30 个网络钓鱼 “骚” 姿势，懂一半绝对高手！-华盟网

在渗透测试领域，网络钓鱼始终是评估企业安全防御体系的核心手段之一。它并非黑产从业者的“专属工具”，而是通过模拟真实攻击场景，检验组织内人员安全意识、终端防护、应急响应能力的合法合规测试方法。

本文所分享的30个“骚”姿势，核心在于“精准”，目的是帮助测试人员更高效地发现防御漏洞，同时也为企业安全从业者提供防御思路，而非传授非法攻击技巧。

提示：任何网络钓鱼操作必须遵守《网络安全法》《数据安全法》等法律法规，严格限定在授权范围与测试周期内，测试结束后需完整清理测试残留，保护目标组织数据安全。

一、渗透测试中网络钓鱼的核心原则

在展开具体姿势前，先明确3个核心原则，这是区分“渗透测试”与“非法攻击”的关键：

• 授权优先：必须获得目标组织加盖公章的书面授权，明确测试范围（如特定部门、特定人员）、测试方式（禁止使用勒索病毒等破坏性 payload）、测试周期；
• 最小影响：测试 payload 以“验证漏洞”为目标（如获取登录凭证哈希、植入测试标记），禁止窃取真实业务数据、破坏系统运行；
• 全程留痕：测试过程需完整记录操作日志，包括钓鱼邮件发送时间、接收人、点击情况、漏洞验证结果，便于后续向目标组织提交测试报告。

二、30个网络钓鱼“骚”姿势

结合渗透测试实际场景，按“邮件钓鱼”“短信钓鱼”“社交平台钓鱼”“文件型钓鱼”四大核心载体分类。

（一）邮件钓鱼：最经典也最易突破的场景

邮件是企业内部沟通的核心载体，员工对邮件的信任度高，且易被“内部模板”“权威身份”诱导，是渗透测试的首选场景。

姿势1：精准仿冒目标组织内部邮件模板（含Logo、签名、内部术语）

【技巧原理】：通过前期信息搜集（如目标组织官网、招聘平台、行业展会资料），获取其内部邮件的固定模板（字体、字号、Logo位置、签名格式），甚至提取内部常用术语（如“项目立项单”“OA审批流”“部门协同单”），让钓鱼邮件与真实内部邮件无视觉差异。

【实施场景】：测试目标组织市场、行政等非技术部门——这类部门员工对邮件格式的敏感度低于IT部门，且日常需处理大量跨部门邮件。

【注意事项】：Logo需使用高清原图（避免模糊暴露），发件人地址伪装成“内部邮箱后缀”（需提前通过DNS查询获取目标组织邮箱域名，如xxx@target.com，而非使用免费邮箱后缀）；禁止仿冒CEO等核心高管邮箱（易引发组织内部恐慌，超出测试影响范围）。

姿势2：结合目标组织近期重大事件定制钓鱼邮件

【技巧原理】：通过目标组织官网、公众号、行业新闻，搜集其近期重大事件（如年会筹备、系统升级、新园区搬迁、重要项目上线），将钓鱼内容与事件绑定，利用“紧急性”“关联性”降低员工警惕。

【实施场景】：测试全部门员工——重大事件覆盖范围广，员工有主动获取相关信息的需求，点击意愿更高。例如：目标组织近期公告“OA系统升级”，钓鱼邮件主题可设为“【紧急】OA系统升级补充说明（含操作指引附件）”。

【注意事项】：事件信息需精准（如升级时间、负责部门需与官网一致），附件命名需贴合场景（如“OA升级操作指引_v1.0.docx”）；若目标组织未公开事件细节，需提前向授权方确认，避免编造信息引发误解。

姿势3：仿冒IT部门“漏洞修复通知”，附带“测试补丁”

【技巧原理】：员工对IT部门的“漏洞修复”“安全升级”指令天然信任，钓鱼邮件以IT部门名义发送，强调“系统存在高危漏洞，需立即安装补丁”，将恶意 payload 伪装成“补丁程序”（如.exe文件、批处理脚本）。

【实施场景】：测试技术部门以外的全部门——技术部门可能会验证补丁签名，非技术部门则多直接双击安装。

【注意事项】：“补丁程序”需命名规范（如“Windows漏洞修复补丁_202508.exe”），且大小与真实补丁接近（避免过大或过小暴露）；禁止使用会触发杀毒软件告警的 payload（如免杀处理不彻底的远控程序），可使用“获取系统信息+植入测试标记”的轻量 payload。

