終於!終於!終於!
到了這趟旅程的最後一天了!今天船長看著大家帶著滿滿的魚貨下船,
真的是備感欣慰阿~(船長真的很敢說)XD。
現在來一一清點到底這趟船期總共為大家帶來了多少收穫:1.
強大的email搜尋工具-Chrome瀏覽器強大的擴充功能:Hunter: Find email addresses in seconds,可以用來搜尋網站上很多人不小心留下或是自行公開
的email資訊;theHarvester,在這裡推薦使用Kali Linux作業系統來“練習”,可以用來搜尋整個網域的email,請注意僅供練習使用,不可以拿來幹壞事喔!會有刑事責任!!
2.
實戰OSINT(公開來源情報):利用stalkscan就可以找到公開在個人FB上的資訊(俗稱的肉搜拉~),也可以用一些簡單語法在臉書上搜尋,所以不要再亂公開太隱私的資料和照片拉~
3.
模擬真實的網路釣魚攻擊與測試-King Phisher,可以讓我們模擬真實的網路釣魚攻擊與測試,也可以完全控制電子郵件和伺服器內容,在這裡推薦使用Linux作業系統來“練習”。
4.
免安裝網路釣魚隨開即用平台-PhishInsight,可以進行社交郵件來網路釣魚,有提供免費版本供大家自行註冊享用,也有提供各式社交郵件範本,最後也可以產出結果報告,檢視有多少人中獎拉(不會反而自己被自己騙吧?)~。
5.
反網路釣魚組織-反網路釣魚工作小組 (APWG):可自行提報可疑或惡意的網路釣魚email、有關網路釣魚的技術白皮書、有關電子犯罪研究專題論文及網絡釣魚攻擊趨勢報告;PhishTank:可以檢視目前自己或大家提報的網路釣魚網站的狀況、也可以參與和追蹤網路釣魚網站的投票,還可以利用官方提供免費的API隨時接收到最新的網路釣魚網站的資訊。
6.
強化電子郵件的防禦,建立Gmail的電子郵件許可清單與黑名單。
7.
收到自己寄來的信件別害怕!利用完整標頭來追蹤電子郵件。
8.
如何透過**Google Chrome的「安全瀏覽」功能、VirusTotal及Cisco Talos Intelligence Group**提供網站威脅情報等類似的功能和平台使自己瀏覽網站更加的安全!
9.
利用事前情報蒐集工具-Robtex,可以自行搜尋網站是否為正常的網站,會顯示網站的很多資訊哦~
10.
**Recorded Future**提供很多的威脅情報服務,可以自行訂閱Free Cyber Daily免費情報,也要記得註冊下載“威脅情報手冊”哦!
11.
國際資安標準有提到**資安意識教育訓練**~教育訓練~教育訓練~很重要!!
以上是這30天來所介紹的網路釣魚實戰之重點整理,詳情還是要請各位往前一一的點開每一天我們的船期日誌去觀賞囉~
希望透過這樣的介紹,不管是從技術面的防護還是管理面的宣導,都可以讓大家對於網路釣魚實戰有更多的了解,提高防護網路釣魚的能力,並且將資訊安全的意識更加的深植在每個人的心和腦袋中,進而降低被網路釣魚的機率!
另外也希望大家都能控制好自己的“手指頭”,尤其是剛結束的1111購物節,可能還會有詐騙的消息釋出,大家不要看到優惠就忘情地點滑鼠進購物車嘿!
不多說了~各位鐵人練成的勇者來杯蜂蜜檸檬吧!
參考資料
(1)網路釣魚實戰30天