1. 保護課程

1.1. 批判性思維

• 1.1.1. 很多時候人們把批判性思維和逆反、缺乏信仰或者為了質疑而質疑聯繫在一起

• 1.1.2. 告誡自己不要事事都信以為真

• 1.1.3. 攻擊者不希望你思考，尤其不希望你進行批判性思考

• 1.1.3.1. 會利用情緒來阻止你的批判性思維或者邏輯思考，並且會試圖喚起你的恐懼、憂傷或者憤怒等情緒，迫使你採取一些你不該採取的行動

• 1.1.4. 停下來幾秒鐘，在你採取行動前讀點別的什麼來冷靜一下

1.2. 學會懸停

• 1.2.1. 簡單地把你的鼠標移到鏈接上，但是不要點擊

• 1.2.2. 只需要把鼠標懸停在上面，看看會發生什麼

• 1.2.3. 懸停在這個鏈接上，或者任何鏈接上，會顯示它所指向的地址

• 1.2.3.1. 可以快速幫助你回答批判性思維的問題，從而清楚地做出決定

• 1.2.4. 不過無論如何，不要驚慌失措

• 1.2.4.1. 監控你的重要賬户，確保沒有異常發生

• 1.2.4.2. 可以對你的密碼進行一些修改來獲取最大程度的保護

• 1.2.5. 應該儘快採取行動，但是驚慌往往會使事情變得更糟

• 1.2.6. 攻擊者會意識到潛在的受害者可能受過懸停訓練

• 1.2.7. 其他攻擊者會用註冊過的證書來使得網站看起來合法和安全，並且攻擊者的確擁有這些證書

• 1.2.8. 黑客會攻擊全球範圍內的真實的服務器，並用合法服務器來發送釣魚郵件

1.3. URL解析

• 1.3.1. URL是uniform resource locator（統一資源定位符）的縮寫，即索引至互聯網資源的一種地址

• 1.3.2. http指標準的網絡地址

• 1.3.3. https則指有SSL（Secure Socket Layer，安全套接層）證書的網絡地址

• 1.3.4. ftp指FTP服務器的協議

• 1.3.5. www指服務器的子域名

• 1.3.5.1. 子域名可以是此類形式：ww1、files、secure、blog，或其他形式

• 1.3.6. 域名和真實域名越是相近，你就越容易相信它是真的

• 1.3.6.1. 攻擊者也可以購買一些看起來相近的域名

• 1.3.6.2. secure-DOMAIN.com是一個不同於DOMAIN.com的新域名，但如果它以一個合法的名稱結尾，那麼受害者就可能認為這是合法的網址

