读社会工程：防范钓鱼欺诈（卷3）03保护课程

1. 保护课程

1.1. 批判性思维

• 1.1.1. 很多时候人们把批判性思维和逆反、缺乏信仰或者为了质疑而质疑联系在一起

• 1.1.2. 告诫自己不要事事都信以为真

• 1.1.3. 攻击者不希望你思考，尤其不希望你进行批判性思考

• 1.1.3.1. 会利用情绪来阻止你的批判性思维或者逻辑思考，并且会试图唤起你的恐惧、忧伤或者愤怒等情绪，迫使你采取一些你不该采取的行动

• 1.1.4. 停下来几秒钟，在你采取行动前读点别的什么来冷静一下

1.2. 学会悬停

• 1.2.1. 简单地把你的鼠标移到链接上，但是不要点击

• 1.2.2. 只需要把鼠标悬停在上面，看看会发生什么

• 1.2.3. 悬停在这个链接上，或者任何链接上，会显示它所指向的地址

• 1.2.3.1. 可以快速帮助你回答批判性思维的问题，从而清楚地做出决定

• 1.2.4. 不过无论如何，不要惊慌失措

• 1.2.4.1. 监控你的重要账户，确保没有异常发生

• 1.2.4.2. 可以对你的密码进行一些修改来获取最大程度的保护

• 1.2.5. 应该尽快采取行动，但是惊慌往往会使事情变得更糟

• 1.2.6. 攻击者会意识到潜在的受害者可能受过悬停训练

• 1.2.7. 其他攻击者会用注册过的证书来使得网站看起来合法和安全，并且攻击者的确拥有这些证书

• 1.2.8. 黑客会攻击全球范围内的真实的服务器，并用合法服务器来发送钓鱼邮件

1.3. URL解析

• 1.3.1. URL是uniform resource locator（统一资源定位符）的缩写，即索引至互联网资源的一种地址

• 1.3.2. http指标准的网络地址

• 1.3.3. https则指有SSL（Secure Socket Layer，安全套接层）证书的网络地址

• 1.3.4. ftp指FTP服务器的协议

• 1.3.5. www指服务器的子域名

• 1.3.5.1. 子域名可以是此类形式：ww1、files、secure、blog，或其他形式

• 1.3.6. 域名和真实域名越是相近，你就越容易相信它是真的

• 1.3.6.1. 攻击者也可以购买一些看起来相近的域名

• 1.3.6.2. secure-DOMAIN.com是一个不同于DOMAIN.com的新域名，但如果它以一个合法的名称结尾，那么受害者就可能认为这是合法的网址

