如何找到正确的网络钓鱼目标（如何找到正确的网络钓鱼目标呢）

在深入研究联系人收集之前，我们希望清楚地了解可用的攻击面。我见过许多渗透测试人员获取其客户端提供的主域，通过theHarvester、linkedInt、maltego 等运行它，并将输出称为目标列表。这样做时，这些渗透测试机构完全忽略了与目标组织其他领域相关的有价值的攻击面。我们可以做得更好。以下是我最喜欢的一些寻找适合您的目标的其他域名的方法。

WHOIS 数据 — Whoxy 和 WhoisXML

注册域名时，您必须提供基本联系信息，包括您的组织名称和WHOIS 服务的“滥用电子邮件”。尽管从技术上讲您可以输入任何内容，并且大多数注册商都提供WHOIS 匿名服务，但许多组织仍然使用个人身份信息填写表格。这意味着您通常可以交叉引用WHOIS 中的联系信息并查找相关域名。

不幸的是，WHOIS 协议从未打算允许基于联系信息进行搜索，但现在有付费API（例如Whoxy 和WhoisXML）可以索引数百万条WHOIS 记录。 Whoxy 非常适合快速检查，因为API 积分非常便宜。但是，其搜索功能区分大小写，并且范围与WhoisXML 不同。

当然，WHOIS 协议是一个非常简单的基于文本的呼叫和响应协议。使用脚本和分布式计算，您还可以轻松挖掘和索引自己的数据。如果您选择此方法，请记住许多WHOIS 提供商明确禁止数据挖掘。你被警告了！

O365 挖矿（桶中的所有网络钓鱼）

如果目标组织使用AzureAD，则可以使用自动发现服务获取该租户中所有域的列表。 Nestori Syynimaa 博士有一个很棒的工具和博客文章解释了这种方法。

只是看：作为局外人的 Azure Active Directory 侦察

本文是 Azure AD 和 Microsoft 365 杀伤链博客系列的第 1/5 部分。Azure AD 和 Office 365 是云服务…

aadinternals.com

https://aadinternals.com/post/just-looking

当组织在域上构建网站时，它通常会在网站的某个位置添加指向主域的链接。在SEO 领域，这些被称为“反向链接”。您可以使用免费的在线SEO 工具来枚举这些链接并查找您可能错过的域。来自与目标组织有业务往来的其他组织的反向链接也很常见。如果您看到这些，请小心，因为他们在创建活动时可能会滥用这些组织之间的隐含信任。

健全性检查

获得相关域的列表后，您应该执行简单的运行状况检查以查看哪些域正在公开MX 记录。对于甚至没有电子邮件服务器的域，列出电子邮件地址是没有意义的。这是为了确保您不会在电子邮件收集过程中浪费时间或API 点。

dig mx -f 域.txt grep 答案-A 1 |

嗨嗨（嗨嗨。让我们抓起一张网就走吧！

现在您已经有了相关域的列表，您可以在每个域中通过(@) 搜索联系人。在下一章中，我们将讨论各种联系人收集方法，从众所周知且简单的方法（小规模网络钓鱼）到更加晦涩难懂的方法（大规模网络钓鱼）。

这些方法大多数侧重于获取电子邮件地址，但有些方法还提供电话号码和地址。不要错过这些附加数据。您可以拨打该电话号码，看看是否是直拨电话，并检查目标是否仍在您的组织内工作。如果您愿意，我们还可以通过电话或邮件发送您的有效负载。同样，如果数据源包含职位等信息，我们也会检索该信息。组合列表时很有用。

经典

阅读网站：这是（希望）显而易见的第一步，但您可能会惊讶于我看到提示者跳过这一步的次数。有几次，在使用OSINT 工具并听到同事抱怨“我找不到他们的电子邮件地址”后，我在主网站上找到了员工目录。

Google for Dummies：同样，值得进行快速Google 搜索，看看是否有任何未托管在您的主网站上的员工列表。有许多OSINT 工具可以自动执行常见的愚蠢任务。尝试在Google 上找到一些；）

theHarvester/Skiddy 脚本：我已经有一段时间没有使用theHarvester 了，但我惊喜地发现截至2024 年1 月1 日它仍然在积极维护。我目前不使用它的原因是因为我倾向于将此类工具视为数据源的包装器。如果您更喜欢使用特定的电子邮件挖掘OSINT 工具，请务必坚持使用它。尽管如此，我还是建议您至少看一下您最喜欢的脚本是如何工作的并了解数据的来源。