1.4. 分析郵件頭

• 1.4.1. 可以告知你郵件是如何到達你的郵箱的

• 1.4.2. 釣魚攻擊者會獲得合法電腦的訪問權限，並使用它們的郵件服務器來給所有的聯繫人、好友和收件箱裏其他隨機的地址發送惡意郵件

• 1.4.3. 儘管分析郵件頭可以讓你避免點擊欺詐郵件，但是並不能100%保證你可以識別出所有的欺詐性郵件

1.5. 沙盒

• 1.5.1. 一個科技領域的名詞，指的是創建一個可以運行未經測試或者不受信任的代碼的環境

• 1.5.2. 對很多威脅都有效

• 1.5.3. 只有確保安全之後，它們才會被髮到指定人員那裏

• 1.5.4. 沙盒的概念很聰明，也很高明

• 1.5.5. 很多大公司使用虛擬機來創建沙盒

• 1.5.6. 僅僅依靠技術，並不能讓你免於社會工程人員的攻擊

1.6. 壞主意陷阱

• 1.6.1. 複製粘貼，麻煩解決

• 1.6.2. 分享也是關照

• 1.6.3. 移動設備是安全的

• 1.6.4. 好的反病毒軟件可以拯救你

1.7. shellcode

• 1.7.1. 進行編碼來給它一個全新簽名的小程序—Shikata Ga Nai

• 1.7.2. 是一個多態編碼工具，名字來源於日文，意思是“無事可做”​，也可以翻譯成“沒有希望”​

1.8. 壞人更高明、堅定和努力

• 1.8.1. 他們似乎領先於你，並依靠你的弱點取勝

1.9. 僅僅依靠技術是救不了你的，技術也不應該被視作社會工程學的解決方案

1.10. 釣魚攻擊是真正的威脅，一種會讓你失去你的銀行賬户信息或者國家機密，以及介於二者之間的所有東西的威脅

1.11. 如果你的工作是確保公司安全，那麼你需要找到那些給你出壞主意的人並清除它們

1.12. 教育是解決問題的關鍵

• 1.12.1. 必須與公司一起努力來進行持久的、定期的、基於真實案例的教育，要讓員工有根深蒂固的觀念，並創建安全意識文化

2. 基本方法

2.1. 遵守規定

• 2.1.1. 對於開展釣魚攻擊來説，遵守規定並非一個壞理由

• 2.1.2. 很多公司都會選擇最小的難度然後拿到數據就完事了

• 2.1.3. 確定一條基線是很好的，但對於釣魚攻擊培訓來説，不要把遵守規定當成唯一的理由也是很重要的

2.2. 安全意識是非常常見的一種開展釣魚攻擊模擬的原因，它是公司具有前瞻性的體現

• 2.2.1. 通常定期參與釣魚模擬會對營造安全文化有顯著的影響，這是一件好事

2.3. 很多公司是在發現漏洞或者發生類似的安全事件後進行釣魚攻擊模擬的

• 2.3.1. 模擬是為了首先設置一條基線，然後教育人們或者解決一些問題，再重新測試看看狀況是否有所改善

• 2.3.2. “鴕鳥”安全法（把你的頭埋在沙裏，假裝你不會被攻擊）很少起作用

• 2.3.3. 安全委員會已經不再説“如果你被攻擊了”​，轉而開始説“當你被攻擊時”​，因為似乎早晚我們都會遭受攻擊

2.4. 把釣魚攻擊當作滲透測試的一部分

• 2.4.1. 釣魚攻擊會引導你訪問一個頁面，這個頁面會收集你的證書信息

• 2.4.2. 誘導員工訪問一個404錯誤頁面，而員工並不會被告知他或她正在接受釣魚攻擊模擬

• 2.4.3. 引導員工訪問一個教育頁面

2.5. 如果你開展培訓的理由是為了在接下來的12個月裏提高人們的安全意識，那麼你會很自然地期待驚人的變化

2.6. 通用型釣魚攻擊能夠幫助你劃定一條基線，看看人們對帶鏈接的東西有什麼樣的反應，而且你能夠發現他們在發現可疑的事物時是否採取了適當的行動

• 2.6.1. 可以幫助教導你的學員如何辨別真假新聞故事，以及瞭解釣魚攻擊者在利用某個特定主題時的目的是什麼

• 2.6.2. 新聞和媒體總是廣泛用於釣魚攻擊，這一主題會吸引很多人的興趣

2.7. 社會工程人員用來查找目標公司的一種辦法是：查出目標所使用的全部供應商

• 2.7.1. 釣魚攻擊者會研究廢品管理公司、電話和網絡提供商、電力公司、軟件和硬件供應商，甚至你的安全服務供應商

• 2.7.2. 員工更傾向於信任可信的供應商，並更願意打開來自它們的鏈接、附件，或者向它們提供信息，而新出現的陌生來源很難做到這一點

2.8. 內部郵件看上去是一個很好的主題，可以幫助你的員工理解釣魚攻擊的危險性

2.9. 商標是指公司用來表示產品或者服務屬於它們的文字、圖像、短語或者符號

• 2.9.1. 原告必須證明擁有有效商標

• 2.9.2. 原告必須證明被告在未經授權的情況下，在所出售的商品、服務或廣告上使用了相同或者相似的商標

• 2.9.3. 原告必須證明被告使用這個商標容易造成人們的混淆

• 2.9.4. 含有商標的釣魚攻擊模擬是一種非常高級的的手段，需要練習才能完美開展

• 2.9.5. 壞人正在使用商標，並且這一招很奏效，所以人們需要了解壞人所使用的招數

2.10. 釣魚攻擊之所以存在，是因為對惡意攻擊者來説，這一手段簡單、有效、有利可圖

• 2.10.1. 需要保持警惕與頑強的精神，堅持推動培訓繼續下去，並努力讓它實現效果最大化

3. 培訓

3.1. 設定基線

• 3.1.1. 成功的釣魚培訓項目都始於基線

• 3.1.2. 第一種設置基線的辦法是告訴員工你正在進行釣魚攻擊項目併發出警告

• 3.1.2.1. 要宣佈開始進行釣魚攻擊，並解釋你的目的是為了給公司和個人營造更安全的環境

• 3.1.3. 第二種開展釣魚攻擊培訓的方法更激進一些

• 3.1.3.1. 你不需要事先警告然後再設定基線

• 3.1.3.2. 在沒有任何提示的情況下發送釣魚攻擊郵件，然後看看結果如何