姿势4：利用“内部福利”诱导，绑定员工个人利益

【技巧原理】：通过前期侦察（如目标组织员工社交平台、内部论坛），获取其内部福利政策（如体检、公积金调整、节日礼品兑换、餐补报销），钓鱼邮件以“福利发放通知”“福利申领指引”为主题，诱导员工点击链接填写个人信息（含账号密码）。

【实施场景】：测试行政、财务、普通业务部门——福利与员工个人利益直接相关，警惕性极低。例如：钓鱼邮件主题“【福利通知】2025年度体检预约通道（仅限内部员工）”。

【注意事项】：福利信息需准确（如体检医院、预约时间需与真实福利一致），钓鱼链接域名需仿冒目标组织内部域名（如“tiyan.target.com”，而非“target-tiyan.xyz”）；链接页面需仿冒内部系统样式，避免出现“请输入银行卡密码”等超出福利场景的信息。

姿势5：仿冒“跨部门协同单”，附带“待确认附件”

【技巧原理】：企业内部跨部门协作频繁（如市场部向财务部提交报销单、技术部向运营部提交需求单），钓鱼邮件伪装成“跨部门协同单”，发件人伪装成其他部门员工（姓名、部门需真实，通过招聘平台获取），附件为恶意文件（如带宏的Excel表、带漏洞的PDF）。

【实施场景】：测试市场、运营、财务等需要频繁跨部门协作的部门——这类部门员工日常需处理大量附件，对“协同单附件”的警惕性低。

【注意事项】：发件人姓名、部门需真实（避免编造不存在的员工），协同单内容需贴合部门业务（如市场部的“展会费用报销单”、运营部的“活动数据统计单”）；恶意文件需禁用自动执行功能，仅在员工主动打开时触发测试逻辑。

姿势6：发送“邮件退信提醒”，诱导点击“查看退信内容”

【技巧原理】：员工日常会遇到邮件发送失败的情况，对“退信提醒”的接受度高。钓鱼邮件伪装成邮件服务器的“退信通知”，提示“您发送的邮件未送达，点击查看详情”，将钓鱼链接伪装成“退信详情链接”。

【实施场景】：测试经常对外发送邮件的部门（如销售、市场、商务）——这类部门员工对退信更敏感，担心影响业务沟通，点击意愿高。

【注意事项】：退信邮件格式需仿冒目标组织使用的邮件服务器（如Exchange、网易企业邮）的默认退信模板；链接需使用短链接（避免长链接暴露真实域名），且短链接域名需与目标组织域名相似度高（如“mail-target.com”）。

姿势7：结合“外部合作方”场景，仿冒供应商/客户邮件

【技巧原理】：通过目标组织官网、招标平台，获取其核心供应商/客户信息（如供应商名称、合作项目、联系人），钓鱼邮件以供应商/客户名义发送，主题为“合作项目确认函”“合同补充协议”“货款结算通知”，诱导员工打开附件或点击链接。

【实施场景】：测试采购、财务、商务部门——这类部门需频繁与外部合作方对接，对合作相关邮件的信任度高。

【注意事项】：合作方信息需真实（避免编造不存在的企业），邮件内容需贴合真实合作场景（如提及具体项目名称、合同编号）；禁止使用“催款”“违约”等过激表述，避免引发目标组织与合作方的误会。

姿势8：发送“内部培训通知”，附带“培训课件”恶意文件

【技巧原理】：企业定期会开展内部培训（如安全培训、业务技能培训），钓鱼邮件以人力资源部名义发送，主题为“【 mandatory 】2025年8月安全培训通知（含课件下载）”，将恶意文件伪装成培训课件（如PPT、PDF）。

【实施场景】：测试全部门员工——“ mandatory （强制）”字样可提升紧急性，员工为完成培训任务会主动下载附件。

【注意事项】：培训主题需贴合企业实际（如技术部门的“代码安全培训”、销售部门的“客户沟通培训”），课件文件需命名规范（如“202508安全培训课件_v1.0.pdf”）；恶意课件需避免触发终端杀毒软件，可使用“PDF漏洞利用+测试标记植入”的轻量逻辑。

姿势9：仿冒“邮件系统升级提醒”，诱导登录仿冒邮箱页面

【技巧原理】：钓鱼邮件以邮件系统管理员名义发送，提示“邮件系统即将升级，需提前验证账号信息，否则影响正常使用”，附带仿冒的目标组织邮箱登录页面链接，诱导员工输入账号密码。

