executing-phishing-simulation-campaign
执行授权的钓鱼模拟活动,评估组织对基于电子邮件的社会工程攻击的脆弱性。测试人员设计真实的钓鱼场景,构建凭据收集基础设施,发送定向钓鱼邮件,并追踪打开率、点击率和凭据提交率,以衡量人员安全意识水平。适用于钓鱼模拟、社会工程评估、电子邮件安全测试或安全意识测量等请求场景。
Best use case
executing-phishing-simulation-campaign is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
执行授权的钓鱼模拟活动,评估组织对基于电子邮件的社会工程攻击的脆弱性。测试人员设计真实的钓鱼场景,构建凭据收集基础设施,发送定向钓鱼邮件,并追踪打开率、点击率和凭据提交率,以衡量人员安全意识水平。适用于钓鱼模拟、社会工程评估、电子邮件安全测试或安全意识测量等请求场景。
Teams using executing-phishing-simulation-campaign should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/executing-phishing-simulation-campaign/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How executing-phishing-simulation-campaign Compares
| Feature / Agent | executing-phishing-simulation-campaign | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
执行授权的钓鱼模拟活动,评估组织对基于电子邮件的社会工程攻击的脆弱性。测试人员设计真实的钓鱼场景,构建凭据收集基础设施,发送定向钓鱼邮件,并追踪打开率、点击率和凭据提交率,以衡量人员安全意识水平。适用于钓鱼模拟、社会工程评估、电子邮件安全测试或安全意识测量等请求场景。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行钓鱼模拟活动 ## 适用场景 - 作为安全意识计划的一部分,衡量员工对钓鱼攻击的脆弱性 - 测试电子邮件安全控制措施的有效性(安全电子邮件网关、DMARC、SPF、DKIM) - 执行红队演练(Red Teaming)中的社会工程组件,以获取初始访问权限 - 在部署安全意识培训前建立钓鱼脆弱性基线 - 验证员工举报可疑邮件时事件响应流程是否正常运作 **不适用于**:未获得组织领导层明确书面授权的情况、超出授权范围的实际凭据窃取、针对个人而非职业角色的定向攻击,或可能造成心理伤害或法律风险的钓鱼邮件发送。 ## 前置条件 - 来自高管层的书面授权,注明活动范围、目标群体和上报流程 - 与 IT/安全团队协调,将发送基础设施加入白名单(或按范围测试是否能绕过控制措施) - GoPhish 或同类钓鱼平台,配置了发送域名、SMTP 中继和落地页基础设施 - 注册钓鱼域名并配置 SPF、DKIM 和 DMARC 记录以最大化投递率 - 来自 HR 的员工邮件列表,按部门组织以用于定向活动 - 事件响应团队已被告知活动时间表和上报流程 ## 工作流程 ### 步骤 1:活动规划与借口设计 根据目标组织面临的威胁,设计真实的钓鱼场景: - **借口(Pretext)选择**:选择与真实世界攻击相似的场景: - IT 支持:密码即将过期,需要立即操作 - HR 部门:福利注册、政策确认、W-2/税务文件 - 高管冒充:来自 CEO/CFO 的紧急请求,要求审查文件 - 供应商:需要审查的发票、送货通知 - 云服务:Microsoft 365 共享文档、Google Drive 访问、Zoom 会议邀请 - **目标分组**:按部门、角色或访问级别将员工分组。高价值目标(财务、IT 管理员、高管)可能收到更复杂的借口 - **时间安排**:在工作时间发送,最好选择周二至周四(邮件参与度最高时段)。避免节假日、大规模裁员期或其他敏感时期 - **成功指标**:定义活动成功标准:邮件打开率、链接点击率、凭据提交率、举报率(向 IT 举报钓鱼邮件的员工比例) ### 步骤 2:基础设施搭建 配置钓鱼基础设施: - **域名注册**:注册与目标组织域名相似的域名(域名抢注、同形字攻击或品牌相邻域名)。