1.4. 分析邮件头

• 1.4.1. 可以告知你邮件是如何到达你的邮箱的

• 1.4.2. 钓鱼攻击者会获得合法电脑的访问权限，并使用它们的邮件服务器来给所有的联系人、好友和收件箱里其他随机的地址发送恶意邮件

• 1.4.3. 尽管分析邮件头可以让你避免点击欺诈邮件，但是并不能100%保证你可以识别出所有的欺诈性邮件

1.5. 沙盒

• 1.5.1. 一个科技领域的名词，指的是创建一个可以运行未经测试或者不受信任的代码的环境

• 1.5.2. 对很多威胁都有效

• 1.5.3. 只有确保安全之后，它们才会被发到指定人员那里

• 1.5.4. 沙盒的概念很聪明，也很高明

• 1.5.5. 很多大公司使用虚拟机来创建沙盒

• 1.5.6. 仅仅依靠技术，并不能让你免于社会工程人员的攻击

1.6. 坏主意陷阱

• 1.6.1. 复制粘贴，麻烦解决

• 1.6.2. 分享也是关照

• 1.6.3. 移动设备是安全的

• 1.6.4. 好的反病毒软件可以拯救你

1.7. shellcode

• 1.7.1. 进行编码来给它一个全新签名的小程序—Shikata Ga Nai

• 1.7.2. 是一个多态编码工具，名字来源于日文，意思是“无事可做”​，也可以翻译成“没有希望”​

1.8. 坏人更高明、坚定和努力

• 1.8.1. 他们似乎领先于你，并依靠你的弱点取胜

1.9. 仅仅依靠技术是救不了你的，技术也不应该被视作社会工程学的解决方案

1.10. 钓鱼攻击是真正的威胁，一种会让你失去你的银行账户信息或者国家机密，以及介于二者之间的所有东西的威胁

1.11. 如果你的工作是确保公司安全，那么你需要找到那些给你出坏主意的人并清除它们

1.12. 教育是解决问题的关键

• 1.12.1. 必须与公司一起努力来进行持久的、定期的、基于真实案例的教育，要让员工有根深蒂固的观念，并创建安全意识文化

2. 基本方法

2.1. 遵守规定

• 2.1.1. 对于开展钓鱼攻击来说，遵守规定并非一个坏理由

• 2.1.2. 很多公司都会选择最小的难度然后拿到数据就完事了

• 2.1.3. 确定一条基线是很好的，但对于钓鱼攻击培训来说，不要把遵守规定当成唯一的理由也是很重要的

2.2. 安全意识是非常常见的一种开展钓鱼攻击模拟的原因，它是公司具有前瞻性的体现

• 2.2.1. 通常定期参与钓鱼模拟会对营造安全文化有显著的影响，这是一件好事

2.3. 很多公司是在发现漏洞或者发生类似的安全事件后进行钓鱼攻击模拟的

• 2.3.1. 模拟是为了首先设置一条基线，然后教育人们或者解决一些问题，再重新测试看看状况是否有所改善

• 2.3.2. “鸵鸟”安全法（把你的头埋在沙里，假装你不会被攻击）很少起作用

• 2.3.3. 安全委员会已经不再说“如果你被攻击了”​，转而开始说“当你被攻击时”​，因为似乎早晚我们都会遭受攻击

2.4. 把钓鱼攻击当作渗透测试的一部分

• 2.4.1. 钓鱼攻击会引导你访问一个页面，这个页面会收集你的证书信息

• 2.4.2. 诱导员工访问一个404错误页面，而员工并不会被告知他或她正在接受钓鱼攻击模拟

• 2.4.3. 引导员工访问一个教育页面

2.5. 如果你开展培训的理由是为了在接下来的12个月里提高人们的安全意识，那么你会很自然地期待惊人的变化

2.6. 通用型钓鱼攻击能够帮助你划定一条基线，看看人们对带链接的东西有什么样的反应，而且你能够发现他们在发现可疑的事物时是否采取了适当的行动

• 2.6.1. 可以帮助教导你的学员如何辨别真假新闻故事，以及了解钓鱼攻击者在利用某个特定主题时的目的是什么

• 2.6.2. 新闻和媒体总是广泛用于钓鱼攻击，这一主题会吸引很多人的兴趣

2.7. 社会工程人员用来查找目标公司的一种办法是：查出目标所使用的全部供应商

• 2.7.1. 钓鱼攻击者会研究废品管理公司、电话和网络提供商、电力公司、软件和硬件供应商，甚至你的安全服务供应商

• 2.7.2. 员工更倾向于信任可信的供应商，并更愿意打开来自它们的链接、附件，或者向它们提供信息，而新出现的陌生来源很难做到这一点

2.8. 内部邮件看上去是一个很好的主题，可以帮助你的员工理解钓鱼攻击的危险性

2.9. 商标是指公司用来表示产品或者服务属于它们的文字、图像、短语或者符号

• 2.9.1. 原告必须证明拥有有效商标

• 2.9.2. 原告必须证明被告在未经授权的情况下，在所出售的商品、服务或广告上使用了相同或者相似的商标

• 2.9.3. 原告必须证明被告使用这个商标容易造成人们的混淆

• 2.9.4. 含有商标的钓鱼攻击模拟是一种非常高级的的手段，需要练习才能完美开展

• 2.9.5. 坏人正在使用商标，并且这一招很奏效，所以人们需要了解坏人所使用的招数

2.10. 钓鱼攻击之所以存在，是因为对恶意攻击者来说，这一手段简单、有效、有利可图

• 2.10.1. 需要保持警惕与顽强的精神，坚持推动培训继续下去，并努力让它实现效果最大化

3. 培训

3.1. 设定基线

• 3.1.1. 成功的钓鱼培训项目都始于基线

• 3.1.2. 第一种设置基线的办法是告诉员工你正在进行钓鱼攻击项目并发出警告

• 3.1.2.1. 要宣布开始进行钓鱼攻击，并解释你的目的是为了给公司和个人营造更安全的环境

• 3.1.3. 第二种开展钓鱼攻击培训的方法更激进一些

• 3.1.3.1. 你不需要事先警告然后再设定基线

