Parece que lo que está intentando hacer es una campaña de phishing en la red de su empresa. Si bien tiene una buena idea con el archivo .doc , la implementación sería demasiado complicada. Puedes hacer esto con Macros , pero habrá un montón de ventanas emergentes preguntando el usuario habilita las macros y confirma que es peligroso, etc. En última instancia, creo que la mayoría de los empleados se asustarían por ello. Podría profundizar un poco más y usar msfvenom para incrustar malware en un archivo, pero ahora está explotando físicamente la máquina de cada usuario de la empresa que hace clic en él, lo que también es una mala idea. Si tiene algún recurso de la empresa que requiera iniciar sesión con las credenciales de la empresa, le recomendaría enviar una copia literal de un correo electrónico que generará ese servicio y el usuario solicitará una acción haciendo clic en un enlace (asegúrese de que el enlace no sea del La URL de la empresa, de lo contrario, confiarán en ella y anularán el propósito de hacer que se vean antes de hacer clic. Haga que la URL redirija a un servidor web (probablemente podría hacer esto internamente con DNS sin comprar el dominio) mostrando una copia de una página de inicio de sesión con la que están familiarizados, y luego redirigir a una página "Ha sido atrapado". Según la información de inicio de sesión, puede determinar quién fue capturado.
En aras de la seguridad, recomiendo NO registrar cualquiera de las contraseñas en el servidor web e incluir un fragmento en la página "Ha sido atrapado" para que cambien su contraseña de inmediato. Lo mejor sería asegurarse de que el formulario web ni siquiera envíe la contraseña o la reemplace con texto aleatorio antes de enviar a través de la red.
Para responder a su pregunta sobre el firewall, le aconsejaría que no haga ninguna parte de esto fuera de la red de la empresa si es posible. Eso aumentaría las posibilidades de que la información sea interceptada por actores maliciosos. En caso de que parte de este tráfico salga de la red, eso dependerá de las ACL, pero la mayoría del tráfico HTTP no está muy restringido.
Lo más importante es asegurarse de celebrar una reunión después de la campaña de pesca para poder explicar a los empleados lo que sucedió, cómo vigilarlo y qué hacer si vuelve a suceder.
Edición 1:
Si le preocupa engañar a los usuarios que utilizan su máquina fuera de la red, le recomendaría que utilice un nombre de dominio registrado con TLS dirigido a un servidor web de su empresa y alojado en el dominio de la empresa. De manera predeterminada, las ACL probablemente no permitirán el tráfico HTTP a cualquier máquina desde Internet. Si el servidor web está en un centro de datos, podría ser más probable. Tendrá que trabajar con NetOps, el equipo o quien esté a cargo de las ACL de la red para confirmar esto.