克隆网络钓鱼是一种网络钓鱼攻击类型，网络犯罪分子会利用此类攻击，针对来自可信发件人的正规电子邮件发送后续电子邮件。在后续电子邮件中，网络犯罪分子会声称发件人忘记在原始电子邮件中添加链接或附件。然而，后续电子邮件绝非来自原始发件人，而是来自网络犯罪分子，且内含恶意链接或附件。

要帮助您的用户了解此类攻击，可创建克隆网络钓鱼测试。您可同时使用 PhishER 平台和 KSAT 控制台，模拟克隆网络钓鱼攻击。

通过 PhishER 创建网络钓鱼模板

我们建议利用用户已报告的真实电子邮件，创建克隆网络钓鱼模板。使用已报告的真实电子邮件，可令后续电子邮件看起来更像是正规邮件，有助于用户了解网络犯罪分子如何实施此类攻击。

要通过 PhishER 创建网络钓鱼模板，请按照以下步骤操作：

1. 登录您的 PhishER 平台，前往 Inbox 页面。
2. 要想将相应消息用于创建克隆网络钓鱼模板，可选中该消息旁边的复选框。
   提示：如果您发现您的电子邮件收件箱而非 PhishER 收件箱收到电子邮件，请使用 Phish Alert Button (PAB) 报告该电子邮件，或将 EML 文件发送至您的 PhishER 报告地址之一。该电子邮件将被发送至 PhishER，然后您就能在 PhishER 中使用 PhishFlip 创建网络钓鱼模板。
3. 单击页面左上角的 Run 下拉菜单。
4. 选择 Create KSAT Template 选项。通过此选项，可从原始模板中移除所有恶意链接和附件。然后，可将此模板添加至 KSAT 控制台中我的模板部分下的 PhishFlip 类别。
   提示：亦可通过 Message Details 页面或 Actions 选项卡上创建 KSAT 模板。有关更多信息，请参阅文章如何使用 PhishFlip。

   

通过 KSAT 创建克隆网络钓鱼模板

通过 PhishER 创建 PhishFlip 模板之后，您需要编辑模板并添加后续消息。

要将模板转换为克隆网络钓鱼模板，请按照以下步骤操作：

1. 登录 KSAT 控制台，选择网络钓鱼 > 电子邮件模板。
2. 打开我的模板，选择 PhishFlip 类别。
3. 要想将相应模板转换为克隆网络钓鱼模板，可单击该模板的名称。

4. 在文本框中，在原始电子邮件上方输入更多文本，将模板伪装成后续电子邮件。例如，您可添加最初回复消息的发件人姓名、时间和日期戳以及主题行，假装您已回复原始电子邮件。

   原始电子邮件 修改后的电子邮件
5. 将链接或附件添加至模板。此步骤可帮助您追踪用户是否会遭受此类攻击。
6. 我们建议添加社交工程迹象 (SEI)，确保用户了解哪些迹象表明存在克隆网络钓鱼攻击。有关添加 SEI 的更多信息，请参阅文章社交工程迹象 (SEI) 中的如何将危险信号添加至模板？部分。
7. 成功编辑模板后，即可单击保存。

有关编辑网络钓鱼模板的更多信息，请参阅文章如何创建和编辑电子邮件模板和登陆页中的创建和编辑网络钓鱼电子邮件模板部分。

通过 KSAT 创建克隆网络钓鱼活动

创建克隆网络钓鱼模板之后，即可随时创建活动来测试用户。

要创建克隆网络钓鱼活动，请按照以下步骤操作：

1. 登录 KSAT 控制台，前往网络钓鱼选项卡。
2. 单击 + 创建网络钓鱼活动。
3. 输入活动名称，比如“克隆网络钓鱼活动”。
4. 选择要测试的用户群组或是否要测试所有用户。我们建议将此活动发送给收到原始电子邮件的用户。
5. 在频率中，选择一次性。
6. 设置要使用的开始时间和发送期。
7. 在模板类别下，单击第一个下拉菜单并选择 PhishFlip 类别。
8. 打开第二个下拉菜单，选择您在上述部分中编辑的模板。
9. 填写其余字段，可自定义您的活动。
10. 单击创建活动。

活动开始后，您的用户就会收到模拟克隆网络钓鱼测试。然后，您可监控活动结果，了解用户易受克隆网络钓鱼攻击的程度。

有关创建网络钓鱼活动的更多信息，请参阅文章创建和管理网络钓鱼活动。有关监控网络钓鱼活动的更多信息，请参阅文章如何监控和审查网络钓鱼活动。