典型的凭据盗窃网络钓鱼攻击流程

第一阶段网络钓鱼活动重定向页面，eduardorodiguez9584[.]ongraphy[.]com

带有支持链接的错误配置的第二阶段活动页面，oculisticaspizzirri[.]it

如果配置正确，图  中所示的页面可能会显示由 Caffeine 用户/攻击者配置的活动的最终诱饵页面（通常是伪造的 Microsoft 365 登录页面）。

正确配置 Microsoft 365 凭据盗窃的诱饵页面

发送网络钓鱼 Phleet

活动基础设施配置完成后，攻击者可以选择使用 Caffeine 提供的电子邮件管理实用程序（在 Python 或 PHP 中提供）来制作并将其网络钓鱼电子邮件发送给潜在的受害者。

XAMPP PHP 发送器模块

默认情况下，Caffeine 提供可配置的 HTML 文件以嵌入与上述发件人实用程序一起使用的外发电子邮件中。攻击者可以使用几个选项来创建其网络钓鱼电子邮件模板，包括针对主要俄罗斯和中国服务用户的网络邮件网络钓鱼诱饵。

默认情况下，Caffeine 提供可配置的 HTML 文件以嵌入与上述发件人实用程序一起使用的外发电子邮件中。攻击者可以使用几个选项来创建其网络钓鱼电子邮件模板，包括针对主要俄罗斯和我国服务用户的网络邮件网络钓鱼诱饵。

默认伪造传真 Caffeine 网络钓鱼电子邮件模板

默认 Microsoft 文件共享 Caffeine 网络钓鱼电子邮件模板

默认中文Caffeine 网络钓鱼模板

默认 Mail[.]ru 网络钓鱼模板