Skill

executing-phishing-simulation-campaign

Executes authorized phishing simulations using GoPhish: designs pretext scenarios, builds credential harvesting infrastructure, sends targeted emails, tracks open/click/submit rates for security awareness assessment.

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

- 作为安全意识计划的一部分，衡量员工对钓鱼攻击的脆弱性

Supporting Assets

LICENSEreferences/api-reference.mdscripts/agent.py

SKILL.md

Similar Skills

executing-phishing-simulation-campaign

Executes authorized phishing simulation campaigns to assess susceptibility to email-based social engineering via scenario design, credential harvesting setup, targeted emails, and tracking open/click/submission rates.

asi

executing-phishing-simulation-campaign

5.9k

Executes authorized phishing simulations to assess organizational susceptibility via scenario design, GoPhish infrastructure, targeted emails, and metrics on opens, clicks, submissions.

3 files

cybersecurity-skills

performing-phishing-simulation-with-gophish

Deploys GoPhish for authorized phishing simulations in security awareness training, covering campaign management, email templates, landing pages, and result analysis via API.

7 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

执行钓鱼模拟活动

适用场景

作为安全意识计划的一部分，衡量员工对钓鱼攻击的脆弱性
测试电子邮件安全控制措施的有效性（安全电子邮件网关、DMARC、SPF、DKIM）
执行红队演练（Red Teaming）中的社会工程组件，以获取初始访问权限
在部署安全意识培训前建立钓鱼脆弱性基线
验证员工举报可疑邮件时事件响应流程是否正常运作

不适用于：未获得组织领导层明确书面授权的情况、超出授权范围的实际凭据窃取、针对个人而非职业角色的定向攻击，或可能造成心理伤害或法律风险的钓鱼邮件发送。

前置条件

来自高管层的书面授权，注明活动范围、目标群体和上报流程
与 IT/安全团队协调，将发送基础设施加入白名单（或按范围测试是否能绕过控制措施）
GoPhish 或同类钓鱼平台，配置了发送域名、SMTP 中继和落地页基础设施
注册钓鱼域名并配置 SPF、DKIM 和 DMARC 记录以最大化投递率
来自 HR 的员工邮件列表，按部门组织以用于定向活动
事件响应团队已被告知活动时间表和上报流程

工作流程

步骤 1：活动规划与借口设计

根据目标组织面临的威胁，设计真实的钓鱼场景：

借口（Pretext）选择：选择与真实世界攻击相似的场景：
- IT 支持：密码即将过期，需要立即操作
- HR 部门：福利注册、政策确认、W-2/税务文件
- 高管冒充：来自 CEO/CFO 的紧急请求，要求审查文件
- 供应商：需要审查的发票、送货通知
- 云服务：Microsoft 365 共享文档、Google Drive 访问、Zoom 会议邀请
目标分组：按部门、角色或访问级别将员工分组。高价值目标（财务、IT 管理员、高管）可能收到更复杂的借口
时间安排：在工作时间发送，最好选择周二至周四（邮件参与度最高时段）。避免节假日、大规模裁员期或其他敏感时期
成功指标：定义活动成功标准：邮件打开率、链接点击率、凭据提交率、举报率（向 IT 举报钓鱼邮件的员工比例）

步骤 2：基础设施搭建

配置钓鱼基础设施：

域名注册：注册与目标组织域名相似的域名（域名抢注、同形字攻击或品牌相邻域名）。示例：target-corp.com、targetcorp-portal.com、targetsupport.net
SSL 证书：为钓鱼域名申请 TLS 证书（Let's Encrypt），以显示锁形图标
GoPhish 配置：
- 在 VPS 上使用钓鱼域名设置 GoPhish 服务器
- 配置 SMTP 发送配置文件，使用钓鱼域名的邮件服务器
- 创建带追踪像素和落地页链接的邮件模板
- 构建模仿目标登录门户的凭据收集落地页
- 导入目标邮件列表并创建用户组
邮件认证：为钓鱼域名配置 SPF、DKIM 和 DMARC 记录，通过邮件认证检查并提高投递率
测试投递：向受控收件箱发送测试邮件，验证渲染效果、链接追踪和落地页功能

步骤 3：活动执行

启动钓鱼活动：

分批发送邮件以避免触发频率限制或垃圾邮件过滤（例如每小时 50 封）
实时监控 GoPhish 仪表板，关注投递失败、退回和早期交互情况
实时追踪指标：已发送邮件数、已打开邮件数（追踪像素触发）、链接点击数、凭据提交数
若 IT 安全团队或 SOC 检测到活动（如果这是测试的一部分），记录检测时间和响应行动
维护紧急停止流程：若员工感到痛苦或活动产生意外后果，立即暂停
活动运行 48-72 小时后关闭落地页，因为大多数交互发生在前 24 小时内

步骤 4：凭据捕获与访问演示

处理捕获的凭据以演示影响（若已获授权）：

在 GoPhish 中审查所有捕获的凭据。除非明确授权，否则不要对真实系统测试这些凭据
若获授权进行完整利用：对组织的实际登录门户（VPN、OWA、SSO）测试捕获的凭据
记录成功被攻破的账户、其可访问的数据以及是否存在 MFA
若 MFA 阻止了访问，记录 MFA 阻止了攻击并建议保持 MFA 强制执行
识别凭据提交的规律：哪些部门、角色或地点最为脆弱

