如何找到正确的网络钓鱼目标

在深入研究联系人收集之前，我们希望确保对可用的攻击面有一个清晰的了解。我见过许多渗透测试者只获取客户端提供的主域，通过 theHarvester、linkedInt、maltego 等运行它，并将输出称为目标列表。在这样做的过程中，这些渗透测试机构完全忽略了与目标组织的其他领域相关的有价值的攻击面。我们可以做得更好。以下是我最喜欢的一些查找目标其他域的方法：

WHOIS 数据 — Whoxy 和 WhoisXML

当您注册域名时，您必须填写一些基本的联系信息，例如组织名称和 WHOIS 服务的“滥用电子邮件”。虽然从技术上讲，您可以放置任何您想要的东西，并且大多数注册商都提供 WHOIS 匿名服务，但许多组织仍然在表格中填写可识别的信息。这意味着我们经常可以交叉引用WHOIS联系信息并找到相关域名。

不幸的是，WHOIS协议从未打算允许基于联系信息进行查找;但是，有一些付费 API 如 Whoxy 和 WhoisXML，它们已经索引了数百万条 WHOIS 记录并使其可搜索。Whoxy 是一个很好的快速检查，因为它的 API 积分非常便宜;但是，它的搜索功能区分大小写，并且它们的覆盖范围与 WhoisXML 不同。

当然，WHOIS协议是一个非常简单的、基于文本的呼叫和响应协议。通过一些脚本和分布式计算，我们也可以很容易地挖掘和索引我们自己的数据。如果您决定走这条路，请记住，许多WHOIS提供商明确禁止数据挖掘。你被警告了！

O365 挖矿（桶中的所有网络钓鱼）

如果目标组织使用 AzureAD，则可以使用自动发现服务获取其租户的所有域的列表。Nestori Syynimaa 博士发布了一个很棒的工具和博客文章，介绍了这种方法：

只是看：作为局外人的 Azure Active Directory 侦察

本文是 Azure AD 和 Microsoft 365 杀伤链博客系列的第 1/5 部分。Azure AD 和 Office 365 是云服务…

aadinternals.com

https://aadinternals.com/post/just-looking

当组织在域上建立网站时，他们通常会在网站的某个位置添加指向其主域的链接。在SEO世界中，这些被称为 “反向链接”。您可以使用免费的在线 SEO 工具来枚举这些链接，并查找您用其他方法遗漏的任何域。您还将经常看到与您的目标组织有业务往来的其他组织的反向链接。当您发现这些时，请记下它们，因为在制定我们的活动时，我们可能会滥用这些组织之间的隐性信任。

健全性检查

一旦我们有了关联域的列表，我们应该进行快速的健全性检查，以找出哪些域具有已发布的 MX 记录。枚举甚至没有邮件服务器的域的电子邮件地址是没有用的。这是为了确保我们在电子邮件收集过程中不会浪费时间或 API 积分：

dig mx -f domains.txt | grep ANSWER -A 1 | grep MX

嗨嗨（嗨嗨。让我们抓起一张网就走吧！

现在我们有了关联域的列表，我们可以在每个域的（@）中搜索联系人。在接下来的章节中，我们将介绍一系列联系人收集方法，从众所周知的简单（小网络钓鱼）开始，一直到更晦涩和困难的（较大的网络钓鱼）。

虽然这些方法中的大多数都专注于获取电子邮件地址，但其中一些方法还会为您提供电话号码和邮寄地址。不要忽视这些额外的数据！您可以拨打电话号码以查看它们是否是直线电话，并检查目标是否仍在组织中工作。如果有必要，我们还可以通过电话甚至通过蜗牛邮件传递有效载荷。同样，如果您的数据源包含职位等信息，也请获取此信息。在配对我们的列表时，它可能很有用。

经典

閱讀網站：這是（希望）明顯的第一步，但你可能會對我看到的滿透報者跳过它的次数感到驚訝。不止一次，在听到同事抱怨使用 OSINT 工具“找不到任何电子邮件地址”后，我在主网站上找到了一个员工目录。