【实施场景】：测试全部门员工——邮件系统是日常必备工具，员工担心无法正常收发邮件，易主动验证账号信息。

【注意事项】：仿冒登录页面需1:1还原目标组织邮箱登录页面（含Logo、输入框样式、验证码位置）；页面仅记录账号密码（不发送至外部服务器，避免窃取真实数据），验证完成后跳转至真实邮箱登录页面，降低员工怀疑；测试结束后立即删除记录的账号密码。

姿势10：发送“异常登录提醒”，诱导点击“查看登录记录”

【技巧原理】：利用员工对“账号安全”的担忧，钓鱼邮件伪装成邮件系统的“异常登录提醒”，提示“您的邮箱于2025-08-01 10:30在异地登录，点击查看详情并锁定账号”，将钓鱼链接伪装成“登录记录查看链接”。

【实施场景】：测试全部门员工——账号安全是员工核心关切点，尤其是包含敏感信息的邮箱账号，点击意愿极高。

【注意事项】：异常登录信息需合理（如异地IP选择邻近城市，登录时间选择非工作时间）；链接页面需仿冒内部安全中心样式，避免出现“请重新输入密码”等多余操作（仅需验证点击行为即可，无需获取账号密码）。

（二）短信钓鱼：触达率最高的移动场景

短信的触达率接近100%，且员工在移动场景下（如通勤、休息）警惕性更低，适合测试“移动端安全意识”与“远程办公安全”。

姿势11：精准植入员工姓名+部门，提升可信度

【技巧原理】：通过前期信息搜集（如目标组织招聘平台、内部通讯录泄露测试、授权方提供的测试名单），获取员工姓名、部门信息，钓鱼短信开头直接提及“【XX公司】XX部门XXX您好：”，利用“精准信息”降低警惕。

【实施场景】：测试全部门员工——精准的个人信息会让员工误以为是内部通知，而非垃圾短信。例如：“【XX科技】市场部张三您好：您的2025年7月餐补已到账，点击链接查看详情：xxx”。

【注意事项】：个人信息需准确（避免姓名、部门对应错误）；仅向授权范围内的员工发送，禁止扩散至无关人员；链接需短且易记，避免出现特殊字符（如“@”“#”）引发怀疑。

姿势12：仿冒企业微信/钉钉“紧急通知”，诱导点击链接

【技巧原理】：企业微信、钉钉是企业远程办公的核心工具，员工对其通知的信任度高。钓鱼短信伪装成“企业微信/钉钉紧急通知”，提示“您有一条未读紧急通知，点击链接查看：xxx”，链接跳转至仿冒的企业微信/钉钉登录页面。

【实施场景】：测试经常远程办公的部门（如研发、销售）——这类部门员工对企业微信/钉钉通知的依赖度高，易直接点击链接。

【注意事项】：短信签名需仿冒目标组织的企业微信/钉钉官方签名（如“【XX公司企业微信】”）；仿冒页面需还原企业微信/钉钉的登录样式（含企业Logo、登录按钮）；仅记录点击行为，不获取账号密码。

姿势13：结合“快递取件”场景，诱导点击“查询取件码”链接

【技巧原理】：员工日常会收到个人或公务快递，对“快递取件通知”的接受度高。钓鱼短信伪装成快递公司（如顺丰、京东物流）的取件通知，提示“您有一份快递已到达公司快递柜，点击链接查询取件码：xxx”。

【实施场景】：测试行政、采购、销售等经常收发快递的部门——这类部门员工对快递通知更敏感，点击意愿高。

【注意事项】：快递公司名称需选择目标组织常用的（如通过官网查询其合作物流）；短信格式需仿冒快递公司官方模板（如包含快递单号后4位、取件地点）；链接页面需仿冒快递公司的取件码查询页面，避免出现与快递无关的内容。

姿势14：仿冒“银行卡异常交易”，诱导点击“验证身份”链接

【技巧原理】：利用员工对“资金安全”的担忧，钓鱼短信仿冒目标组织合作银行（如工资代发银行）的官方短信，提示“您的银行卡（尾号XXXX）于2025-08-01发生异常交易，点击链接验证身份锁定账户：xxx”。

【实施场景】：测试财务、行政部门——这类部门员工经常处理资金相关业务，对银行卡异常交易的警惕性高，易主动点击链接验证。

【注意事项】：银行名称需准确（与目标组织工资代发银行一致）；银行卡尾号需与员工真实尾号匹配（通过授权方获取测试名单）；链接域名需仿冒银行官方域名（如“icbc-target.com”，避免使用明显伪造的域名）。