示例:`target-corp.com`、`targetcorp-portal.com`、`targetsupport.net` - **SSL 证书**:为钓鱼域名申请 TLS 证书(Let's Encrypt),以显示锁形图标 - **GoPhish 配置**: - 在 VPS 上使用钓鱼域名设置 GoPhish 服务器 - 配置 SMTP 发送配置文件,使用钓鱼域名的邮件服务器 - 创建带追踪像素和落地页链接的邮件模板 - 构建模仿目标登录门户的凭据收集落地页 - 导入目标邮件列表并创建用户组 - **邮件认证**:为钓鱼域名配置 SPF、DKIM 和 DMARC 记录,通过邮件认证检查并提高投递率 - **测试投递**:向受控收件箱发送测试邮件,验证渲染效果、链接追踪和落地页功能 ### 步骤 3:活动执行 启动钓鱼活动: - 分批发送邮件以避免触发频率限制或垃圾邮件过滤(例如每小时 50 封) - 实时监控 GoPhish 仪表板,关注投递失败、退回和早期交互情况 - 实时追踪指标:已发送邮件数、已打开邮件数(追踪像素触发)、链接点击数、凭据提交数 - 若 IT 安全团队或 SOC 检测到活动(如果这是测试的一部分),记录检测时间和响应行动 - 维护紧急停止流程:若员工感到痛苦或活动产生意外后果,立即暂停 - 活动运行 48-72 小时后关闭落地页,因为大多数交互发生在前 24 小时内 ### 步骤 4:凭据捕获与访问演示 处理捕获的凭据以演示影响(若已获授权): - 在 GoPhish 中审查所有捕获的凭据。除非明确授权,否则不要对真实系统测试这些凭据 - 若获授权进行完整利用:对组织的实际登录门户(VPN、OWA、SSO)测试捕获的凭据 - 记录成功被攻破的账户、其可访问的数据以及是否存在 MFA - 若 MFA 阻止了访问,记录 MFA 阻止了攻击并建议保持 MFA 强制执行 - 识别凭据提交的规律:哪些部门、角色或地点最为脆弱 ### 步骤 5:分析与报告 分析活动结果并产出评估报告: - **指标分析**: - 邮件投递率:到达收件箱的邮件百分比 - 打开率:打开邮件的收件人百分比 - 点击率:点击钓鱼链接的百分比 - 提交率:提交凭据的百分比 - 举报率:向 IT 安全部门举报邮件的百分比 - **部门对比**:跨部门比较脆弱性比率,识别需要定向培训的群体 - **邮件安全有效性**:记录钓鱼邮件是否绕过了安全邮件网关,DMARC/SPF 是否阻止了投递,链接扫描工具是否检测到钓鱼 URL - **建议**:提供可操作的建议,包括安全意识培训主题、技术控制改进和政策变更 ## 核心概念 | 术语 | 定义 | |------|------| | **借口(Pretext)** | 用于说服目标执行期望动作(如点击链接或输入凭据)的虚构场景和社会背景 | | **凭据收集(Credential Harvesting)** | 通过模仿合法服务的虚假登录页面收集用户名和密码 | | **GoPhish** | 开源钓鱼模拟平台,管理邮件模板、落地页、目标群组和活动追踪 | | **鱼叉式钓鱼(Spear Phishing)** | 针对特定个人的定向钓鱼,使用通过侦察收集的个人化信息 | | **域名抢注(Typosquatting)** | 通过字符替换、添加或删除注册与合法域名视觉上相似的域名 | | **安全意识(Security Awareness)** | 旨在教育员工了解社会工程威胁和正确举报流程的培训计划 | | **DMARC** | 基于域名的邮件认证、报告和一致性协议,防止域名被未授权用于发送电子邮件 | ## 工具与系统 - **GoPhish**:开源钓鱼模拟框架,提供活动管理、邮件模板、落地页和详细分析功能 - **Evilginx2**:高级钓鱼框架,能够通过反向代理技术捕获会话令牌并绕过多因素认证(MFA) - **King Phisher**:钓鱼活动工具包,具有双因素认证测试和地理位置追踪等高级功能 - **SET(Social Engineering Toolkit)**:社会工程攻击框架,包括钓鱼、凭据收集和载荷投递 ## 常见场景 ### 场景:企业钓鱼模拟以建立安全意识基线 **场景背景**:一家拥有 2,000 名员工的公司从未进行过钓鱼模拟。CISO 希望在部署新安全意识培训计划前建立基线脆弱性比率。活动应使用真实但不过于复杂的借口测试所有员工。 **方法**: 1. 开发 Microsoft 365 密码过期借口:"您的密码将在 24 小时内过期,请点击此处更新。" 2. 注册 `m365-targetcorp.com`,设置 GoPhish,构建克隆 Microsoft 365 登录门户的落地页 3. 导入全部 2,000 名员工邮件,分批次安排在 20 小时内发送(每批 100 封) 4. 72 小时后的活动结果:1,847 封投递成功(92.4%),1,243 封已打开(67.3%),487 次点击(26.4%),312 次凭据提交(16.9%),23 次向 IT 举报(1.2%) 5. 分析显示财务部门(28% 提交率)和市场部门(24% 提交率)脆弱性最高;IT 部门最低(4%) 6. 