当进行电子邮件网络钓鱼时委聘我的客户常常会问，是什么用户点击了钓鱼电子邮件。当然有许多的方法可以来完成这个任务，但我主要讨论我所使用的方法来跟踪每一个来过我仿冒网站的游客。

这里将使用ruby脚本，调用sendmail.rb。

这不是什么NB的脚本，它只是提供了另一种方式来发送钓鱼邮件，这将有助于跟踪每一个访问过您的钓鱼网站的用户。

在一般情况下如果你钓鱼就要使用一些邮件客户端，例如：Thunderbird、Outlook等，你可以知道该网站的点击数，但你不能跟踪它。比如：

“我们发送邮件给50个用户，我们得到了35次点击”。但我想知道的是，35次点击中，有多少用户访问了钓鱼网站？结果只有2个不同的用户点击了网站15+次？这个问题通过sendmail.rb可以解决。

所以我们要把电子邮件地址添加到钓鱼的URL里。由于添加电子邮件地址是以明文显示，很容易起疑。所以用base64编码来写电子邮件地址，然后我们将其添加到网络钓鱼的URL里。

例如，如果我们的网络钓鱼URL位于：

http://example.com/index.php

Sendmail会如下修改网络钓鱼URL：

http://example.com/index.php?id=bWNjYW5uLmJyYW5kb25AZ21haWwuY29t

一旦用户点击了 网络钓鱼URL（base64编码的电子邮件地址），HTTP GET请求将显示在Web服务器的日志。

我另外写了一个Ruby脚本，其中，我调用decode_logs.rb来协助快速有效地获得Apache日志信息。下面是一个例子，我如何使用脚本来分析日志。

一开始打算从sendmail.rb发送Email，但我是编辑原始HTML来制作我的网络钓鱼模板，这很费时间，而且我不是一个很优秀的网页设计师。

后来在网上了解到可以使用Thunderbird来保存或“另存为”一个电子邮件，保存的电子邮件格式为.EML（但它本质上是的原始的HTML）与sendmail.rb可以完美搭配。

我赶紧看了下我的收件箱，发现了大量的从LinkedIn发出来的垃圾邮件，利用LinkedIn的邮件来让我们创建一个简单的网络钓鱼电子邮件，使用此模板：

通过Thunderbird来精心设计了一个网络钓鱼Email，我们需要做的就是将文件保存在本地，所以我们可以将其格式化为HTML，我们的脚本就可以使用它了。

现在，我们已经有了HTML，但光有HTML是不够的，现在我们需要增加我们的Email header()消息。通过SMTP来发送email。

红色框列出了所有的内容，我已添加了消息头并发送sendmail.rb ，下面的红框部分是从Thunderbird所有生成HTML的保存文件。

在最后一次编辑，我删除了包含：“To:” 的一行. 这解决了列表中创建的电子邮件，会注明时间和日期、是谁发送的（顶部）这一问题。

现在，我们已经创建了我们的网络钓鱼电子邮件，可以将其发送给自己，看看它的外观。

现在我们需要替换真正钓鱼链接。这样，当用户点击我们的电子邮件，他们进入的是我们的恶意网站，而不是LinkedIn。另外请注意，这是不一样的电子邮件地址，你可以看到此电子邮件的标题是别人（如上），而不是LinkedIn。

添加钓鱼URL是很容易的，因为sendmail可以帮助我们。用文本编辑器打开该文件，并更改任何的href= linkedin.com到href =＃{URL}。我们可以使用一些工具如sed，来简化这一过程。

via[pentestgeek]