步骤 5：分析与报告

分析活动结果并产出评估报告：

指标分析：
- 邮件投递率：到达收件箱的邮件百分比
- 打开率：打开邮件的收件人百分比
- 点击率：点击钓鱼链接的百分比
- 提交率：提交凭据的百分比
- 举报率：向 IT 安全部门举报邮件的百分比
部门对比：跨部门比较脆弱性比率，识别需要定向培训的群体
邮件安全有效性：记录钓鱼邮件是否绕过了安全邮件网关，DMARC/SPF 是否阻止了投递，链接扫描工具是否检测到钓鱼 URL
建议：提供可操作的建议，包括安全意识培训主题、技术控制改进和政策变更

核心概念

术语	定义
借口（Pretext）	用于说服目标执行期望动作（如点击链接或输入凭据）的虚构场景和社会背景
凭据收集（Credential Harvesting）	通过模仿合法服务的虚假登录页面收集用户名和密码
GoPhish	开源钓鱼模拟平台，管理邮件模板、落地页、目标群组和活动追踪
鱼叉式钓鱼（Spear Phishing）	针对特定个人的定向钓鱼，使用通过侦察收集的个人化信息
域名抢注（Typosquatting）	通过字符替换、添加或删除注册与合法域名视觉上相似的域名
安全意识（Security Awareness）	旨在教育员工了解社会工程威胁和正确举报流程的培训计划
DMARC	基于域名的邮件认证、报告和一致性协议，防止域名被未授权用于发送电子邮件

工具与系统

GoPhish：开源钓鱼模拟框架，提供活动管理、邮件模板、落地页和详细分析功能
Evilginx2：高级钓鱼框架，能够通过反向代理技术捕获会话令牌并绕过多因素认证（MFA）
King Phisher：钓鱼活动工具包，具有双因素认证测试和地理位置追踪等高级功能
SET（Social Engineering Toolkit）：社会工程攻击框架，包括钓鱼、凭据收集和载荷投递

常见场景

场景：企业钓鱼模拟以建立安全意识基线

场景背景：一家拥有 2,000 名员工的公司从未进行过钓鱼模拟。CISO 希望在部署新安全意识培训计划前建立基线脆弱性比率。活动应使用真实但不过于复杂的借口测试所有员工。

方法：

开发 Microsoft 365 密码过期借口："您的密码将在 24 小时内过期，请点击此处更新。"
注册 m365-targetcorp.com，设置 GoPhish，构建克隆 Microsoft 365 登录门户的落地页
导入全部 2,000 名员工邮件，分批次安排在 20 小时内发送（每批 100 封）
72 小时后的活动结果：1,847 封投递成功（92.4%），1,243 封已打开（67.3%），487 次点击（26.4%），312 次凭据提交（16.9%），23 次向 IT 举报（1.2%）
分析显示财务部门（28% 提交率）和市场部门（24% 提交率）脆弱性最高；IT 部门最低（4%）
建议对高脆弱性部门进行定向培训、部署钓鱼举报按钮并制定季度模拟计划

常见陷阱：

使用过于激进或威胁性的借口，导致员工焦虑或法律问题
启动活动前未与 HR 和法务协调，引发员工关系问题
同时发送所有邮件，使邮件服务器过载或触发批量发送检测
只关注点击率和提交率，忽略极低的举报率（1.2%）

输出格式

## 钓鱼模拟活动报告

**活动名称**: 2025 年第四季度基线钓鱼评估
**借口**: Microsoft 365 密码过期通知
**活动时长**: 2025 年 11 月 15-18 日
**目标人群**: 2,000 名员工（所有部门）

### 活动指标
| 指标 | 数量 | 比率 |
|--------|-------|------|
| 已发送邮件 | 2,000 | 100% |
| 已投递邮件 | 1,847 | 92.4% |
| 已打开邮件 | 1,243 | 67.3% |
| 链接点击 | 487 | 26.4% |
| 凭据提交 | 312 | 16.9% |
| 向 IT 举报 | 23 | 1.2% |

### 部门分类
| 部门 | 员工数 | 点击率 | 提交率 | 举报率 |
|------------|-----------|---------|-----------|----------|
| 财务    | 120       | 38.3%   | 28.3%     | 0.8%     |
| 市场    | 85        | 35.3%   | 24.7%     | 1.2%     |
| 工程    | 300       | 15.0%   | 8.3%      | 3.7%     |
| IT      | 45        | 8.9%    | 4.4%      | 11.1%    |

### 关键发现
1. 基线凭据提交率 16.9% 超过行业平均水平（12%）
2. 举报率仅 1.2%，表明员工未受过举报可疑邮件的培训
3. 财务部门是最高风险群体，凭据提交率达 28.3%
4. 邮件安全网关未标记该钓鱼域名，尽管该域名注册仅 48 小时

### 建议
1. 部署强制性安全意识培训，重点介绍钓鱼识别
2. 在邮件客户端中安装钓鱼举报按钮并培训所有员工使用
3. 实施 DMARC 强制执行（p=reject）并增强邮件过滤规则
4. 对财务和市场部门开展定向培训
5. 安排季度钓鱼模拟以追踪改进效果