谷歌傻瓜：同样，值得快速谷歌搜索一下，看看是否有任何员工列表没有托管在主网站上。有很多 OSINT 工具甚至可以为您自动化一些常见的傻瓜。尝试使用 Google 查找一些;)

theHarvester/Skiddy 脚本：虽然我已经有一段时间没有使用 theHarvester，但我惊喜地发现它截至 24 年 1 月 1 日仍在积极维护。我目前不使用它的原因是因为我倾向于将这样的工具视为其数据源的包装器。如果您喜欢使用特定的电子邮件挖掘 OSINT 工具，请务必继续使用它。不过，我还是要挑战你，至少要看一眼你最喜欢的脚本是如何工作的，并熟悉数据的来源。

LinkedIn挖矿：LinkedIn（LI）是员工姓名，职位，部门和其他有用的目标数据的重要来源，我们可以通过多种方式收集。如果您从未建立过自己的LinkedIn矿工，我强烈建议您将其作为练习。您学到的技能也可以应用于挖掘其他 OSINT 源：

LI Mining（初级）：转到目标组织，单击其员工，然后复制粘贴每个页面。接下来，grep/cut/sed foo 以获得结果。更进一步，您可以编写一个 JavaScript 单行代码来选择要挖掘的元素并将它们打印到开发人员控制台，从而显着加快该过程。

LI 挖矿（中级）：在导航 LI 时使用 BurpSuite 或 Zap Proxy 拦截您的流量。接下来，编写一个脚本来复制用于检索用户记录的 API 调用。相反，只需使用已经执行相同操作的众多现有工具之一（LinkedInt、AttackSurfaceMapper 等）。

LI Mining （Advanced）：使用像 Puppeteer 这样的框架编写一个机器人来为你挖掘每个页面。请记住，当您导航到员工页面时，在向下滚动之前，页面上只会有几个员工。滚动到页面底部会触发 AJAX 请求，以获取该页面的其余用户记录。然后让机器人等待一两秒钟，让结果填充并注入一些 JavaScript（可能来自上面的“初学者”脚本）来挖掘有用的数据。虽然这似乎是很多工作，但总体优势在于，如果操作得当，您可以构建一个模仿人类使用该网站的机器人，并可能延长您帐户的使用寿命。明显的数据挖掘尝试可能会导致您的帐户被锁定。如果你想采用这种方法，请记住，Puppeteer（和其他自动化框架）的默认设置包括一个明显的用户代理字符串，这肯定会让你感到厌烦，所以要进行研究。

关于 LI 连接的注意事项：要使这些方法中的任何一种都富有成效，您将需要与目标进行第一次和第二次连接。在测试之前登录您的 OSINT 帐户并与目标组织中的各种用户联系是值得的。如果您有预算，另一种选择是支付“LinkedIn销售导航器”以跳过所有自然连接并不受限制地访问搜索您的目标。

鲜为人知

Hunter.io 和 Zoominfo：这些网站都是为了寻找公司的营销线索。如果你仔细想想，冷电子邮件基本上与网络钓鱼完全相同。在线营销就是在目标组织中找到合适的人来与您的信息互动。在线营销人员面临着许多与我们相同的挑战，因此，好的营销工具对于设置网络钓鱼活动非常有用。这两个网站都会为您提供一些免费的搜索结果，并且还具有付费搜索 API。我喜欢 Hunter.io 的一件事是，您可以获得在 Internet 上找到每个联系人的 URL。这通常会将您直接引导至员工目录，您可以在其中挖掘更多联系人。

phonebook.cz：这是一个具有出色免费层的工具，旨在突出 intelx.io 数据库的强大功能。该服务曾经是完全开放的，但现在需要您注册一个帐户以限制滥用。搜索仍然是完全免费的。

