badie16/PhishTriage
GitHub: badie16/PhishTriage
PhishTriage 是一个安全运营培训项目,通过模拟多渠道钓鱼攻击样本和标准化分诊流程,帮助分析师掌握社会工程学攻击的识别与响应技能。
Stars: 1 | Forks: 0
# PhishTriage
PhishTriage 模拟了安全运营工作流的检测阶段 —— 培养识别社会工程学攻击、解构恶意基础设施以及精准响应所需的分析技能。
[](/samples/)
[](/analyses/)
[](/checklists/)
## 涵盖概念
- **网络钓鱼分类:** Mass Phishing(大规模钓鱼)、Spear Phishing(鱼叉式钓鱼)、Whaling(鲸钓)
- **多渠道载体:** Email(电子邮件)、SMS(Smishing 短信钓鱼)、Voice(Vishing 语音钓鱼)、QR Codes(Quishing 二维码钓鱼)、Search Engine Phishing(搜索引擎钓鱼)
- **域名欺骗技术:** Typosquatting(错别字抢注)、Homoglyph attacks(同形异义字攻击)、Combosquatting(组合抢注)、Subdomain traps(子域名陷阱)、Dangling DNS takeover(悬空 DNS 接管)
- **电子邮件标头伪造:** 显示名欺骗、SPF/DKIM/DMARC 滥用
- **认知触发器:** Authority(权威)、Urgency(紧迫感)、Curiosity(好奇心)、Fear/Greed(恐惧/贪婪)
- **高级威胁:** BitB(Browser-in-the-Browser 浏览器中的浏览器)、MFA Fatigue(MFA 疲劳攻击)、TOAD(Callback Phishing 回调钓鱼)、Deepfake voice/video(深度伪造语音/视频)
- **分诊协议:** 暂停 → 验证 → 报告
## 结构
```
PhishTriage/
│
├── README.md
├── annonce.md
│
├── samples/ # 12 simulated phishing samples
│ ├── _index.md
│ ├── 01-email-bancaire.md
│ ├── 02-spear-ceo.md
│ ├── 03-whaling-rh.md
│ ├── 04-smishing-dhl.md
│ ├── 05-vishing-it.md
│ ├── 06-quishing-m365.md
│ ├── 07-typosquatting.md
│ ├── 08-homoglyph.md
│ ├── 09-bitb-sso.md
│ ├── 10-mfa-fatigue.md
│ ├── 11-toad-callback.md
│ └── 12-seo-poisoning.md
│
├── analyses/ # 12 detailed analysis reports
│ ├── _index.md
│ └── 01-*.md ... 12-*.md
│
├── checklists/ # Triage SOP & decision tree
│ ├── _index.md
│ ├── triage-sop.md
│ └── decision-tree.md
│
├── scripts/ # Analysis helper tools
│ ├── _index.md
│ └── ...
│
└── assets/ # Diagrams and resources
└── _index.md
```
## 分析
| # | 样本 | 载体 | 技术 | 结论 |
|---|--------|--------|-----------|---------|
| 1 | [Email bancaire](samples/01-email-bancaire.md) | Email | Mass Phishing — Bank alert | 🔴 恶意 |
| 2 | [Spear CEO](samples/02-spear-ceo.md) | Email | BEC — CEO fraud | 🔴 恶意 |
| 3 | [Whaling RH](samples/03-whaling-rh.md) | Email | Whaling — Macro dropper | 🔴 恶意 |
| 4 | [Smishing DHL](samples/04-smishing-dhl.md) | SMS | Smishing — Package delivery | 🔴 恶意 |
| 5 | [Vishing IT](samples/05-vishing-it.md) | Voice | Vishing — RAT scam | 🔴 恶意 |
| 6 | [Quishing M365](samples/06-quishing-m365.md) | Email | Quishing — QR code login | 🔴 恶意 |
| 7 | [Typosquatting](samples/07-typosquatting.md) | Email | Typosquatting — Google clone | 🔴 恶意 |
| 8 | [Homoglyph](samples/08-homoglyph.md) | Email | Homoglyph — Cyrillic | 🔴 恶意 |
| 9 | [BitB SSO](samples/09-bitb-sso.md) | Email | BitB — Fake SSO popup | 🔴 恶意 |
| 10 | [MFA Fatigue](samples/10-mfa-fatigue.md) | Email/Push | MFA Fatigue — Push spam | 🔴 恶意 |
| 11 | [TOAD Callback](samples/11-toad-callback.md) | Email/Voice | TOAD — Callback phishing | 🔴 恶意 |
| 12 | [SEO Poisoning](samples/12-seo-poisoning.md) | Search | SEO — Fake login page | 🔴 恶意 |
## 分诊框架
每个被分析的消息最终都会采取一个确定性的操作:
```
Incoming Suspicious Message
│
┌──────┴──────┬──────────────┐
▼ ▼ ▼
Safe Suspicious Malicious
│ │ │
Close Warn User Block & Escalate
```
| 结论 | 标准 |
|---------|----------|
| **安全** | 域名匹配,无紧迫感压力,无敏感数据请求 |
| **可疑** | 轻微域名异常,不寻常的请求 —— 需要带外验证 |
| **恶意** | 确认的欺骗域名、凭证收集链接、绕过指令或已知的 IOC |
## 分诊 SOP
有关涵盖以下内容的完整标准操作程序(SOP),请参阅 [checklists/triage-sop.md](checklists/triage-sop.md):
- 电子邮件标头分析(SPF/DKIM/DMARC)
- 域名检查(whois、typosquatting、homoglyph)
- URL 解码
- 心理触发因素检测
- 决策制定
## 决策树
有关交互式 Mermaid 决策树,请参阅 [checklists/decision-tree.md](checklists/decision-tree.md)。
## 展示技能
- 威胁分析 · 网络攻击防范意识 · 安全思维
- 电子邮件标头检查 · 社会工程学识别
- IOC 提取 · 分诊协议应用
- 多载体网络钓鱼检测(电子邮件、短信、语音、QR 码、搜索)
## 用法
```
# 浏览样本
ls samples/
# 阅读分析
cat analyses/01-email-bancaire.md
# 使用 triage 清单
cat checklists/triage-sop.md
# 遵循决策树
cat checklists/decision-tree.md
```
## 资源
- [Google Phishing Quiz](https://phishingquiz.withgoogle.com/)
- [PortSwigger Web Security Academy](https://portswigger.net/web-security)
- [PhishTank — 开放钓鱼数据库](https://phishtank.org/)
- [CISA 钓鱼指南](https://www.cisa.gov/phishing)
## 作者
**Badie Bahida**
- GitHub: [github.com/Badie16](https://github.com/Badie16)
- LinkedIn: [linkedin.com/in/badie-bahida](https://linkedin.com/in/badie-bahida)
标签:ESC8, SOC运营, 安全意识, 漏洞修复, 社会工程学, 网络安全培训, 防御加固