LinkedIn 挖掘：LinkedIn (LI) 是员工姓名、职位、部门和其他有用的目标数据的重要来源，可以通过多种方式收集这些数据。如果您从未设置过自己的LinkedIn 挖矿程序，我们强烈建议您这样做作为练习。学到的技能也可以应用于挖掘其他OSINT 来源。

LI Mining（初级）：进入目标组织，点击其员工，复制并粘贴每个页面。然后运行grep /cut/sed foo 来获取结果。您可以更进一步，通过编写一行JavaScript 选择要挖掘的元素并将其打印到开发人员控制台，从而显着加快该过程。

LI 挖掘（中级）：在您浏览LI 时，使用BurpSuite 或Zap Proxy 拦截流量。接下来，创建一个脚本来复制用于检索用户记录的API 调用。相反，请使用已经执行相同操作的众多现有工具（LinkedInt、AttackSurfaceMapper 等）之一。

LI 挖掘（高级）：创建一个机器人，使用Puppeteer 等框架挖掘每个页面。请注意，当您转到“员工”页面时，该页面仅显示少量员工，直到您向下滚动为止。滚动到页面底部会触发AJAX 请求来检索该页面的剩余用户记录。然后，让机器人等待一两秒以填充结果，然后注入一些JavaScript（可能来自上面的“初学者”脚本）来挖掘有用的数据。这看起来工作量很大，但总体好处是，如果做得正确，您可以构建模仿人类使用您的网站的机器人，从而有可能延长您帐户的寿命。任何明显的数据挖掘尝试都可能导致您的帐户被锁定。如果您想采用这种方法，请记住Puppeteer（和其他自动化框架）默认设置包含一个明显的用户代理字符串。这绝对很烦人，所以要调查一下。

关于LI 连接的注意事项：为了使这些方法有效，您需要与目标建立第一个和第二个连接。在测试之前，值得登录您的OSINT 帐户并联系目标组织内的各个用户。如果您有预算，您还可以付费购买LinkedIn Sales Navigator，以跳过所有自然连接并无限制地访问目标搜索。

鲜为人知

Hunter.io 和Zoominfo：这些网站都旨在为您的公司寻找营销线索。如果您仔细想想，冷电子邮件基本上与网络钓鱼完全相同。在线营销就是寻找合适的人在目标组织内传达您的信息。在线营销人员面临着许多与我们其他人相同的挑战，因此良好的营销工具在设置网络钓鱼活动时非常有帮助。这两个网站都提供一些免费搜索结果以及付费搜索API。我喜欢Hunter.io 的原因之一是，您可以获得一个URL 来查找您在互联网上的所有联系人。通常，这将直接带您进入员工目录，您可以在其中搜索更多联系人。

Phonebook.cz：这是一款具有出色免费套餐的工具，旨在突出intelx.io 数据库的强大功能。该服务之前是完全开放的，但现在要求您注册一个帐户以限制滥用。搜索仍然完全免费。

Dehashed：该工具是众多公共数据泄露事件的可搜索聚合。如果目标组织的员工将其工作电子邮件用于其中一项受感染的服务，则至少会捕获他们的工作电子邮件地址，并且在许多情况下，还会获取他们的密码、全名、用户名和其他有用数据。虽然这是一个付费API，但价格非常合理。有几次，社会工程甚至没有必要，因为有效密码凭证的填充被发现并且结果被散列。

行业特定数据

通常最好了解目标组织的行业以及是否有任何数据源可以挖掘可能包含潜在目标的姓名和联系人。这里有些例子。

评价我的教授——如果您正在为高等教育客户进行渗透测试，您通常可以从评价我的教授中获得一份当前员工的详细列表。 API简单且易于挖掘。学生众包数据以保持最新。

国家多州许可系统(NMLS) — 如果您的客户是银行、信用合作社或其他金融机构，您通常可以通过NMLS 找到信贷员的联系信息。还有一个额外的好处是能够识别组织内可能对特定贷款相关借口做出良好反应的子群体。

CPAVerify — 大多数大公司都有全职会计人员，其中许多人都经过认证。注册会计师每年更新执照时，必须提供联系信息，包括其当前的雇主。您可以在一些免费网站上“验证”您的注册会计师执照，其中许多网站都支持搜索您的公司名称。如果您真的想战胜自己，请在报税季节之前向您的注册会计师发送网络钓鱼通知，这可能会导致您的执照被吊销。我知道这有效。因为一个过于热心的渗透测试团队对我以前的雇主（一家大型会计师事务所）做了这样的事情，并造成了如此大的干扰，以至于他们解雇了我。