姿势15：发送“疫苗接种/体检提醒”，绑定企业福利场景

【技巧原理】：企业常为员工提供免费疫苗接种、年度体检等福利，钓鱼短信以人力资源部名义发送，提示“【XX公司】2025年度体检预约通道已开启，点击链接预约：xxx”或“流感疫苗接种提醒：本周三下午2点在公司大厅接种，点击确认参与：xxx”。

【实施场景】：测试全部门员工——福利类提醒与员工个人利益相关，警惕性低。

【注意事项】：福利信息需真实（如体检医院、接种时间需与企业实际福利一致）；短信签名需为人力资源部官方签名（如“【XX公司HR】”）；链接页面需仿冒内部福利预约系统样式，避免出现广告、无关链接。

姿势16：仿冒“项目进度提醒”，诱导下载“进度表”恶意文件

【技巧原理】：针对项目组员工，钓鱼短信以项目经理名义发送，提示“【项目提醒】XX项目进度表已更新，点击链接下载查看：xxx”，链接指向恶意文件（如带宏的Excel表、带漏洞的PDF）。

【实施场景】：测试研发、项目管理部门——这类部门员工需频繁跟进项目进度，对“进度表”类文件的需求迫切。

【注意事项】：项目经理姓名、项目名称需真实（通过授权方获取项目信息）；文件命名需贴合项目场景（如“XX项目202508进度表.xlsx”）；恶意文件需适配移动端打开场景（避免仅支持PC端打开，导致测试失败）。

姿势17：发送“会议邀请提醒”，诱导点击“加入会议”链接

【技巧原理】：企业员工日常会收到大量会议邀请，钓鱼短信伪装成会议系统（如腾讯会议、Zoom）的提醒，提示“您已被邀请参加‘XX部门周会’，会议时间：2025-08-01 14:00，点击链接加入会议：xxx”。

【实施场景】：测试全部门员工——会议是日常工作的重要组成部分，员工担心错过会议，易直接点击链接。

【注意事项】：会议名称、时间、参会部门需真实（通过授权方获取会议安排）；链接需仿冒会议系统的官方邀请链接样式（如包含会议ID、密码）；点击后跳转至测试用会议房间（避免干扰真实会议）。

姿势18：仿冒“内部竞聘通知”，诱导点击“报名链接”

【技巧原理】：企业内部竞聘是员工关注的核心事件，钓鱼短信以人力资源部名义发送，提示“【内部竞聘】XX岗位内部竞聘通道已开启，点击链接查看岗位要求并报名：xxx”。

【实施场景】：测试有晋升需求的员工（如入职1-3年的基层员工）——这类员工对内部竞聘信息关注度高，点击意愿强。

【注意事项】：竞聘岗位、报名时间需真实（通过目标组织官网或授权方获取）；报名链接页面需仿冒内部招聘系统样式（含岗位描述、报名表单）；仅记录点击行为，不收集员工报名信息。

姿势19：利用“节日福利兑换”，诱导点击“兑换链接”

【技巧原理】：节假日前夕，企业常为员工发放节日福利（如春节礼品、中秋月饼），钓鱼短信以行政部名义发送，提示“【节日福利】2025中秋福利兑换通道已开启，点击链接选择礼品：xxx”。

【实施场景】：测试全部门员工——节日福利与员工个人利益直接相关，警惕性极低。

【注意事项】：节日信息需贴合实际（如中秋前1-2周发送）；福利内容需符合企业以往标准（避免出现超出企业福利水平的礼品，引发怀疑）；链接页面需仿冒福利兑换平台样式，包含企业Logo、礼品列表。

姿势20：仿冒“流量/话费补贴提醒”，诱导点击“领取补贴”链接

【技巧原理】：针对经常出差的员工（如销售、商务），企业通常会提供流量/话费补贴，钓鱼短信以行政部名义发送，提示“【补贴提醒】2025年7月出差流量补贴已到账，点击链接领取：xxx”。

【实施场景】：测试销售、商务、售后等经常出差的部门——这类部门员工对补贴领取信息敏感，易点击链接。

【注意事项】：补贴金额、发放周期需真实（通过授权方获取补贴政策）；短信签名需为行政部官方签名；链接页面需仿冒内部补贴领取系统样式，避免出现“请输入手机号验证码”等多余操作。

