Esta pregunta es, en parte, "¿Cómo hago que mis correos electrónicos de suplantación de identidad (phishing) pasen la detección de correo no deseado?" La respuesta no es lo mejor para nosotros y no deberías dedicar demasiado tiempo a eso. En su lugar, obtenga su servidor de envío en la lista blanca localmente para que su prueba no se ejecute a través de ningún filtro de spam.
La solución más fácil es utilizar una agencia de pruebas conocida como Cofense PhishMe , Wombat , o KnowBe4 , y ellos harán el trabajo pesado y lo guiarán a través del resto. Esto puede no ser ideal si tiene un presupuesto muy pequeño y / o si es parte de un proyecto estudiantil.
Una buena prueba de phishing interna
Tener permiso:
- Aprobación de un ejecutivo o director, no solo de TI o Ingeniería
- Los equipos de información y seguridad relevantes deben aprobar esta prueba.
Utilizar servidores externos:
- Envíe la prueba desde un rango de direcciones IP externas
- Omita el análisis antispam al incluir en la lista blanca las direcciones IP de envío de la prueba
Identifíquese como una prueba de phishing en sus encabezados:
- Agregue un encabezado
X-PHISHTEST con su información de contacto para escalas
- Al dejar este indicador, los grupos de seguridad pueden ignorar de manera segura los informes
ElencabezadoX-PHISHTESTactivaunveredictode"ataque de phishing" en algunas soluciones de detección de correo no deseado y evita el "pase gratuito" para los informes de suplantación de identidad (phishing) informados de entrometerse con la detección de ataques reales. Tenga en cuenta la necesidad de la lista blanca arriba.
Tener un buen sitio de aterrizaje:
- Considere un dominio de vanidad como
<institution>-support.com
- Incrustar cada dirección de usuario en la cadena de consulta del enlace
- Registre los clics de los usuarios y las IP de las que hicieron clic para su informe
- Dígales a los usuarios que cayeron en su trampa y edúquelos
- Vincule o aloje contenido similar al APWG 's Stop.Think.Connect.
- Revele la prueba en la raíz del documento o sin una cadena de consulta
para que los investigadores de seguridad puedan entender su intención
Pruebas de phishing incorrectas
- Tendrá problemas con la administración de los evaluadores
- Se pueden suspender cuentas más grandes
- Podría quedar atrapado como spam y, por lo tanto, no alcanzar los objetivos
- Riesgo molesto pero sin educar a la base de usuarios
- Confundirá los filtros antispam cuando esté entrenado como phishing
Respuestas a tus preguntas específicas
¿Dónde hospedo este sitio y cómo envío este correo electrónico?
Siempre y cuando sigas las reglas anteriores sobre una buena prueba y un buen sitio de aterrizaje, no debes tener problemas. Como se indicó anteriormente, es una buena idea alertar a sus operadores de red (esto incluye a su compañía de alojamiento web) antes de realizar esta prueba.
He visto algunos sitios de alojamiento gratuito. ¿Los proveedores de correo electrónico dan poca reputación a estos sitios de alojamiento gratuito?
Probablemente te refieras a los sistemas de detección de correo no deseado, que hoy en día son extraordinariamente complejos, que incorporan la mayor cantidad posible de metadatos y los combinan con mucha salsa secreta y aprendizaje automático. Realmente desea evitar la detección de spam con listas blancas. El antispam del lado del cliente rara vez es lo suficientemente poderoso como para discriminar de la manera que le preocupa.
También, para enviar el correo electrónico, ¿debo elegir proveedores de servicios de correo electrónico populares como gmail, hotmail o debo usar un correo electrónico desechable? ¿Qué aumentará las posibilidades de que el correo electrónico llegue a los usuarios?
Una vez más, debes evitar el antispam, momento en el que no importa mucho de esto. Un dominio de vanidad barato como <institution>-support.com viene con la capacidad de enviar dentro del entorno alojado de su proveedor.
Considero que GMail y Hotmail son desechables. Muchas pruebas de penetración registran cuentas como <institution>[email protected] y usan buenos amigos de nombres como <institution> Support (que es lo único que muestran los clientes de correo electrónico móvil).