• 3.1.3.2. 在没有任何提示的情况下发送钓鱼攻击邮件，然后看看结果如何

3.2. 设定难度等级

• 3.2.1. 一级钓鱼攻击

• 3.2.1.1. 是最容易识别的，通常与419钓鱼邮件相关

• 3.2.1.2. 很多指标可以识别出它是“钓鱼攻击”​，大多数普通用户都应该觉得能很容易找出这类邮件不对劲儿的地方

• 3.2.1.3. 非指向性问候和结束语

• 3.2.1.4. 拼写错误和糟糕的语法

• 3.2.1.5. 简易的信息/不太可能成立的理由

• 3.2.1.6. 引起贪婪、恐惧或者好奇的心理

• 3.2.1.7. 文本中出现恶意链接

• 3.2.1.8. 奇怪的邮件地址/未知的发件人

• 3.2.2. 二级钓鱼攻击

• 3.2.2.1. 非指向性问候和结束语

• 3.2.2.2. 拼写正确但有一些语法问题

• 3.2.2.3. 信息更复杂但仍然很基本

• 3.2.2.4. 引起贪婪、恐惧或者好奇的心理

• 3.2.2.5. 文本中出现恶意链接

• 3.2.2.6. 奇怪的邮件地址/未知的发件人

• 3.2.3. 三级钓鱼攻击

• 3.2.3.1. 接近于真实世界中的鱼叉式钓鱼攻击（属于最高级）以外的针对性钓鱼攻击

• 3.2.3.2. 指向性问候和结束语

• 3.2.3.3. 正确的拼写

• 3.2.3.4. 不错的语法

• 3.2.3.5. 复杂的信息，会引起恐惧或好奇的心理

• 3.2.3.6. 文本中出现恶意链接

• 3.2.3.7. 有时候会出现奇怪的邮件地址，但是发件人看起来是合法的

• 3.2.3.8. 很多时候出现商标

• 3.2.3.9. 三级钓鱼攻击邮件看上去非常真实，即使专业人员也可能中招，或者需要时间才能判断出它是真是假

• 3.2.4. 四级钓鱼攻击

• 3.2.4.1. 鱼叉式钓鱼攻击

• 3.2.4.2. 非常高级、非常个人化，而且很多时候非常成功

• 3.2.4.3. 可能具备个人化信息、商标、无拼写错误等特征，但它也有可能是地球上最简单的邮件

• 3.2.4.4. 它们都很简单，但直击要点

>  3.2.4.4.1. 因为收件人正期望着收到这类邮件>   3.2.4.4.1.1. 他们已经做好准备接收、认可、打开并阅读这类“主题”的邮件>   3.2.4.4.1.2. 他们认为收到这类邮件是理所当然的，因此就照着邮件里的要求去做了

• 3.2.4.5. 鱼叉式钓鱼攻击中更重要的是OSINT（open-source intelligence，获取开放性情报，或者信息收集）的部分，而不是发送邮件的部分

>  3.2.4.5.1. 可以为攻击者清理出一条通向受害者的途径，以及了解如何对目标进行渗透

3.3. 编写钓鱼攻击邮件

3.4. 追踪和统计

• 3.4.1. 报告钓鱼攻击邮件的员工是很棒的

• 3.4.2. 最好的建议是让他们转发邮件给部门中的指定邮箱

• 3.4.3. 点击人数

• 3.4.3.1. 最明显的数据，但也是最必要的

• 3.4.3.2. 是你的基线

>  3.4.3.2.1. 告诉你有多少人将公司置于危险之中，以及多少人需要进一步培训

• 3.4.3.3. 单独这一数据并不能告诉你很多信息

>  3.4.3.3.1. 需要以此为基础来获得更多数据

• 3.4.4. 报告钓鱼攻击的人数

• 3.4.4.1. 是“解决”钓鱼邮件问题的过程中非常重要的一部分

• 3.4.5. 点击却未报告的人数

• 3.4.5.1. 你知道点击钓鱼邮件是不好的，而报告钓鱼邮件是好的，所以那些点击而不报告的员工占全了你不希望他们做的事

• 3.4.5.2. 需要更多的训练和帮助

• 3.4.6. 点击并报告的员工人数

• 3.4.6.1. 员工点击了邮件但仍然报告了这一情况是件好事

• 3.4.6.2. 意味着尽管这些人采取了一些你不希望他们采取的行动，但是通过培训，他们意识到了风险依然存在，并采取了积极的措施

• 3.4.7. 未点击也未报告的人数

• 3.4.7.1. 没有点击，所以并没有漏洞上的风险

• 3.4.7.2. 仍然想要让这些员工对他们收到的可疑信息进行报告

• 3.4.7.3. 报告是每个员工都要了解的重要的一步

• 3.4.8. 未点击却报告的人数

• 3.4.8.1. 属于最佳员工

• 3.4.8.2. 采取了如你所期望的行动，不仅识别出了钓鱼攻击邮件，还报告给机构，帮助了其他人

• 3.4.9. 如果你决定这么做，那么早期的名单会清晰地告诉你目前情况如何、你该如何提升，以及你需要在哪方面努力

3.5. 报告

3.6. 重复

• 3.6.1. 教学环节是整个培训项目中最重要的部分

• 3.6.1.1. 简洁（Brief）

>  3.6.1.1.1. 长时间的电脑培训会让员工厌烦，也无法提高教学效率>  3.6.1.1.2. 只用1分钟到4分钟的时间来完成这一切才是最高效的

• 3.6.1.2. 有效（Effective）

>  3.6.1.2.1. 教会你的员工如何识别钓鱼攻击，发现钓鱼攻击后该做什么，以及到哪里去报告

• 3.6.1.3. 简单（Simple）

>  3.6.1.3.1. 如果训练中使用员工不熟悉的术语，或者发出的指令过于复杂，那么员工就会感到沮丧。这种沮丧情绪会对训练产生负面影响

• 3.6.1.4. 体贴（Thoughtful）

• 3.6.2. 培训项目的最后一步是重复

• 3.6.2.1. 不要认为一年一度的钓鱼攻击培训就足以保护你的员工