*t3fbD
欢迎来到我的鱼塘 hJkIFyQ{j
&`Z>z T}
我是海王, 8qrE<RHU@
/$%apci8
一个没有感情的钓鱼者, UCa(3p^V_
2Af1-z^^K
我的工作只有钓鱼。 'eLO#1Ipf
Mf<Pms\F
不过这可和去河边钓鱼不太一样, Ih{(d O;
0%cbno@1V
哥钓的不是鱼,是钱。 bs
kG!w
E/Q[J.$o
对,我是一个专业的网络钓鱼者,专门在网上传播恶意软件,从而盗取信息,并最终勒索赚钱的人。 t1 OnA#]/_
u0A.I_
我是一个有底线的钓鱼者,为了增大我成功的机率,我有三不钓原则:太穷的不钓,太懂技术的不钓,职位太低的也不钓。 54-sb~]
(m|p|rL
而我们钓鱼呢,也讲究方法。不才今天,就给大家炫个技,可千万别眨眼。 {}s7q|$
u1~H1
]Ii
钓鱼秘技 ]pzf{8%
D+ 9xI
增加初始访问代理的使用 * A@~!@XE4
@tM1e<
像我们这样的高质量钓鱼者,一般都是不能干太低级的事情,我们都是发展下线,与众多垃圾邮箱发送者进行深入合作。 38tRb"3zP
ido'<;4>
先是他们将邮件发送给“鱼儿”。他们有范围更广的资源,能够最大程度的将邮件发送出去。一旦“鱼儿”上钩,获得了访问权限,我们就开始行动,接管并部署勒索软件以通过入侵获利。 7Fh%jRHZ`
nkG1&wiX
从商业电子邮件系统下手 X) owj7U;
Elom_
现在,越来越多的公司开始使用基于云的电子邮件,我们可以很容易地获取企业凭证。商业电子邮件的入侵门槛非常低,只需要一个免费的电子邮件账户。通常我们会冒充公司高管,发动员工购买一些产品,美名其曰是做公益。 y['$^T?oP
q#xoM1
你们可能觉得不可思议,但是,商业电子邮件入侵产生的收益是近年来勒索软件攻击所得收益的四倍以上。效益显著! 'hf#Q9W5
(ye1t96
假冒品牌进行沟通 <2fZYt vt
P@`@?kMU
对一个企业进行攻击的最好的办法,就是伪装成它的客户或业务供应商。从建立虚假网站到利用Office 365内的表单网站,我们利用一切方法让“鱼儿”以为真的有一个公司与其进行沟通。 !.?2zp~
_<+!
这样可以最大限度地降低了企业的防备心,方便我们进行入侵! V) a<)
u v%T0JA/
发送泄露的内部电子邮件警报 o3#qp>R
VA&_dU]*
电子邮件警报只有公司的特权管理员才知道,所以当收件人收到电子邮件警报时,信任感会被增强,不会有任何怀疑,“鱼儿”上钩的概率自然也就越大了。 ?R(fxx
&_x:+{06
当然,在没有任何内部信息的情况下,纯靠猜测电子邮件警报模板的外观几乎是不可能的,但是在GitHub等存储库中找到常用的电子邮件警报模板却是件非常容易的事情。 0/6f9A
/3Zo8.
发短信 T[`o$j6
~5N0=)
我们特别擅长通过设置网关来发送欺诈短信,这只是比设置电子邮件服务器稍稍复杂了一点点。我们在事先就已经知道了“鱼儿”的姓名和电话号码,能够匹配这些数据集以利用意外的攻击向量。 K63OjR>H
>OgA3)X
虽然很落后,但是确实发短信也是我们惯用的一个手段。 z{wJQZ9"
u<!8dQ8
使用内幕信息作为诱饵 %|*tL7
bz[U<