Dehashed：此工具是大量公共数据泄露的可搜索聚合。如果目标组织的员工将其工作电子邮件用于任何这些被破坏的服务，则至少会获得他们的工作电子邮件地址，并经常获得密码、全名、用户名和其他可能有用的数据。这是一个付费的API，但定价相当合理。我有过几次甚至不需要社会工程的参与，因为我们发现了有效的密码凭据填充和 Dehashed 结果。

行业特定数据

了解目标组织的行业以及是否有任何数据源可以挖掘可能包含潜在目标的姓名和联系人，这通常是一个好主意。这里仅举几个例子。

评价我的教授 — 如果您碰巧正在对高等教育的客户进行渗透测试，您通常可以从评价我的教授那里获得一份很好的当前员工名单。该 API 简单易挖。学生众包数据并使其保持最新状态。

全国多州许可系统（NMLS） — 如果您的客户是银行、信用合作社或其他金融机构，您通常可以通过 NMLS 找到信贷员的联系信息。您还有一个额外的好处，即在组织内确定一个子组，该子组可能会对与贷款有关的某些借口做出良好的反应。

CPAVerify — 大多数大型组织都有全职会计人员，其中许多人都经过认证！当注册会计师每年更新执照时，他们必须填写联系信息，包括他们当前的雇主。有免费网站可以“验证”注册会计师执照，其中许多网站支持搜索公司名称。如果你真的想激怒一些羽毛，请向注册会计师发送网络钓鱼，说他们可能会在报税季节之前失去执照。我知道这很有效，因为一个过于热心的渗透测试团队对我以前的雇主（一家大型会计师事务所）做了这件事，并因为造成了太多的干扰而被解雇了。

困难模式

打电话给他们，索要一个目录！：社会工程学，如果做得好，通常是一个迭代过程。您可以获得一些访问权限，挖掘一些有用的数据，并使用它来定位具有更多访问权限的其他用户。如果你正在努力寻找联系人，那么打电话给组织中的任何人，冒充新员工，想出一个关于你如何试图联系团队中的人但找不到员工目录的哭泣故事，看看他们是否会通过电子邮件将副本发送到你的Gmail帐户。虽然这可能是一个奇怪的请求，但它可能不会像要求他们告诉你他们的密码或访问一些粗略的网站那样引起怀疑，而且大多数人会花时间帮助同事。这并不完全是“困难”的，因为它很不舒服，但当它起作用时，这是非常值得的回报。

自己挖掘互联网：如果 API 限制限制了您的风格，或者您正在搜索的 API 没有适合您的格式的数据，那么为什么不直接构建自己的 OSINT 数据库呢？CommonCrawl 是一个庞大的开源存储库，其中包含来自相当一部分 Web 的 Web 爬虫数据。他们的网站上有很多很酷的项目，展示了如何使用数据集来挖掘有趣的东西。

常见爬网 - 示例项目

探索由 Common Crawl 提供支持的项目：鼓舞人心的用例，展示 Web 数据在行动中的巨大潜力。

commoncrawl.org

您可以从数据集中挖掘电子邮件和关联的 URL，以构建自己的 OSINT 数据库。例如，您可以修改开源工具 WARCannon 以“grep the Internet”获取电子邮件地址，然后使用 ElasticSearch 将结果编入索引：

GitHub - c6fc/warcannon：Node.js 中的高速/低成本 CommonCrawl 正则表达式

Node.js中的高速/低成本 CommonCrawl 正则表达式。通过在以下位置创建一个帐户，为 c6fc/warcannon 开发做出贡献…

github.com

https://github.com/c6fc/warcannon

窃取者日志：“窃取者”是一种恶意软件，用于从受感染的主机不断收集用户数据，如电子邮件地址、帐户名和密码。编写和分发此类恶意软件的运营商通常采取机会主义方法，只是尝试感染尽可能多的系统，从数十万个系统中收集数据。其中一些“窃取日志”已被泄露，并包含大量用户数据。如果目标组织的员工恰好是这些特洛伊木马之一的受害者，那么这些数据在渗透测试中可能非常有用。不幸的是，为了使这些违规行为有用，您必须自己规范化和索引大量结构松散的数据。

