0x01 钓鱼文案准备

• 重要性

首先得让体现出来邮件的重要性，来驱使目标去查看邮件。

• 合理性

其次文案得基本合理，这个就需要结合目标的身份，日常习惯，所在公司的情况及业务进行综合考量，来编写出一个合理的文案。

• 紧迫性

最后文案最好有一些紧迫性，来促使目标尽快的去按照文案引导，进行点击、输入等操作。

批量钓鱼

对于刚拿到手的目标，可以先去官网查看组织架构，有多少子公司、分公司、附属单位，公司职位划分是什么样的。批量钓鱼就是广撒网，看运气，目标范围越大成功率越高。文案的选择需要具有通用性，关系到大多数人的自身利益，重要程度高。但需要参考规则允许范围，不能触碰红线。

推荐使用文案：

• 社保主题

• 杀毒软件安装

• 通报名单公布

• 账号密码过期

社保主题

各位同事好： 因2022年人力资源社会保障部异地社保政策变动...... 相关材料及操作手册见附件，感谢您的配合。

附件可以使用word或pdf文档捆绑exe木马，点击后释放木马与文档。

杀毒软件安装

各位领导，同事，大家好： 根据集团公司安全设备监测告警发现......请于本周五下班之前完成个人电脑网络安全自检查工作。

附件可以使用火绒捆绑exe木马，运行后释放木马并开始安装火绒杀毒软件。

通报名单公布

被钓鱼员工名单、表彰名单等，具体情况见目标类型判断。附件使用execl 表格捆绑exe木马。

账号密码过期

红字加粗：您的XX会员服务/XX账号密码已过期

您的XX会员已于2022-12-12过期，您已失去移动在线、QQ等级加速、聊天记录漫游等70余项炫酷特权，我们期待您的回归！

回归续费请点击以下链接：

ps: 如果是qq邮箱/163邮箱等可以根据邮箱服务商修改相应的服务内容，如果是公司内网邮箱基本没什么用。

单点钓鱼

大范围批量钓鱼在经过一段时间后，可能会导致邮箱被拉入黑名单，如果运气不好的话，可能一个都没有钓上来。此时需要转变钓鱼策略为单点钓鱼，单点钓鱼需要挑选合适的目标以及对应的话术可以大幅提升成功率。

钓鱼目标选择

选择钓鱼目标的几个标准如下

• 时效性（邮箱存活、有人使用、需要经常打开看）

• 安全意识薄弱（对IT技术不太懂、年纪偏大老员工、刚入职实习生）

• 回报率高（能直通目标网络、有大量敏感文档）

简历投递

通过boss直聘、猎聘、公司官网招聘等途径找到招聘负责人，以发送简历至邮箱或想要添加微信的话术形式发送钓鱼木马。

直接通过google语法搜索：intext:XX公司 index:招聘

简历文件用长命名掩盖exe后缀，邮件主题设置为简历文件名

邮件内容可以写：

您好，我在招聘网站上看到了贵公司的招聘信息，我有多年的xx相关工作经验，相信自己能够胜任这份工作，希望得到一个宝贵的机会，感谢！

部门意见箱

话术模版

邮件标题：XX市XXX局政府信息公开申请——政府信息公开申请表多次发送未得到回复——（姓名）+（身份证号）

领导您好，我是XX省XX市普通民众（姓名），我的身份证号是（身份证号），我已多次向贵单位发送政府信息公开申请信函均未得到回复，故不得已采用邮件形式进行求助，具体情况在邮件附件内容中，请领导查收。

密码忘记

与网站客服私聊，沟通密码忘记或者其他业务事宜，获得支持部门邮箱，按照客服提供的邮件模板发送钓鱼邮件。

国外常用钓鱼文案参考

技术支持钓鱼邮件

诈骗者使用恐吓策略，诱使您为虚假问题支付不必要的技术支持费用。

• 例如，欺诈者可能冒充微软。为了让您相信存在问题，您的设备故障以技术术语呈现。（骗子还经常冒充技术支持品牌，例如 Best Buy Geek Squad 骗局）。