困难模式

致电并索取目录！如果做得好，社会工程通常是一个迭代过程。您可以获得访问权限，挖掘有用的数据，并使用它来定位具有更多访问权限的其他用户。如果您找不到联系人，请致电组织中的某人，假装是新员工，并向他们讲述一个关于您如何尝试联系团队中的某人但找不到员工目录的悲惨故事。出来并检查以下内容：如果成功，副本将通过电子邮件发送到您的Gmail 帐户。虽然这可能是一个奇怪的请求，但它可能不会像要求您提供密码或访问可疑网站那样引起怀疑，而且大多数人不会花时间这样做。从不舒服的意义上来说，这绝对不是“困难”，但如果你做对了，那是非常值得的。

自己挖掘互联网：如果您的风格受到API 限制，或者您正在寻找的API 没有正确格式的数据，请考虑构建您自己的OSINT 数据库，您对此有何看法。 CommonCrawl 是一个大型开源存储库，包含来自网络大部分内容的网络爬虫数据。他们的网站充满了很酷的项目，展示了如何使用数据集来挖掘有趣的东西。

常见爬网 – 示例项目

探索由 Common Crawl 提供支持的项目：鼓舞人心的用例，展示 Web 数据在行动中的巨大潜力。

commoncrawl.org

您可以通过从数据集中挖掘电子邮件和相关URL 来构建自己的OSINT 数据库。例如，您可以修改开源工具WARCannon，以“grep the internet”查找电子邮件地址，并使用ElasticSearch 对结果建立索引。

GitHub – c6fc/warcannon：Node.js 中的高速/低成本 CommonCrawl 正则表达式

Node.js中的高速/低成本 CommonCrawl 正则表达式。通过在以下位置创建一个帐户，为 c6fc/warcannon 开发做出贡献…

github.com

https://github.com/c6fc/warcannon

窃取者日志：“窃取者”是一种恶意软件，用于从受感染的主机持续收集用户数据，例如电子邮件地址、帐户名和密码。创建和分发此类恶意软件的操作者通常会采取机会主义的方法，只是试图感染尽可能多的系统并从数十万个系统中收集数据。其中一些“抄袭日志”已被泄露，并包含大量用户数据。如果目标组织的员工成为这些特洛伊木马之一的受害者，则该数据对于渗透测试非常有用。不幸的是，要实现这些违规行为，您需要自己对大量结构松散的数据进行规范化和索引。

全局地址列表(GAL)：如果对用户O365 帐户的访问受到威胁，您可以使用GAL 检索租户中每个人的联系信息。您可以直接从浏览器的“开发人员”选项卡执行此操作。

这并不完全是后门，但它大大增加了在失去访问权限时获得另一个立足点的机会。与请求员工目录类似，这是另一种可用于执行迭代社会工程的技术，以便在危及个人用户时获得更多特权访问权限。

选择目标

一旦您有了联系人列表，您需要将该列表合并到一组容易受到各种借口影响的目标中。此步骤是为了提高您的成功率，成功率定义为点击次数与发送电子邮件的比率。理想情况下，您会找到高度易受影响的目标并以100% 的成功率发送电子邮件。当然，无法提前测量敏感性，因此您必须做出最佳猜测。这是基于“好”（高成功率）目标中发现的一些共同特征来完成的，并避免具有通常与低成功率相关的特征的目标。

为什么不对所有人进行网络钓鱼？

如果我们只是花费所有时间挖掘联系人以最大化我们的潜在爆炸半径，那么为什么要对每个人进行网络钓鱼呢？这给了我们最大的成功机会？

如果你只是想找个借口，答案是肯定的。尽管您可以通过将每个目标暴露给您选择的借口来最大限度地提高成功机会，但这种方法存在重大缺陷。如果你想对所有人进行网络钓鱼，你需要一个非常笼统的借口。这些常见的网络钓鱼电子邮件仅针对最低公分母（最容易受到攻击的）目标，并且很容易被其他人识别为网络钓鱼。一般性借口的点击率比更有针对性的借口低得多，使您过度暴露于可能发现您的活动的事件响应人员。

相反，我们发现，采用针对具有相似职称或兴趣的个人或一小群人的方法可以创造出点击率更一致地超过50% 的场景。我的目标始终是至少找出少数有特定借口的员工群体。如果你有一个非常令人信服的借口，你也许可以通过总共3-5 次目标互动来站稳脚跟。

什么是“好”目标？

风度——你对目标了解得越多，你就越有可能找到他们相信的借口。仅特定用户的在线可用信息量就可以使他们成为鱼叉式网络钓鱼的良好候选者。

卫生状况不佳——当您看到员工使用公司电子邮件作为个人联系方式或使用可识别的用户名在论坛上发布问题时，您可能会发现自己是一个很好的目标。喜欢使用公司电子邮件处理“所有事情”的人通常会在工作设备上收到个人电子邮件。这开辟了一套全新的借口，成功率更高。此外，一些员工可能更喜欢在网上“展示自己”。这意味着这些人更有可能回复陌生人主动发送的电子邮件。

