Stats
Actions
Tags
Executes authorized phishing simulations using GoPhish: designs pretext scenarios, builds credential harvesting infrastructure, sends targeted emails, tracks open/click/submit rates for security awareness assessment.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:executing-phishing-simulation-campaignThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
- 作为安全意识计划的一部分,衡量员工对钓鱼攻击的脆弱性
不适用于:未获得组织领导层明确书面授权的情况、超出授权范围的实际凭据窃取、针对个人而非职业角色的定向攻击,或可能造成心理伤害或法律风险的钓鱼邮件发送。
根据目标组织面临的威胁,设计真实的钓鱼场景:
配置钓鱼基础设施:
target-corp.com、targetcorp-portal.com、targetsupport.net启动钓鱼活动:
处理捕获的凭据以演示影响(若已获授权):
分析活动结果并产出评估报告:
| 术语 | 定义 |
|---|---|
| 借口(Pretext) | 用于说服目标执行期望动作(如点击链接或输入凭据)的虚构场景和社会背景 |
| 凭据收集(Credential Harvesting) | 通过模仿合法服务的虚假登录页面收集用户名和密码 |
| GoPhish | 开源钓鱼模拟平台,管理邮件模板、落地页、目标群组和活动追踪 |
| 鱼叉式钓鱼(Spear Phishing) | 针对特定个人的定向钓鱼,使用通过侦察收集的个人化信息 |
| 域名抢注(Typosquatting) | 通过字符替换、添加或删除注册与合法域名视觉上相似的域名 |
| 安全意识(Security Awareness) | 旨在教育员工了解社会工程威胁和正确举报流程的培训计划 |
| DMARC | 基于域名的邮件认证、报告和一致性协议,防止域名被未授权用于发送电子邮件 |
场景背景:一家拥有 2,000 名员工的公司从未进行过钓鱼模拟。CISO 希望在部署新安全意识培训计划前建立基线脆弱性比率。活动应使用真实但不过于复杂的借口测试所有员工。
方法:
m365-targetcorp.com,设置 GoPhish,构建克隆 Microsoft 365 登录门户的落地页常见陷阱:
## 钓鱼模拟活动报告
**活动名称**: 2025 年第四季度基线钓鱼评估
**借口**: Microsoft 365 密码过期通知
**活动时长**: 2025 年 11 月 15-18 日
**目标人群**: 2,000 名员工(所有部门)
### 活动指标
| 指标 | 数量 | 比率 |
|--------|-------|------|
| 已发送邮件 | 2,000 | 100% |
| 已投递邮件 | 1,847 | 92.4% |
| 已打开邮件 | 1,243 | 67.3% |
| 链接点击 | 487 | 26.4% |
| 凭据提交 | 312 | 16.9% |
| 向 IT 举报 | 23 | 1.2% |
### 部门分类
| 部门 | 员工数 | 点击率 | 提交率 | 举报率 |
|------------|-----------|---------|-----------|----------|
| 财务 | 120 | 38.3% | 28.3% | 0.8% |
| 市场 | 85 | 35.3% | 24.7% | 1.2% |
| 工程 | 300 | 15.0% | 8.3% | 3.7% |
| IT | 45 | 8.9% | 4.4% | 11.1% |
### 关键发现
1. 基线凭据提交率 16.9% 超过行业平均水平(12%)
2. 举报率仅 1.2%,表明员工未受过举报可疑邮件的培训
3. 财务部门是最高风险群体,凭据提交率达 28.3%
4. 邮件安全网关未标记该钓鱼域名,尽管该域名注册仅 48 小时
### 建议
1. 部署强制性安全意识培训,重点介绍钓鱼识别
2. 在邮件客户端中安装钓鱼举报按钮并培训所有员工使用
3. 实施 DMARC 强制执行(p=reject)并增强邮件过滤规则
4. 对财务和市场部门开展定向培训
5. 安排季度钓鱼模拟以追踪改进效果
npx claudepluginhub killvxk/cybersecurity-skills-zhExecutes authorized phishing simulation campaigns to measure security awareness. Designs realistic scenarios, builds credential harvesting infrastructure, and tracks open/click/credential rates.
Executes authorized phishing simulation campaigns to assess organizational susceptibility to email-based social engineering attacks, tracking open, click, and credential submission rates.
Executes authorized phishing simulation campaigns to assess susceptibility to email-based social engineering via scenario design, credential harvesting setup, targeted emails, and tracking open/click/submission rates.