• 当您打开某些文件或运行扫描时，您可能会收到一条错误消息——但这没有任何问题，弹出窗口只是另一种网络钓鱼技术。

• 在大多数情况下，诈骗者会向您要钱以修复您的设备或软件上不存在的问题。如果您允许他们远程访问您的计算机以“修复”这些所谓的问题，他们就可以安装恶意软件或勒索软件。

• 他们还会要求您支付一次性费用或订阅支持服务。

退税诈骗邮件

冒充美国国税局是另一种常见的电子邮件网络钓鱼诈骗策略。例如，您可能会收到一封虚假的 IRS 电子邮件，要求您汇款或提供个人信息。

• 通常，主题行有紧迫感。诈骗者希望您不要验证电子邮件的真实性，因为它来自政府机构。

• 您将从诈骗者那里收到有关退款的消息。他们使用网络钓鱼链接将您带到假冒的美国国税局网站。一条典型的消息会说明您有资格获得退税；要接收它，您必须登录他们的网站。

• 当您在网站上输入个人信息时，例如您的社会安全号码(SSN) 或银行帐号，这些信息会直接转到骗子手中。

• 在您的计算机上安装恶意软件是另一种常见的退税骗局。系统会要求您打开附件；当您这样做时，恶意软件就会下载到您的计算机上。

可疑活动通知

一些服务公司优先考虑电子邮件安全，并会阻止您在未经您许可的情况下登录。当公司注意到从新设备或位置进行登录尝试时，您将收到一封电子邮件以确认是您本人。欺诈者发送这些电子邮件的版本以诱骗您向他们提供敏感信息。

• 您将收到一封电子邮件，其中包含有关您帐户异常活动的警告。诈骗者会假装来自 Microsoft 或Wells Fargo等知名公司。

• 在消息中，您将被告知您的帐户已被关闭，您需要拨打一个号码或单击一个链接才能重新打开它。

• 如果您回复电子邮件，您提供的任何信息，无论是通过电话还是在虚假网站上，都会被诈骗者记录下来。

社交媒体钓鱼邮件

诈骗者使用社交媒体网络钓鱼电子邮件窃取个人信息、在暗网上出售或访问金融账户。他们还寻找公司电子邮件地址。典型的网络钓鱼电子邮件来自社交媒体网站（如 LinkedIn）的“支持团队”。

• 在上面的示例中，来自 Instagram 的“版权中心”诱骗收件人点击网络钓鱼链接。诈骗者声称存在侵犯版权的行为，可以通过登录您的帐户进行“验证”。

• 即使您认为电子邮件看起来很逼真，也请检查发件人电子邮件：mail@theinstagram.team——这不是 Instagram 的官方地址。如果您单击链接并登录您的“帐户”，诈骗者将获得您的数据访问权限（或破解您的 Instagram 帐户）。

伪造付款确认邮件

在这种骗局中，消息包括来自合法机构、组织和其他服务提供商的虚假收据。该电子邮件鼓励您单击链接、下载附件或拨打电话取消或升级您的订阅。

• “付款确认”电子邮件包含一条简短消息，说明您的购买已完成。该消息通常与您定期支付的订阅有关。

• 电子邮件主题行大写以表示紧急程度，使电子邮件显得很重要。

• 可能有附件。如果您单击该文件，您将被带到钓鱼网站。在这种情况下，骗子会要求您登录您的帐户。

• 您可能需要拨打一个电话号码来取消或升级您的帐户。诈骗者会假装是电话中的计费支持团队代表，随时准备获取您的数据。

不正确的账单信息通知

通常，这些骗局来自拥有大量用户群的公司。Squarespace 为很多网站提供支持；因此，如果您收到他们的电子邮件，您就更有可能采取行动。

• 这些电子邮件声明如果您不更新您的账单信息，您的帐户将被暂停。网络钓鱼者使用紧迫感来说服您点击网络钓鱼链接。因为您信任 Squarespace 域名，所以您可能不会检查电子邮件是否合法。

• 电子邮件中包含高质量的品牌元素，例如徽标和品牌颜色。您还会看到一个截止日期（例如，三天后您的帐户将被暂停）和一个链接。单击链接后，您将被带到一个虚假的 Squarespace 页面。