勾选工作人员——根据我的经验，似乎某些工作流程类型往往会使某些工作人员比普通用户更容易受到网络钓鱼的影响。其中一种类型就是我所说的“复选框”。人们的主要日常目标是从队列中完成尽可能多的任务，他们常常会匆忙完成任务，而当社会工程介入时，他们会错过网络钓鱼的迹象。

让您的客户满意——当销售和客户支持团队被告知“客户永远是对的”或类似的言论时，他们可能会变得过于信任外部需求。虽然大多数客户交互都是合法且良性的，但恶意请求可能会给您带来麻烦。

Guppy——没有接受过公司安全政策和程序方面良好培训、对典型交互和请求是什么样子知之甚少的新员工本质上很容易受到各种形式的社交工程的影响。查看您的LinkedIn 结果，了解每位员工在您的组织工作了多长时间。

是什么造就了“坏”目标？

既然您知道了如何识别好目标，那么您还可以将坏目标识别为缺乏“好”品质或表现出相反特征的目标。

如果你无法挖掘出有关仅包含电子邮件的—— 地址背后的人的任何其他背景信息，我不知道什么借口对该目标有用。

他们很少与他人合作——独自完成大部分工作的人往往会对随机出现的请求持怀疑态度，无论合法与否。小心对待这些怀疑论者。

高级管理人员和IT 人员（又称鲸鱼）—— 对其中一个用户进行成功的网络钓鱼通常会立即获得特权访问权限，但对于该组来说，总体成功的机会非常低。如果您想通过捕鲸来炫耀自己的权利，请尝试一下。但要知道这不是一种可重复的方法。通过在第一次访问时瞄准其他群体，您可以取得更一致的成功。

《黑客如何学习网络安全》

如果您喜欢我今天的文章，我愿意免费分享我的私网安全学习资料，请您看一下。

1.学习路线图

关于进攻和防守，有很多东西需要学习，但如果你能完成这些，那么你找工作或民事工作应该没有问题。

2.视频教程

网上的学习资源很多，但基本上都不完整。这是我录制的一个互联网安全视频教程，并附带了上面路线图中所有知识点的解释。

内容包括学习网络安全方法、网络安全操作等安全评估、渗透测试基础知识、漏洞详解、计算机基础知识等入门网络安全必须了解的学习内容。

（全部打包在一部作品中，无法一一展开。总共300多集）

由于篇幅限制，仅展示部分信息。要获取它，您需要单击下面的链接。

CSDN礼包：《黑客网络安全入门进阶学习资源包》免费分享

3.技术文档和电子书

我还整理了自己的技术文档，其中包括我参加大规模网络安全运营、CTF、SRC漏洞研究的经验和技术点。由于内容的保密性，有超过200 种电子书可供使用。不要一一展示。

由于篇幅限制，仅展示部分信息。要获取它，您需要单击下面的链接。

CSDN礼包：《黑客网络安全入门进阶学习资源包》免费分享

4.工具包、面试题和源码

“要想做好工作，首先要磨砺你的工具。”我为大家整理了几十种最流行的黑客工具。覆盖范围主要是信息收集、Android黑客工具、自动化工具、网络钓鱼等。欢迎有兴趣的同学来看看。

我还有视频中提到的案例的源代码和相应的工具包，所以如果你愿意的话，可以把它们带回家。

由于篇幅限制，仅展示部分信息。要获取它，您需要单击下面的链接。

CSDN礼包：《黑客网络安全入门进阶学习资源包》免费分享

最后，这是我过去几年整理的一些网络安全面试问题。如果您正在寻找网络安全方面的工作，这些肯定会派上用场。

这些问题在面试深信服、奇安信、腾讯或者其他大公司的时候经常会遇到。如果您有任何好的问题或好的见解，请分享。

参考分析：深信服官网、奇安信官网、Freebuf、csdn等。

内容特点：组织清晰、图形化，易于理解。

内容概述：内网、操作系统、协议、渗透测试、安全服务、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、包括BP、MSF ……

由于篇幅限制，仅展示部分信息。要获取它，您需要单击下面的链接。

CSDN礼包：《黑客网络安全入门进阶学习资源包》免费分享

#以上关于如何找到正确钓鱼目标的相关内容来源仅供参考。相关信息请参见官方公告。