全局地址列表（GAL）：如果碰巧破坏了对用户 o365 帐户的访问，则可以使用 GAL 拉取租户中每个人的联系信息。这可以直接从浏览器中的“开发人员”选项卡中完成：

它不完全是后门，但如果您的访问权限丢失，它确实会大大增加您获得另一个立足点的机会。就像要求提供员工目录一样，这是另一种技术，我们可以用来执行迭代社会工程，以便在我们破坏单个用户时获得更多特权访问。

选择目标

一旦我们有了联系人列表，我们就应该将列表配对成一组可能容易受到各种借口影响的目标。这一步是为了提高我们的成功率，由点击次数与发送电子邮件的比率来定义。理想情况下，我们会找到一个高度易感的目标，并发送一封成功率为 100% 的电子邮件。当然，我们没有办法提前测量易感性，因此我们将不得不做出最佳猜测。我们将根据一些通用特征来做到这一点，这些特征我们倾向于在“好”（高成功率）目标之间看到共同点，并避免具有通常与低成功率相关的特征的目标。

为什么不对所有人进行网络钓鱼？

如果我们只是把所有的时间都花在挖掘联系人上以最大化我们潜在的爆炸半径，那么我们为什么不直接对每个人进行网络钓鱼呢？这难道不是给我们最大的成功机会吗？

如果我们只打算发送一个借口，那么答案是肯定的。将每个目标暴露在选定的借口下将最大限度地提高我们成功的机会，但这种方法有一个重大缺陷：如果我们想对每个人进行网络钓鱼，那么我们将需要一个非常通用的借口。这些通用网络钓鱼邮件仅针对最低公分母（最易受攻击）的目标，并且很容易被其他人识别为网络钓鱼。与更有针对性的借口相比，通用借口的点击率非常低，同时将活动过度暴露给可能发现它们的事件响应者。

相反，我发现，当我们采用针对具有相似工作职位和兴趣的个人或一小群目标的方法时，我们可以更一致地制作点击率超过 50% 的场景。我的目标始终是确定至少几小群员工，以特定的借口作为目标。有了一个非常有说服力的借口，我们也许可以通过总共 3-5 次目标相互作用来获得立足点。

什么是“好”目标？

在线状态 — 我们对目标了解得越多，我们就越有可能想出一个他们会相信的借口。只需为特定用户在线提供大量可用信息，即可使他们成为鱼叉式网络钓鱼的潜在良好候选者。

卫生条件差 — 当我看到员工使用公司电子邮件作为个人联系人或使用可识别用户名在论坛上发布问题时，我知道我有一个很好的目标。喜欢将公司电子邮件用于“一切”的人经常在他们的工作设备上收到个人电子邮件。这开辟了一套全新的潜在借口，这些借口通常具有很高的成功率。您可能还会发现一些员工喜欢在网上“把自己放在那里”，这意味着这些人经常回复陌生人不请自来的电子邮件。

Check-the-Box Worker — 根据我的经验，似乎有几种工作流类型往往会让某些员工比普通用户更容易受到网络钓鱼的影响。其中一种类型是我所说的“复选框”工作方式。每天的主要目标是从队列中完成尽可能多的任务的个人通常会匆匆忙忙地完成任务，以至于当一些社会工程学被扔进去时，他们错过了网络钓鱼的迹象。

取悦客户 — 如果销售和客户支持团队被告知“客户永远是对的”或类似的言辞，他们可能过于信任外部请求。虽然他们与客户的大多数互动都是合法和良性的，但当恶意请求进来时，他们可能会被绊倒。

孔雀鱼 — 尚未接受过有关公司安全政策和程序的全面培训，并且对典型的交互或请求“应该”是什么样子知之甚少的新员工，本质上更容易受到各种形式的社会工程的影响。去看看你的LinkedIn结果，看看每个员工在你的目标组织工作了多长时间。