3.2. 設定難度等級

• 3.2.1. 一級釣魚攻擊

• 3.2.1.1. 是最容易識別的，通常與419釣魚郵件相關

• 3.2.1.2. 很多指標可以識別出它是“釣魚攻擊”​，大多數普通用户都應該覺得能很容易找出這類郵件不對勁兒的地方

• 3.2.1.3. 非指向性問候和結束語

• 3.2.1.4. 拼寫錯誤和糟糕的語法

• 3.2.1.5. 簡易的信息/不太可能成立的理由

• 3.2.1.6. 引起貪婪、恐懼或者好奇的心理

• 3.2.1.7. 文本中出現惡意鏈接

• 3.2.1.8. 奇怪的郵件地址/未知的發件人

• 3.2.2. 二級釣魚攻擊

• 3.2.2.1. 非指向性問候和結束語

• 3.2.2.2. 拼寫正確但有一些語法問題

• 3.2.2.3. 信息更復雜但仍然很基本

• 3.2.2.4. 引起貪婪、恐懼或者好奇的心理

• 3.2.2.5. 文本中出現惡意鏈接

• 3.2.2.6. 奇怪的郵件地址/未知的發件人

• 3.2.3. 三級釣魚攻擊

• 3.2.3.1. 接近於真實世界中的魚叉式釣魚攻擊（屬於最高級）以外的針對性釣魚攻擊

• 3.2.3.2. 指向性問候和結束語

• 3.2.3.3. 正確的拼寫

• 3.2.3.4. 不錯的語法

• 3.2.3.5. 複雜的信息，會引起恐懼或好奇的心理

• 3.2.3.6. 文本中出現惡意鏈接

• 3.2.3.7. 有時候會出現奇怪的郵件地址，但是發件人看起來是合法的

• 3.2.3.8. 很多時候出現商標

• 3.2.3.9. 三級釣魚攻擊郵件看上去非常真實，即使專業人員也可能中招，或者需要時間才能判斷出它是真是假

• 3.2.4. 四級釣魚攻擊

• 3.2.4.1. 魚叉式釣魚攻擊

• 3.2.4.2. 非常高級、非常個人化，而且很多時候非常成功

• 3.2.4.3. 可能具備個人化信息、商標、無拼寫錯誤等特徵，但它也有可能是地球上最簡單的郵件

• 3.2.4.4. 它們都很簡單，但直擊要點

>  3.2.4.4.1. 因為收件人正期望着收到這類郵件

  >   3.2.4.4.1.1. 他們已經做好準備接收、認可、打開並閲讀這類“主題”的郵件

  >   3.2.4.4.1.2. 他們認為收到這類郵件是理所當然的，因此就照着郵件裏的要求去做了

• 3.2.4.5. 魚叉式釣魚攻擊中更重要的是OSINT（open-source intelligence，獲取開放性情報，或者信息收集）的部分，而不是發送郵件的部分

>  3.2.4.5.1. 可以為攻擊者清理出一條通向受害者的途徑，以及瞭解如何對目標進行滲透

3.3. 編寫釣魚攻擊郵件

3.4. 追蹤和統計

• 3.4.1. 報告釣魚攻擊郵件的員工是很棒的

• 3.4.2. 最好的建議是讓他們轉發郵件給部門中的指定郵箱

• 3.4.3. 點擊人數

• 3.4.3.1. 最明顯的數據，但也是最必要的

• 3.4.3.2. 是你的基線

>  3.4.3.2.1. 告訴你有多少人將公司置於危險之中，以及多少人需要進一步培訓

• 3.4.3.3. 單獨這一數據並不能告訴你很多信息

>  3.4.3.3.1. 需要以此為基礎來獲得更多數據

• 3.4.4. 報告釣魚攻擊的人數

• 3.4.4.1. 是“解決”釣魚郵件問題的過程中非常重要的一部分

• 3.4.5. 點擊卻未報告的人數

• 3.4.5.1. 你知道點擊釣魚郵件是不好的，而報告釣魚郵件是好的，所以那些點擊而不報告的員工佔全了你不希望他們做的事

• 3.4.5.2. 需要更多的訓練和幫助

• 3.4.6. 點擊並報告的員工人數

• 3.4.6.1. 員工點擊了郵件但仍然報告了這一情況是件好事

• 3.4.6.2. 意味着儘管這些人採取了一些你不希望他們採取的行動，但是通過培訓，他們意識到了風險依然存在，並採取了積極的措施

• 3.4.7. 未點擊也未報告的人數

• 3.4.7.1. 沒有點擊，所以並沒有漏洞上的風險

• 3.4.7.2. 仍然想要讓這些員工對他們收到的可疑信息進行報告

• 3.4.7.3. 報告是每個員工都要了解的重要的一步

• 3.4.8. 未點擊卻報告的人數

• 3.4.8.1. 屬於最佳員工

• 3.4.8.2. 採取瞭如你所期望的行動，不僅識別出了釣魚攻擊郵件，還報告給機構，幫助了其他人

• 3.4.9. 如果你決定這麼做，那麼早期的名單會清晰地告訴你目前情況如何、你該如何提升，以及你需要在哪方面努力

3.5. 報告

3.6. 重複

• 3.6.1. 教學環節是整個培訓項目中最重要的部分

• 3.6.1.1. 簡潔（Brief）

>  3.6.1.1.1. 長時間的電腦培訓會讓員工厭煩，也無法提高教學效率

>  3.6.1.1.2. 只用1分鐘到4分鐘的時間來完成這一切才是最高效的

• 3.6.1.2. 有效（Effective）

>  3.6.1.2.1. 教會你的員工如何識別釣魚攻擊，發現釣魚攻擊後該做什麼，以及到哪裏去報告

• 3.6.1.3. 簡單（Simple）

>  3.6.1.3.1. 如果訓練中使用員工不熟悉的術語，或者發出的指令過於複雜，那麼員工就會感到沮喪。這種沮喪情緒會對訓練產生負面影響

• 3.6.1.4. 體貼（Thoughtful）

• 3.6.2. 培訓項目的最後一步是重複

• 3.6.2.1. 不要認為一年一度的釣魚攻擊培訓就足以保護你的員工