• 通过使用您的电子邮件地址和密码登录，诈骗者会记录您的信息并返回错误的密码通知。

虚假的 iCloud 更新通知

在 iCloud 更新骗局中，黑客试图破解您的 Apple ID 和密码。此信息是使用 App Store、FaceTime、iMessage 和 iCloud 等 Apple 服务所必需的。

联系信息和付款信息也存储在您的 Apple 帐户中。掌握您的 ID 和密码的黑客可以使用它，或在黑市上出售它。他们将可以访问您的文档、照片和应用程序历史记录。他们甚至可以通过您的帐户租借和购买电影。

• 您将收到一封看似真正的 Apple 支持电子邮件的电子邮件，但这是一个骗局。在消息中，您将被告知，如果您不采取行动，您将无法访问您的帐户。

• 上例中的诈骗者告诉收件人，如果他们未能更新信息，他们将失去对 iCloud、iPhone 或 App Store 功能的访问权限。

• 通过单击“登录并查看”按钮，您将被带到一个假网站。在网站上输入您的信息将使黑客能够访问您的帐户。

人力资源 (HR) 调查电子邮件诈骗

‍人力资源调查电子邮件诈骗有多种形式。最常见的策略是诈骗者冒充知名品牌和机构，例如加州大学洛杉矶分校，并要求您参与调查。

• 系统会询问您对“您认识的人”的某个计划或促销活动的看法。发件人实际上并不关心您的意见 - 目的是让您点击指向虚假调查网站的链接。

• 一旦您这样做，诈骗者将记录您输入的任何信息，并可以使用它来访问其他在线帐户或在黑市上出售。该链接还可能启动恶意软件，从您的计算机上抓取敏感信息。

谷歌文档骗局

欺诈者通过特殊的网络应用程序冒充 Google 文档，从 Gmail 帐户中窃取电子邮件和联系人列表。这种方法之所以奏效，是因为人们相信这些请求来自他们的朋友。 当收件人授予访问权限时，诈骗电子邮件将自动发送给他们的联系人。

• 如果您单击该链接，您将被带到一个由 Google 托管的页面，其中列出了您的 Google 帐户。系统会要求您选择一个 Google 帐户并提供对“Google Docs”（一种假冒的第三方应用程序）的访问权限。

• 通过单击“允许”，这个假冒的 Google 文档应用程序可以读取您的电子邮件并将诈骗电子邮件发送给您的联系人。该蠕虫最终会感染所有曾经给您发过电子邮件的人。

USPS 钓鱼邮件

‍冒充 USPS 代表的欺诈者 如果您从美国境外在线订购任何商品，您的包裹可能会在海关滞留。欺诈者利用这种可能性窃取您的信息。

虚假的语音邮件通知

虚假语音邮件通知是另一种欺诈性电子邮件诈骗。在这种骗局中，欺诈者将电子邮件伪装成语音邮件通知，然后在您的设备上下载恶意软件或通过虚假网站窃取您的登录凭据。

• 您下载了一个 .wav 文件，它使您的计算机感染了恶意软件。

• 一封电子邮件包含虚假的语音消息。单击以预览语音邮件会将您带到钓鱼网站。提供您的信息可能会导致敏感数据或财务数据丢失，或导致身份被盗。

假发票（消费记录）骗局

虚假发票诈骗在消费者、小型企业和加密货币用户中越来越流行。诈骗者伪装成热门网站，以访问用户的加密钱包、资金、个人数据或账户信息。

例如，伪造的 PayPal 发票要求您向世界卫生组织支付 35 美元。或者，您可能会收到一封如上所示的电子邮件——表明您向某人支付了 44.98 美元。

• 第一种类型涉及附件发票。当您下载附件时，诈骗者会将恶意软件下载到您的计算机上。

• 第二种类型发生在电子邮件要求您通过登录帐户“确认付款”时。该网站是假的；一旦您提供了您的帐户信息，诈骗者就会拥有它。

邮箱账户升级骗局

宣布电子邮件帐户升级的垃圾邮件活动是另一种类型的网络钓鱼电子邮件。在这个骗局中，发件人伪装成知名的电子邮件服务提供商，例如 Google 或 Outlook。该消息指出，如果您不升级或更新您的帐户，您将失去您的电子邮件服务。

