conducting-social-engineering-pretext-call
规划并执行授权的语音钓鱼(vishing)借口电话,以评估员工对社会工程学(Social Engineering)的易感性,并评估安全意识控制措施的有效性。
Best use case
conducting-social-engineering-pretext-call is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
规划并执行授权的语音钓鱼(vishing)借口电话,以评估员工对社会工程学(Social Engineering)的易感性,并评估安全意识控制措施的有效性。
Teams using conducting-social-engineering-pretext-call should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/conducting-social-engineering-pretext-call/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How conducting-social-engineering-pretext-call Compares
| Feature / Agent | conducting-social-engineering-pretext-call | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
规划并执行授权的语音钓鱼(vishing)借口电话,以评估员工对社会工程学(Social Engineering)的易感性,并评估安全意识控制措施的有效性。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行社会工程学借口电话 ## 概述 借口电话(vishing,语音钓鱼)是一种社会工程学技术,攻击者通过电话冒充受信任的权威人物,操纵目标泄露敏感信息、执行某些操作或授予访问权限。在红队演练中,借口电话测试安全控制的人为因素,衡量员工遵守验证程序的情况和安全意识培训的有效性。MITRE ATT&CK 将其映射到 T1566.004(钓鱼信息:语音)和 T1598(钓鱼信息)。 ## 前置条件 - 指定社会工程学范围和边界的书面授权 - 已批准的目标员工列表(通常由客户提供) - 对目标和组织的 OSINT 研究 - 来电显示欺骗能力(已授权用于测试) - 录音设备(根据需要获得合法同意) - 客户批准的借口场景 ## MITRE ATT&CK 映射 | 技术 ID | 名称 | 战术 | |---|---|---| | T1566.004 | 钓鱼:语音 | 初始访问 | | T1598 | 钓鱼信息 | 侦察 | | T1598.003 | 钓鱼信息:鱼叉式语音钓鱼 | 侦察 | | T1589 | 收集受害者身份信息 | 侦察 | | T1591 | 收集受害者组织信息 | 侦察 | ## 阶段一:OSINT 与目标研究 ```bash # LinkedIn 员工枚举 theHarvester -d targetcorp.com -b linkedin -l 200 # 公司组织架构和员工职位 # 查看 LinkedIn、公司网站"关于我们"/"团队"页面 # 技术栈识别 # 查看招聘信息中的技术参考(VPN 供应商、邮件、服务台工具) # 电话系统识别 # 拨打主线,注意 IVR 选项、部门名称、分机号规律 ``` 需收集的关键情报: - 内部服务台电话号码和流程 - IT 部门名称和员工 - VPN/远程访问供应商(Cisco AnyConnect、Fortinet、Pulse Secure) - 企业邮件格式(first.last、flast 等) - 近期事件(合并、办公室搬迁、系统升级) - 员工姓名、职位、部门 ## 阶段二:借口场景开发 ### 常用借口场景 **IT 服务台冒充(最有效):** > "您好,我是 IT 服务台的[姓名]。本周我们正在将大家迁移到新的 VPN 客户端,我看到您的账户还没有更新。我需要验证您当前的凭据以确保迁移顺利进行。您能确认一下您的用户名和当前密码吗?" **供应商/承包商:** > "您好,我是[已知供应商]的[姓名]。我们正在为[产品]进行紧急补丁部署,需要远程访问您的系统。您能帮我通过 TeamViewer 连接吗?" **行政助理(权威):** > "这里是[CFO 姓名]秘书[姓名]来电。[他/她]需要紧急处理一笔即将完成的交易汇款。我会通过邮件发送详情,但需要在一小时内完成。" **建筑/设施管理:** > "您好,我是设施管理部门的[姓名]。本周末我们要更新门禁系统。我需要确认您的员工 ID 和当前门禁卡号,以确保您的访问不会中断。" ### 借口检查清单 - [ ] 该借口对本组织是否可信? - [ ] 是否创造了适当的紧迫感而不带有威胁性? - [ ] 是否与 OSINT 发现一致(真实部门名称、真实系统)? - [ ] 是否有合理的理由请求信息? - [ ] 如果目标拒绝,是否有备用方案? - [ ] 客户是否批准了这个特定借口? ## 阶段三:电话执行 ### 通话结构 1. **介绍**(10 秒):说明姓名、部门、来电原因 2. **建立信任**(30 秒):提及真实情况(近期事件、共同背景) 3. **建立权威**(20 秒):引用经理姓名、工单号、紧迫性 4. **信息请求**(30 秒):自然地请求目标信息 5. **处理异议**:如受到质疑,平静地用准备好的答案回应 6. **结束**(10 秒):感谢对方,不留下怀疑 ### 异议处理 | 异议 | 回应 | |---|---| | "我能回电吗?" | "当然,请拨打服务台主线并要求找[姓名]。但这需要在今天下班前完成。" | | "我需要先验证一下" | "完全理解,您的谨慎很值得称赞。您可以向[经理姓名]确认。" | | "我被告知永远不要提供密码" | "您说得对,我们通常也不会这样要求。这是一个特殊情况,因为[原因]。