（三）社交平台钓鱼：精准渗透的场景化工具

微信、QQ、LinkedIn等社交平台是企业员工私域沟通的载体，可通过“身份伪装”“场景绑定”实现精准诱导，适合测试“内部人员社交安全意识”。

姿势21：微信仿冒目标组织合作方联系人，申请添加好友并发送恶意文件

【技巧原理】：通过目标组织官网、LinkedIn获取合作方联系人信息（姓名、职位、合作项目），微信账号头像、昵称仿冒合作方联系人（如“XX供应商-李四”），申请添加好友时备注“XX项目对接”，通过后发送“项目合同补充协议”等恶意文件。

【实施场景】：测试采购、商务、项目管理部门——这类部门员工需频繁通过微信与合作方对接，对好友申请的警惕性低。

【注意事项】：合作方信息需真实（避免编造不存在的联系人）；好友申请备注需简洁且贴合业务（如“XX项目合同对接-李四”）；恶意文件需命名规范（如“XX项目补充协议.pdf”），避免触发微信安全检测。

姿势22：QQ仿冒内部员工，加入部门QQ群后发送“内部资料”恶意链接

【技巧原理】：通过前期侦察获取目标组织部门QQ群信息（群号、群名称），QQ账号头像、昵称仿冒内部员工（如“市场部-王五”），申请加入群时备注“新入职员工-王五”，通过后发送“2025年市场部内部培训资料”等恶意链接。

【实施场景】：测试行政、市场、运营等常用QQ群沟通的部门——新员工加入群聊是常见场景，其他员工警惕性低。

【注意事项】：内部员工信息需真实（通过招聘平台获取新入职员工信息）；群申请备注需符合企业内部流程（如“市场部新员工-王五-工号12345”）；恶意链接需短且仿冒内部域名，避免被QQ标记为风险链接。

姿势23：LinkedIn仿冒行业专家，发送“行业报告”钓鱼链接

【技巧原理】：LinkedIn是职场社交平台，员工对行业专家的信任度高。钓鱼账号仿冒行业专家（如“XX行业资深顾问-赵六”），完善个人资料（含真实行业经历、企业背书），向目标组织员工发送私信，推荐“2025年XX行业趋势报告”，附带钓鱼链接。

【实施场景】：测试管理层、市场调研部门——这类部门员工需关注行业动态，对行业报告的需求迫切。

【注意事项】：行业专家信息需真实（避免编造不存在的专家）；个人资料需详细且贴合行业（如包含过往项目经历、行业演讲记录）；私信内容需专业（避免出现口语化、夸大的表述）。

姿势24：企业微信仿冒高层领导，发送“紧急任务”诱导点击链接

【技巧原理】：企业微信内员工对高层领导的指令天然服从，钓鱼账号仿冒高层领导（如“CEO-孙七”），头像、昵称与真实领导一致，发送私信提示“【紧急】立即查看XX项目紧急文件，点击链接下载：xxx”。

【实施场景】：测试中层管理、核心业务部门——这类部门员工需直接对接高层领导，对紧急任务的执行力强，易直接点击链接。

【注意事项】：高层领导信息需准确（通过目标组织官网获取照片、职位）；仅向授权范围内的员工发送，禁止向全公司扩散；私信内容需简洁，避免出现与领导日常沟通风格不符的表述。

姿势25：小红书/抖音仿冒“企业内部福利分享”，诱导私信获取恶意链接

【技巧原理】：针对年轻员工较多的企业，在小红书/抖音发布“XX公司内部福利分享”（如“公司免费健身房、下午茶，附内部福利申领攻略”），吸引目标组织员工评论、私信，私信时发送“福利申领链接”（钓鱼链接）。

【实施场景】：测试95后、00后员工较多的部门（如研发、运营、设计）——这类员工常用小红书/抖音，对内部福利分享的关注度高。

【注意事项】：福利内容需真实（通过目标组织员工社交平台获取）；发布内容需贴合平台风格（小红书用图文、抖音用短视频）；私信发送的链接需短且易记，避免被平台标记为风险链接。

（四）文件型钓鱼：利用“业务依赖”的精准突破

文件型钓鱼的核心是“恶意文件+业务场景”，员工因日常工作需处理大量文件（如Excel报表、PDF合同、PPT课件），对文件的警惕性远低于链接，是渗透测试中成功率极高的场景。

