conducting-social-engineering-pretext-call

规划并执行授权的语音钓鱼(vishing)借口电话,以评估员工对社会工程学(Social Engineering)的易感性,并评估安全意识控制措施的有效性。

9 stars

Best use case

conducting-social-engineering-pretext-call is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

规划并执行授权的语音钓鱼(vishing)借口电话,以评估员工对社会工程学(Social Engineering)的易感性,并评估安全意识控制措施的有效性。

Teams using conducting-social-engineering-pretext-call should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/conducting-social-engineering-pretext-call/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/conducting-social-engineering-pretext-call/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/conducting-social-engineering-pretext-call/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How conducting-social-engineering-pretext-call Compares

Feature / Agentconducting-social-engineering-pretext-callStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

规划并执行授权的语音钓鱼(vishing)借口电话,以评估员工对社会工程学(Social Engineering)的易感性,并评估安全意识控制措施的有效性。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 执行社会工程学借口电话

## 概述

借口电话(vishing,语音钓鱼)是一种社会工程学技术,攻击者通过电话冒充受信任的权威人物,操纵目标泄露敏感信息、执行某些操作或授予访问权限。在红队演练中,借口电话测试安全控制的人为因素,衡量员工遵守验证程序的情况和安全意识培训的有效性。MITRE ATT&CK 将其映射到 T1566.004(钓鱼信息:语音)和 T1598(钓鱼信息)。

## 前置条件

- 指定社会工程学范围和边界的书面授权
- 已批准的目标员工列表(通常由客户提供)
- 对目标和组织的 OSINT 研究
- 来电显示欺骗能力(已授权用于测试)
- 录音设备(根据需要获得合法同意)
- 客户批准的借口场景

## MITRE ATT&CK 映射

| 技术 ID | 名称 | 战术 |
|---|---|---|
| T1566.004 | 钓鱼:语音 | 初始访问 |
| T1598 | 钓鱼信息 | 侦察 |
| T1598.003 | 钓鱼信息:鱼叉式语音钓鱼 | 侦察 |
| T1589 | 收集受害者身份信息 | 侦察 |
| T1591 | 收集受害者组织信息 | 侦察 |

## 阶段一:OSINT 与目标研究

```bash
# LinkedIn 员工枚举
theHarvester -d targetcorp.com -b linkedin -l 200

# 公司组织架构和员工职位
# 查看 LinkedIn、公司网站"关于我们"/"团队"页面

# 技术栈识别
# 查看招聘信息中的技术参考(VPN 供应商、邮件、服务台工具)

# 电话系统识别
# 拨打主线,注意 IVR 选项、部门名称、分机号规律
```

需收集的关键情报:
- 内部服务台电话号码和流程
- IT 部门名称和员工
- VPN/远程访问供应商(Cisco AnyConnect、Fortinet、Pulse Secure)
- 企业邮件格式(first.last、flast 等)
- 近期事件(合并、办公室搬迁、系统升级)
- 员工姓名、职位、部门

## 阶段二:借口场景开发

### 常用借口场景

**IT 服务台冒充(最有效):**
> "您好,我是 IT 服务台的[姓名]。本周我们正在将大家迁移到新的 VPN 客户端,我看到您的账户还没有更新。我需要验证您当前的凭据以确保迁移顺利进行。您能确认一下您的用户名和当前密码吗?"

**供应商/承包商:**
> "您好,我是[已知供应商]的[姓名]。我们正在为[产品]进行紧急补丁部署,需要远程访问您的系统。您能帮我通过 TeamViewer 连接吗?"

**行政助理(权威):**
> "这里是[CFO 姓名]秘书[姓名]来电。[他/她]需要紧急处理一笔即将完成的交易汇款。我会通过邮件发送详情,但需要在一小时内完成。"

**建筑/设施管理:**
> "您好,我是设施管理部门的[姓名]。本周末我们要更新门禁系统。我需要确认您的员工 ID 和当前门禁卡号,以确保您的访问不会中断。"

### 借口检查清单

- [ ] 该借口对本组织是否可信?
- [ ] 是否创造了适当的紧迫感而不带有威胁性?
- [ ] 是否与 OSINT 发现一致(真实部门名称、真实系统)?
- [ ] 是否有合理的理由请求信息?
- [ ] 如果目标拒绝,是否有备用方案?
- [ ] 客户是否批准了这个特定借口?

## 阶段三:电话执行

### 通话结构

1. **介绍**(10 秒):说明姓名、部门、来电原因
2. **建立信任**(30 秒):提及真实情况(近期事件、共同背景)
3. **建立权威**(20 秒):引用经理姓名、工单号、紧迫性
4. **信息请求**(30 秒):自然地请求目标信息
5. **处理异议**:如受到质疑,平静地用准备好的答案回应
6. **结束**(10 秒):感谢对方,不留下怀疑

### 异议处理

| 异议 | 回应 |
|---|---|
| "我能回电吗?" | "当然,请拨打服务台主线并要求找[姓名]。但这需要在今天下班前完成。" |
| "我需要先验证一下" | "完全理解,您的谨慎很值得称赞。您可以向[经理姓名]确认。" |
| "我被告知永远不要提供密码" | "您说得对,我们通常也不会这样要求。这是一个特殊情况,因为[原因]。我可以让我的经理来电。" |
| "您的员工 ID 是多少?" | 转移:"是[编造的 ID]。听着,我今天还要打 50 个电话。我们能就此搞定吗?" |
| "我改发邮件给 IT" | "当然,但系统迁移今晚就要进行。如果在此之前没完成..." |