• 这封电子邮件会将收件人定向到一个看起来就像电子邮件帐户登录页面的钓鱼网站。当您在网页上输入登录凭据时，骗子会记录您的登录凭据。

• 然后，攻击者可以访问您的电子邮件帐户、窃取敏感信息或在暗网上出售您的数据。主题行故意引起紧迫感（例如，“需要采取行动！”），以便您打开电子邮件。

CEO 网络钓鱼企图（冒充你的领导）

CEO 欺诈是一种鱼叉式网络钓鱼，诈骗者冒充您的 CEO 或其他公司高管，例如 CFO 或 HR 主管。

诈骗者利用这些人的信誉和权威来获取信息或金钱。员工不太可能质疑 CEO 的要求。

• 欺骗：诈骗者使用您 CEO 的名字，但使用不同的电子邮件地址。电子邮件地址可能看起来与贵公司的域相似，但有一些细微差别。诈骗者希望您不会注意到虚假地址并迅速采取行动。

• 商业电子邮件妥协 (BEC)：诈骗者在此类 CEO 网络钓鱼尝试中使用 CEO 的真实姓名和地址。但是，回复地址与发件人地址不同——因此您的回复将被发送给诈骗者。

Costco 钓鱼诈骗（购物网站优惠）

在 Costco 骗局中，骗子利用该品牌的名称和声誉窃取个人信息。他们试图让您相信，您正在接收来自您信任的公司 Costco 的通信。

• 您收到的电子邮件中可能包含付款请求。为了欺骗您，诈骗者会使用各种策略，包括特别优惠、奖励和购物车放弃电子邮件。

• 这些消息将包含网络钓鱼链接。单击该链接后，您将被带到一个虚假网站，您将被要求输入您的敏感个人信息。

银行诈骗邮件

当您的银行与您联系时，您会注意到这一点。如果银行检测到您的帐户存在可疑活动，您可能会收到来自银行的电子邮件、短信或电话。

网络罪犯通过向您发送与帐户提款和交易相关的欺诈性电子邮件来利用这一点。他们的目标是获取敏感信息，例如您的用户名、密码和帐户信息。

• 银行诈骗电子邮件与其他网络钓鱼计划一样运作。诈骗者会冒充您的银行，无论是大通银行、富国银行、美国银行还是任何其他金融机构。

• 该电子邮件包含在您的帐户上进行的虚假交易或提款。犯罪分子可能会使用您提供的信息窃取您的身份或从您的银行账户中提取资金。

虚假应用购买提示（APPStore账单）很可能会被当成归档邮件

在众多 App Store 骗局中，需要提防的一个骗局是虚假的应用程序安装或购买提示。这是一种网络钓鱼诈骗，有人会向您发送您理应购买的应用程序的虚假发票。

• 您的收件箱中将显示一封主题为“[某些] 应用程序付款成功”的电子邮件。这可能是您没有下载的应用程序，主题行中有一个序列号。您点击查看他们指的是什么付款。

• 电子邮件是纯文本格式，Apple 可能不会发送，并且附有一张“发票”。如果您想查看、管理或取消申请，您将被要求打开所附的“发票”。消息的模糊性将导致您打开附件以了解更多信息。

• 通过打开附件，攻击者可能会在您的设备上安装病毒、间谍软件或其他类型的恶意软件。还将有一个“报告问题”选项。但是，单击该链接会将您带到旨在窃取您的信息的网络钓鱼网站。

0x02 钓鱼邮件迹象

以后注意这些迹象：

• 语法错误或拼写错误的单词

• 与官方域名无关的奇怪网址

• 不寻常或非个人化的称呼

• 紧急或威胁的语气

• 不相关的发件人姓名和电子邮件地址

• 劣质徽标

• 针对不熟悉网站的大型 CTA

• 自发的电子邮件附件

• 通过电子邮件直接请求 PII（个人身份信息）

• 品牌欺骗的迹象

0x03 参考

• https://www.aura.com/learn/phishing-email-examples#1.-Tech-support-phishing-email