姿势26：带宏的Excel表伪装成“销售报表”，诱导启用宏

【技巧原理】：Excel是企业最常用的办公软件，销售、财务等部门需频繁处理报表。将恶意宏代码植入Excel表，伪装成“2025年7月销售报表.xlsx”，通过邮件、短信、社交平台发送，诱导员工启用宏（提示“报表需启用宏才能查看完整数据”）。

【实施场景】：测试销售、财务、运营部门——这类部门员工对报表数据的需求迫切，易为查看完整数据启用宏。

【注意事项】：报表格式需贴合目标组织真实报表（如字体、颜色、数据项）；宏代码需免杀处理（避免被Office安全中心、终端杀毒软件检测）；仅执行“获取系统信息+植入测试标记”的轻量逻辑，禁止破坏系统。

姿势27：带漏洞的PDF伪装成“合同协议”，诱导打开触发 payload

【技巧原理】：PDF文件兼容性强，且不易被修改，企业常用其传输合同、协议。利用PDF已知漏洞（如CVE-2024-xxxx，需选择已公开且影响范围广的漏洞），将测试 payload 植入PDF，伪装成“XX项目合同.pdf”，发送给目标员工。

【实施场景】：测试采购、法务、商务部门——这类部门需频繁审核、传输合同，对PDF文件的信任度高。

【注意事项】：PDF文件需包含真实合同要素（如甲方乙方信息、项目名称、条款）；漏洞需选择无破坏性的（仅用于验证漏洞，不执行恶意操作）；测试前需确认目标终端的PDF阅读器版本是否存在该漏洞。

姿势28：伪装成“内部培训PPT”，植入恶意链接

【技巧原理】：PPT是企业内部培训的核心载体，员工对“培训PPT”的警惕性低。在PPT页面中植入隐藏的恶意链接（如将链接文本伪装成“培训资料下载”“参考文档链接”），伪装成“2025年安全培训PPT.pptx”，通过邮件、社交平台发送。

【实施场景】：测试全部门员工——培训是企业常规活动，员工需主动查看PPT并点击相关链接获取资料。

【注意事项】：PPT风格需贴合目标组织内部培训风格（如字体、模板、Logo）；恶意链接需隐藏在合理位置（如“参考文档”“扩展阅读”章节）；链接域名需仿冒内部域名，避免被识别为风险链接。

姿势29：伪装成“企业内部软件安装包”，诱导双击安装

【技巧原理】：企业内部会使用大量定制化软件（如OA客户端、业务系统客户端），员工需定期更新或安装。将测试 payload 伪装成“OA客户端V3.0安装包.exe”，通过邮件、IT部门通知发送，诱导员工双击安装。

【实施场景】：测试全部门员工——员工对内部软件安装包的信任度极高，且安装流程简单（双击下一步），易成功。

【注意事项】：安装包图标、名称需与真实内部软件一致（通过前期侦察获取）；安装流程需仿冒真实安装流程（如包含“同意协议”“选择安装路径”步骤）；payload 仅执行“植入测试标记”的逻辑，禁止修改系统配置、窃取数据。

姿势30：压缩包伪装成“内部资料合集”，设置密码诱导互动

【技巧原理】：将恶意文件与若干真实内部资料（如公司简介、行业资讯）打包成压缩包，伪装成“2025年内部资料合集.rar”，设置密码保护，发送时提示“密码联系我获取”。员工为获取资料会主动联系测试人员，测试人员告知密码后，诱导员工解压并打开恶意文件。

【实施场景】：测试新入职员工、市场调研部门——这类员工对内部资料需求迫切，易主动互动获取密码。

【注意事项】：压缩包内需包含真实资料（避免全是恶意文件暴露）；密码需简单易记（如“target2025”）；互动过程需自然，避免出现“快点解压”等催促表述。

三、渗透测试中网络钓鱼的关键注意事项

除了前文每个姿势的注意事项，还有3个核心要点需强调，避免测试过程中出现合规风险或超出影响范围：

1. payload 选型：优先选择“无破坏性、可追溯”的测试 payload（如植入唯一测试标记、获取系统基础信息），禁止使用勒索病毒、挖矿程序、数据窃取工具等破坏性 payload；
2. 测试范围控制：严格按照授权范围执行测试，禁止向未授权的员工、部门发送钓鱼内容；若测试过程中意外触达未授权人员，需立即停止并向授权方说明；
3. 测试后清理：测试结束后，需完整清理测试残留（如删除仿冒页面、测试标记、记录的账号密码），向授权方提交详细测试报告（含测试过程、发现的漏洞、防御建议）。