建议对高脆弱性部门进行定向培训、部署钓鱼举报按钮并制定季度模拟计划 **常见陷阱**: - 使用过于激进或威胁性的借口,导致员工焦虑或法律问题 - 启动活动前未与 HR 和法务协调,引发员工关系问题 - 同时发送所有邮件,使邮件服务器过载或触发批量发送检测 - 只关注点击率和提交率,忽略极低的举报率(1.2%) ## 输出格式 ``` ## 钓鱼模拟活动报告 **活动名称**: 2025 年第四季度基线钓鱼评估 **借口**: Microsoft 365 密码过期通知 **活动时长**: 2025 年 11 月 15-18 日 **目标人群**: 2,000 名员工(所有部门) ### 活动指标 | 指标 | 数量 | 比率 | |--------|-------|------| | 已发送邮件 | 2,000 | 100% | | 已投递邮件 | 1,847 | 92.4% | | 已打开邮件 | 1,243 | 67.3% | | 链接点击 | 487 | 26.4% | | 凭据提交 | 312 | 16.9% | | 向 IT 举报 | 23 | 1.2% | ### 部门分类 | 部门 | 员工数 | 点击率 | 提交率 | 举报率 | |------------|-----------|---------|-----------|----------| | 财务 | 120 | 38.3% | 28.3% | 0.8% | | 市场 | 85 | 35.3% | 24.7% | 1.2% | | 工程 | 300 | 15.0% | 8.3% | 3.7% | | IT | 45 | 8.9% | 4.4% | 11.1% | ### 关键发现 1. 基线凭据提交率 16.9% 超过行业平均水平(12%) 2. 举报率仅 1.2%,表明员工未受过举报可疑邮件的培训 3. 财务部门是最高风险群体,凭据提交率达 28.3% 4. 邮件安全网关未标记该钓鱼域名,尽管该域名注册仅 48 小时 ### 建议 1. 部署强制性安全意识培训,重点介绍钓鱼识别 2. 在邮件客户端中安装钓鱼举报按钮并培训所有员工使用 3. 实施 DMARC 强制执行(p=reject)并增强邮件过滤规则 4. 对财务和市场部门开展定向培训 5. 安排季度钓鱼模拟以追踪改进效果 ```
Related Skills
performing-supply-chain-attack-simulation
模拟和检测软件供应链攻击,包括通过 Levenshtein 距离检测域名抢注(Typosquatting)、针对私有注册表的依赖混淆(Dependency Confusion)测试、使用 pip 进行包哈希验证,以及使用 pip-audit 扫描已知漏洞。
performing-red-team-phishing-with-gophish
使用 Python gophish 库自动化 GoPhish 钓鱼模拟活动。创建含追踪像素的邮件模板、 配置 SMTP 发送配置文件、从 CSV 构建目标组、发起活动,并分析结果, 包括打开率、点击率和凭据提交统计数据,用于安全意识评估。
performing-phishing-simulation-with-gophish
GoPhish 是一个开源钓鱼模拟框架,供安全团队开展授权的钓鱼意识培训活动,提供活动管理、邮件模板创建、着陆页克隆和综合报告功能。
performing-csrf-attack-simulation
在授权安全评估中,通过构造利用已认证用户会话的伪造请求,测试 Web 应用程序的跨站请求伪造(CSRF)漏洞。
performing-bandwidth-throttling-attack-simulation
在授权环境中使用 tc、iperf3 和 Scapy 模拟带宽限速(Bandwidth Throttling)和网络降级攻击, 测试服务质量(QoS)控制、应用程序弹性以及网络监控对流量操纵攻击的检测能力。
performing-arp-spoofing-attack-simulation
在授权的实验室或渗透测试环境中,使用 arpspoof、Ettercap 和 Scapy 模拟 ARP 欺骗攻击, 以演示中间人攻击风险、测试网络检测能力并验证 ARP 检测对策。
performing-adversary-in-the-middle-phishing-detection
检测和响应中间人(AiTM)钓鱼攻击,这类攻击使用 EvilProxy、Evilginx 和 Tycoon 2FA 等反向代理工具包绕过 MFA 并窃取会话令牌。
investigating-phishing-email-incident
调查钓鱼(Phishing)邮件事件,从初始用户举报开始,经过邮件头分析、URL/附件引爆、 受影响用户识别和遏制行动,使用 Splunk、Microsoft Defender 和沙箱分析平台等 SOC 工具。 适用于收到的钓鱼邮件举报需要进行完整事件调查以确定范围和影响时。
implementing-soar-playbook-for-phishing
使用 Splunk SOAR REST API 自动化网络钓鱼事件响应,包括创建容器、添加制品并触发剧本
implementing-google-workspace-phishing-protection
配置 Google Workspace 高级钓鱼和恶意软件保护设置,包括预投递扫描、附件保护、伪造检测和增强安全浏览(Enhanced Safe Browsing)。
implementing-anti-phishing-training-program
安全意识培训是网络钓鱼防御的人员层面。有效的反钓鱼培训计划将定期模拟测试、互动学习模块、指标追踪和正向激励相结合,构建具有安全意识的企业文化。
hunting-for-spearphishing-indicators
跨电子邮件日志、终端遥测和网络数据狩猎鱼叉式网络钓鱼活动指标,检测定向邮件攻击。