## 阶段四:数据收集与指标

记录每次通话的以下内容:

| 指标 | 描述 |
|---|---|
| 目标姓名 | 被呼叫的员工 |
| 部门 | 目标所在部门 |
| 日期/时间 | 通话时间 |
| 时长 | 通话时长 |
| 使用的借口 | 哪种场景 |
| 获取的信息 | 泄露了什么 |
| 凭据是否泄露 | 是/否(及类型) |
| 是否尝试验证 | 目标是否尝试验证来电者? |
| 是否向安全部门报告 | 目标是否报告了此次通话? |
| 社会工程学得分 | 1-5 级易感性评级 |

## 阶段五:报告

### 成功指标

| 指标 | 目标 | 结果 |
|---|---|---|
| 凭据泄露率 | <10% | XX% |
| 敏感信息泄露率 | <20% | XX% |
| 验证率 | >80% | XX% |
| 安全报告率 | >50% | XX% |

## 道德与法律注意事项

1. **始终获得书面授权**,然后再进行语音钓鱼测试
2. **切勿使用威胁性语言**或制造真实的恐惧
3. **记录通话录音的同意和法律要求**
4. **保护泄露的凭据** — 立即向客户报告
5. 如客户批准,在演练结束后**向目标汇报**
6. **切勿公开点名**未通过测试的特定员工
7. **遵守所在司法管辖区的电信法律**

## 参考资料

- Verizon DBIR 2025:74% 的数据泄露涉及人为因素
- MITRE ATT&CK T1598: https://attack.mitre.org/techniques/T1598/
- 《社会工程学渗透测试》by Gavin Watson(Syngress 出版)
- 《欺骗的艺术》by Kevin Mitnick(Wiley 出版)
- NIST SP 800-50:构建信息技术安全意识和培训计划

Related Skills

reverse-engineering-rust-malware

9
from killvxk/cybersecurity-skills-zh

使用 IDA Pro 和 Ghidra 对 Rust 编译的恶意软件进行逆向工程,掌握处理非空终止字符串、提取 crate 依赖项和 Rust 特有控制流分析的专项技术。

reverse-engineering-ransomware-encryption-routine

9
from killvxk/cybersecurity-skills-zh

对勒索软件加密例程进行逆向工程,以识别密码学算法、密钥生成缺陷,以及通过静态和动态分析挖掘潜在的解密机会。

reverse-engineering-malware-with-ghidra

9
from killvxk/cybersecurity-skills-zh

使用 NSA 的 Ghidra 反汇编器和反编译器对恶意软件二进制文件进行逆向工程,在汇编和伪 C 代码层面理解其内部逻辑、密码学例程、C2 协议和规避技术。适用于恶意软件逆向工程、反汇编分析、反编译、二进制分析或理解恶意软件内部机制等请求。

reverse-engineering-ios-app-with-frida

9
from killvxk/cybersecurity-skills-zh

使用 Frida 动态插桩对 iOS 应用进行逆向工程,在无源代码的情况下理解内部逻辑、 提取加密密钥、绕过安全控制并发现隐藏功能。适用于授权 iOS 渗透测试、分析专有协议、 理解混淆逻辑或从 iOS 二进制文件中提取运行时机密。适合 iOS 逆向工程、Frida iOS Hook、 Objective-C/Swift 方法追踪或 iOS 二进制分析相关请求。

reverse-engineering-dotnet-malware-with-dnspy

9
from killvxk/cybersecurity-skills-zh

使用 dnSpy 反编译器和调试器对 .NET 恶意软件进行逆向工程,分析 C#/VB.NET 源代码,识别混淆技术,提取配置信息,理解包括信息窃取器、远程访问木马(RAT)和加载器在内的恶意功能。适用于 .NET 恶意软件分析、C# 恶意软件反编译、托管代码逆向工程或 .NET 混淆分析等请求。

reverse-engineering-android-malware-with-jadx

9
from killvxk/cybersecurity-skills-zh

使用 JADX 反编译器对恶意 Android APK 文件进行逆向工程,分析 Java/Kotlin 源代码,识别包括数据窃取、C2 通信、权限提升和覆盖攻击在内的恶意功能。检查 Manifest 权限、Receiver、Service 及原生库。适用于 Android 恶意软件分析、APK 逆向工程、移动端恶意软件调查或 Android 威胁分析等请求。

implementing-security-chaos-engineering

9
from killvxk/cybersecurity-skills-zh

实施安全混沌工程实验,故意禁用或降级安全控制措施,以验证检测和响应能力。 使用 boto3 和 subprocess 测试 WAF 绕过、防火墙规则删除、日志管道中断和 EDR 禁用等场景。 适用于验证 SOC 检测覆盖率和韧性的场景。

conducting-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行授权的无线网络渗透测试,通过测试弱加密协议、强制门户绕过、邪恶双胞胎攻击、WPA2/WPA3 握手捕获、流氓接入点检测和客户端攻击,评估 WiFi 基础设施的安全性。

conducting-spearphishing-simulation-campaign

9
from killvxk/cybersecurity-skills-zh

鱼叉式钓鱼(Spearphishing)模拟是红队用于获取初始访问权限的定向社会工程学攻击向量。与广泛的钓鱼活动不同,鱼叉式钓鱼使用 OSINT 情报精心制作高度个性化的消息,针对特定个人。

conducting-social-engineering-penetration-test

9
from killvxk/cybersecurity-skills-zh

设计并执行社会工程学渗透测试,包括钓鱼、语音钓鱼、短信钓鱼和物理借口活动,以衡量人员安全韧性并识别培训差距。

conducting-post-incident-lessons-learned

9
from killvxk/cybersecurity-skills-zh

主持结构化的事件后审查,以识别根本原因、记录有效和无效的措施,并提出可操作的改进建议以提升未来的事件响应能力。

conducting-phishing-incident-response

9
from killvxk/cybersecurity-skills-zh

通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。