ab3fd4?invitee=[[email protected]] ).

Per quanto riguarda l'hosting, questo potrebbe essere eseguito internamente su praticamente tutti i computer a cui è possibile indirizzare il DNS: solo un server Web di base che registra l'ID dal collegamento in un database (potrebbe probabilmente essere solo uno script Python).

    
risposta data 18.10.2017 - 13:21
fonte

Leggi altre domande sui tag