badie16/PhishTriage

GitHub: badie16/PhishTriage

PhishTriage 是一个安全运营培训项目,通过模拟多渠道钓鱼攻击样本和标准化分诊流程,帮助分析师掌握社会工程学攻击的识别与响应技能。

Stars: 1 | Forks: 0

# PhishTriage PhishTriage 模拟了安全运营工作流的检测阶段 —— 培养识别社会工程学攻击、解构恶意基础设施以及精准响应所需的分析技能。 [![样本](https://img.shields.io/badge/samples-12-blue)](/samples/) [![分析](https://img.shields.io/badge/analyses-12-green)](/analyses/) [![清单](https://img.shields.io/badge/checklist-✔-orange)](/checklists/) ## 涵盖概念 - **网络钓鱼分类:** Mass Phishing(大规模钓鱼)、Spear Phishing(鱼叉式钓鱼)、Whaling(鲸钓) - **多渠道载体:** Email(电子邮件)、SMS(Smishing 短信钓鱼)、Voice(Vishing 语音钓鱼)、QR Codes(Quishing 二维码钓鱼)、Search Engine Phishing(搜索引擎钓鱼) - **域名欺骗技术:** Typosquatting(错别字抢注)、Homoglyph attacks(同形异义字攻击)、Combosquatting(组合抢注)、Subdomain traps(子域名陷阱)、Dangling DNS takeover(悬空 DNS 接管) - **电子邮件标头伪造:** 显示名欺骗、SPF/DKIM/DMARC 滥用 - **认知触发器:** Authority(权威)、Urgency(紧迫感)、Curiosity(好奇心)、Fear/Greed(恐惧/贪婪) - **高级威胁:** BitB(Browser-in-the-Browser 浏览器中的浏览器)、MFA Fatigue(MFA 疲劳攻击)、TOAD(Callback Phishing 回调钓鱼)、Deepfake voice/video(深度伪造语音/视频) - **分诊协议:** 暂停 → 验证 → 报告 ## 结构 ``` PhishTriage/ │ ├── README.md ├── annonce.md │ ├── samples/ # 12 simulated phishing samples │ ├── _index.md │ ├── 01-email-bancaire.md │ ├── 02-spear-ceo.md │ ├── 03-whaling-rh.md │ ├── 04-smishing-dhl.md │ ├── 05-vishing-it.md │ ├── 06-quishing-m365.md │ ├── 07-typosquatting.md │ ├── 08-homoglyph.md │ ├── 09-bitb-sso.md │ ├── 10-mfa-fatigue.md │ ├── 11-toad-callback.md │ └── 12-seo-poisoning.md │ ├── analyses/ # 12 detailed analysis reports │ ├── _index.md │ └── 01-*.md ... 12-*.md │ ├── checklists/ # Triage SOP & decision tree │ ├── _index.md │ ├── triage-sop.md │ └── decision-tree.md │ ├── scripts/ # Analysis helper tools │ ├── _index.md │ └── ... │ └── assets/ # Diagrams and resources └── _index.md ``` ## 分析 | # | 样本 | 载体 | 技术 | 结论 | |---|--------|--------|-----------|---------| | 1 | [Email bancaire](samples/01-email-bancaire.md) | Email | Mass Phishing — Bank alert | 🔴 恶意 | | 2 | [Spear CEO](samples/02-spear-ceo.md) | Email | BEC — CEO fraud | 🔴 恶意 | | 3 | [Whaling RH](samples/03-whaling-rh.md) | Email | Whaling — Macro dropper | 🔴 恶意 | | 4 | [Smishing DHL](samples/04-smishing-dhl.md) | SMS | Smishing — Package delivery | 🔴 恶意 | | 5 | [Vishing IT](samples/05-vishing-it.md) | Voice | Vishing — RAT scam | 🔴 恶意 | | 6 | [Quishing M365](samples/06-quishing-m365.md) | Email | Quishing — QR code login | 🔴 恶意 | | 7 | [Typosquatting](samples/07-typosquatting.md) | Email | Typosquatting — Google clone | 🔴 恶意 | | 8 | [Homoglyph](samples/08-homoglyph.md) | Email | Homoglyph — Cyrillic | 🔴 恶意 | | 9 | [BitB SSO](samples/09-bitb-sso.md) | Email | BitB — Fake SSO popup | 🔴 恶意 | | 10 | [MFA Fatigue](samples/10-mfa-fatigue.md) | Email/Push | MFA Fatigue — Push spam | 🔴 恶意 | | 11 | [TOAD Callback](samples/11-toad-callback.md) | Email/Voice | TOAD — Callback phishing | 🔴 恶意 | | 12 | [SEO Poisoning](samples/12-seo-poisoning.md) | Search | SEO — Fake login page | 🔴 恶意 | ## 分诊框架 每个被分析的消息最终都会采取一个确定性的操作: ``` Incoming Suspicious Message │ ┌──────┴──────┬──────────────┐ ▼ ▼ ▼ Safe Suspicious Malicious │ │ │ Close Warn User Block & Escalate ``` | 结论 | 标准 | |---------|----------| | **安全** | 域名匹配,无紧迫感压力,无敏感数据请求 | | **可疑** | 轻微域名异常,不寻常的请求 —— 需要带外验证 | | **恶意** | 确认的欺骗域名、凭证收集链接、绕过指令或已知的 IOC | ## 分诊 SOP 有关涵盖以下内容的完整标准操作程序(SOP),请参阅 [checklists/triage-sop.md](checklists/triage-sop.md): - 电子邮件标头分析(SPF/DKIM/DMARC) - 域名检查(whois、typosquatting、homoglyph) - URL 解码 - 心理触发因素检测 - 决策制定 ## 决策树 有关交互式 Mermaid 决策树,请参阅 [checklists/decision-tree.md](checklists/decision-tree.md)。 ## 展示技能 - 威胁分析 · 网络攻击防范意识 · 安全思维 - 电子邮件标头检查 · 社会工程学识别 - IOC 提取 · 分诊协议应用 - 多载体网络钓鱼检测(电子邮件、短信、语音、QR 码、搜索) ## 用法 ``` # 浏览样本 ls samples/ # 阅读分析 cat analyses/01-email-bancaire.md # 使用 triage 清单 cat checklists/triage-sop.md # 遵循决策树 cat checklists/decision-tree.md ``` ## 资源 - [Google Phishing Quiz](https://phishingquiz.withgoogle.com/) - [PortSwigger Web Security Academy](https://portswigger.net/web-security) - [PhishTank — 开放钓鱼数据库](https://phishtank.org/) - [CISA 钓鱼指南](https://www.cisa.gov/phishing) ## 作者 **Badie Bahida** - GitHub: [github.com/Badie16](https://github.com/Badie16) - LinkedIn: [linkedin.com/in/badie-bahida](https://linkedin.com/in/badie-bahida)
标签:ESC8, SOC运营, 安全意识, 漏洞修复, 社会工程学, 网络安全培训, 防御加固