我可以让我的经理来电。" | | "您的员工 ID 是多少?" | 转移:"是[编造的 ID]。听着,我今天还要打 50 个电话。我们能就此搞定吗?" | | "我改发邮件给 IT" | "当然,但系统迁移今晚就要进行。如果在此之前没完成..." | ## 阶段四:数据收集与指标 记录每次通话的以下内容: | 指标 | 描述 | |---|---| | 目标姓名 | 被呼叫的员工 | | 部门 | 目标所在部门 | | 日期/时间 | 通话时间 | | 时长 | 通话时长 | | 使用的借口 | 哪种场景 | | 获取的信息 | 泄露了什么 | | 凭据是否泄露 | 是/否(及类型) | | 是否尝试验证 | 目标是否尝试验证来电者? | | 是否向安全部门报告 | 目标是否报告了此次通话? | | 社会工程学得分 | 1-5 级易感性评级 | ## 阶段五:报告 ### 成功指标 | 指标 | 目标 | 结果 | |---|---|---| | 凭据泄露率 | <10% | XX% | | 敏感信息泄露率 | <20% | XX% | | 验证率 | >80% | XX% | | 安全报告率 | >50% | XX% | ## 道德与法律注意事项 1. **始终获得书面授权**,然后再进行语音钓鱼测试 2. **切勿使用威胁性语言**或制造真实的恐惧 3. **记录通话录音的同意和法律要求** 4. **保护泄露的凭据** — 立即向客户报告 5. 如客户批准,在演练结束后**向目标汇报** 6. **切勿公开点名**未通过测试的特定员工 7. **遵守所在司法管辖区的电信法律** ## 参考资料 - Verizon DBIR 2025:74% 的数据泄露涉及人为因素 - MITRE ATT&CK T1598: https://attack.mitre.org/techniques/T1598/ - 《社会工程学渗透测试》by Gavin Watson(Syngress 出版) - 《欺骗的艺术》by Kevin Mitnick(Wiley 出版) - NIST SP 800-50:构建信息技术安全意识和培训计划
Related Skills
reverse-engineering-rust-malware
使用 IDA Pro 和 Ghidra 对 Rust 编译的恶意软件进行逆向工程,掌握处理非空终止字符串、提取 crate 依赖项和 Rust 特有控制流分析的专项技术。
reverse-engineering-ransomware-encryption-routine
对勒索软件加密例程进行逆向工程,以识别密码学算法、密钥生成缺陷,以及通过静态和动态分析挖掘潜在的解密机会。
reverse-engineering-malware-with-ghidra
使用 NSA 的 Ghidra 反汇编器和反编译器对恶意软件二进制文件进行逆向工程,在汇编和伪 C 代码层面理解其内部逻辑、密码学例程、C2 协议和规避技术。适用于恶意软件逆向工程、反汇编分析、反编译、二进制分析或理解恶意软件内部机制等请求。
reverse-engineering-ios-app-with-frida
使用 Frida 动态插桩对 iOS 应用进行逆向工程,在无源代码的情况下理解内部逻辑、 提取加密密钥、绕过安全控制并发现隐藏功能。适用于授权 iOS 渗透测试、分析专有协议、 理解混淆逻辑或从 iOS 二进制文件中提取运行时机密。适合 iOS 逆向工程、Frida iOS Hook、 Objective-C/Swift 方法追踪或 iOS 二进制分析相关请求。
reverse-engineering-dotnet-malware-with-dnspy
使用 dnSpy 反编译器和调试器对 .NET 恶意软件进行逆向工程,分析 C#/VB.NET 源代码,识别混淆技术,提取配置信息,理解包括信息窃取器、远程访问木马(RAT)和加载器在内的恶意功能。适用于 .NET 恶意软件分析、C# 恶意软件反编译、托管代码逆向工程或 .NET 混淆分析等请求。
reverse-engineering-android-malware-with-jadx
使用 JADX 反编译器对恶意 Android APK 文件进行逆向工程,分析 Java/Kotlin 源代码,识别包括数据窃取、C2 通信、权限提升和覆盖攻击在内的恶意功能。检查 Manifest 权限、Receiver、Service 及原生库。适用于 Android 恶意软件分析、APK 逆向工程、移动端恶意软件调查或 Android 威胁分析等请求。
implementing-security-chaos-engineering
实施安全混沌工程实验,故意禁用或降级安全控制措施,以验证检测和响应能力。 使用 boto3 和 subprocess 测试 WAF 绕过、防火墙规则删除、日志管道中断和 EDR 禁用等场景。 适用于验证 SOC 检测覆盖率和韧性的场景。
conducting-wireless-network-penetration-test
执行授权的无线网络渗透测试,通过测试弱加密协议、强制门户绕过、邪恶双胞胎攻击、WPA2/WPA3 握手捕获、流氓接入点检测和客户端攻击,评估 WiFi 基础设施的安全性。
conducting-spearphishing-simulation-campaign
鱼叉式钓鱼(Spearphishing)模拟是红队用于获取初始访问权限的定向社会工程学攻击向量。与广泛的钓鱼活动不同,鱼叉式钓鱼使用 OSINT 情报精心制作高度个性化的消息,针对特定个人。
conducting-social-engineering-penetration-test
设计并执行社会工程学渗透测试,包括钓鱼、语音钓鱼、短信钓鱼和物理借口活动,以衡量人员安全韧性并识别培训差距。
conducting-post-incident-lessons-learned
主持结构化的事件后审查,以识别根本原因、记录有效和无效的措施,并提出可操作的改进建议以提升未来的事件响应能力。
conducting-phishing-incident-response
通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。