Phishing Methodology
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Rekognoszieren Sie das Opfer
Wählen Sie die Opferdomain.
Führen Sie eine grundlegende Webenumeration durch, um nach Anmeldeportalen zu suchen, die vom Opfer verwendet werden, und entscheiden Sie, welches Sie nachahmen möchten.
Verwenden Sie einige OSINT, um E-Mails zu finden.
Bereiten Sie die Umgebung vor
Kaufen Sie die Domain, die Sie für die Phishing-Bewertung verwenden möchten.
Konfigurieren Sie die E-Mail-Dienst-bezogenen Aufzeichnungen (SPF, DMARC, DKIM, rDNS).
Konfigurieren Sie den VPS mit gophish.
Bereiten Sie die Kampagne vor
Bereiten Sie die E-Mail-Vorlage vor.
Bereiten Sie die Webseite vor, um die Anmeldeinformationen zu stehlen.
Starten Sie die Kampagne!
Schlüsselwort: Der Domainname enthält ein wichtiges Schlüsselwort der ursprünglichen Domain (z.B. zelster.com-management.com).
getrennter Subdomain: Ändern Sie den Punkt in einen Bindestrich einer Subdomain (z.B. www-zelster.com).
Neue TLD: Dieselbe Domain mit einer neuen TLD (z.B. zelster.org).
Homoglyph: Es ersetzt einen Buchstaben im Domainnamen durch Buchstaben, die ähnlich aussehen (z.B. zelfser.com).
Transposition: Es tauscht zwei Buchstaben innerhalb des Domainnamens (z.B. zelsetr.com).
Singularisierung/Pluralisierung: Fügt ein „s“ am Ende des Domainnamens hinzu oder entfernt es (z.B. zeltsers.com).
Auslassung: Es entfernt einen der Buchstaben aus dem Domainnamen (z.B. zelser.com).
Wiederholung: Es wiederholt einen der Buchstaben im Domainnamen (z.B. zeltsser.com).
Ersetzung: Wie Homoglyph, aber weniger heimlich. Es ersetzt einen der Buchstaben im Domainnamen, möglicherweise durch einen Buchstaben in der Nähe des ursprünglichen Buchstabens auf der Tastatur (z.B. zektser.com).
Subdominiert: Fügen Sie einen Punkt innerhalb des Domainnamens ein (z.B. ze.lster.com).
Einfügung: Es fügt einen Buchstaben in den Domainnamen ein (z.B. zerltser.com).
Fehlender Punkt: Hängen Sie die TLD an den Domainnamen an. (z.B. zelstercom.com)
Automatische Werkzeuge
Webseiten
Es besteht die Möglichkeit, dass eines der Bits, die gespeichert oder in Kommunikation sind, automatisch umgeschaltet wird aufgrund verschiedener Faktoren wie Sonnenstürme, kosmische Strahlen oder Hardwarefehler.
Wenn dieses Konzept auf DNS-Anfragen angewendet wird, ist es möglich, dass die Domain, die vom DNS-Server empfangen wird, nicht die gleiche ist wie die ursprünglich angeforderte Domain.
Zum Beispiel kann eine einzige Bitänderung in der Domain "windows.com" sie in "windnws.com" ändern.
Angreifer können dies ausnutzen, indem sie mehrere Bit-Flipping-Domains registrieren, die der Domain des Opfers ähnlich sind. Ihre Absicht ist es, legitime Benutzer auf ihre eigene Infrastruktur umzuleiten.
Für weitere Informationen lesen Sie https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/
Sie können auf https://www.expireddomains.net/ nach einer abgelaufenen Domain suchen, die Sie verwenden könnten. Um sicherzustellen, dass die abgelaufene Domain, die Sie kaufen möchten, bereits eine gute SEO hat, können Sie suchen, wie sie kategorisiert ist in:
https://github.com/laramies/theHarvester (100% kostenlos)
https://phonebook.cz/ (100% kostenlos)
Um mehr gültige E-Mail-Adressen zu entdecken oder die bereits entdeckten zu verifizieren, können Sie überprüfen, ob Sie die SMTP-Server des Opfers brute-forcen können. Erfahren Sie hier, wie Sie E-Mail-Adressen verifizieren/entdecken. Vergessen Sie außerdem nicht, dass, wenn die Benutzer ein beliebiges Webportal verwenden, um auf ihre E-Mails zuzugreifen, Sie überprüfen können, ob es anfällig für Benutzername-Brute-Force ist, und die Schwachstelle, wenn möglich, ausnutzen.
Sie können es von https://github.com/gophish/gophish/releases/tag/v0.11.0 herunterladen.
Laden Sie es herunter und entpacken Sie es in /opt/gophish
und führen Sie /opt/gophish/gophish
aus.
Sie erhalten ein Passwort für den Admin-Benutzer auf Port 3333 in der Ausgabe. Greifen Sie daher auf diesen Port zu und verwenden Sie diese Anmeldeinformationen, um das Admin-Passwort zu ändern. Möglicherweise müssen Sie diesen Port auf lokal tunneln:
TLS-Zertifikat-Konfiguration
Bevor Sie diesen Schritt ausführen, sollten Sie bereits die Domain gekauft haben, die Sie verwenden möchten, und sie muss auf die IP des VPS zeigen, auf dem Sie gophish konfigurieren.
Mail-Konfiguration
Starten Sie die Installation: apt-get install postfix
Fügen Sie dann die Domain zu den folgenden Dateien hinzu:
/etc/postfix/virtual_domains
/etc/postfix/transport
/etc/postfix/virtual_regexp
Ändern Sie auch die Werte der folgenden Variablen in /etc/postfix/main.cf
myhostname = <domain>
mydestination = $myhostname, <domain>, localhost.com, localhost
Schließlich ändern Sie die Dateien /etc/hostname
und /etc/mailname
in Ihren Domainnamen und starten Sie Ihren VPS neu.
Jetzt erstellen Sie einen DNS A-Eintrag von mail.<domain>
, der auf die IP-Adresse des VPS zeigt, und einen DNS MX-Eintrag, der auf mail.<domain>
zeigt.
Jetzt testen wir, um eine E-Mail zu senden:
Gophish-Konfiguration
Stoppen Sie die Ausführung von gophish und lassen Sie uns es konfigurieren.
Ändern Sie /opt/gophish/config.json
wie folgt (beachten Sie die Verwendung von https):
Gophish-Dienst konfigurieren
Um den Gophish-Dienst zu erstellen, damit er automatisch gestartet und als Dienst verwaltet werden kann, können Sie die Datei /etc/init.d/gophish
mit folgendem Inhalt erstellen:
Fahren Sie fort mit der Konfiguration des Dienstes und überprüfen Sie ihn, indem Sie:
Je älter eine Domain ist, desto unwahrscheinlicher ist es, dass sie als Spam erkannt wird. Daher sollten Sie so viel Zeit wie möglich warten (mindestens 1 Woche) vor der Phishing-Bewertung. Darüber hinaus wird die Reputation besser, wenn Sie eine Seite über einen reputationswürdigen Sektor erstellen.
Beachten Sie, dass Sie, auch wenn Sie eine Woche warten müssen, jetzt alles konfigurieren können.
Setzen Sie einen rDNS (PTR) Eintrag, der die IP-Adresse des VPS auf den Domainnamen auflöst.
Sie müssen einen SPF-Eintrag für die neue Domain konfigurieren. Wenn Sie nicht wissen, was ein SPF-Eintrag ist, lesen Sie diese Seite.
Sie können https://www.spfwizard.net/ verwenden, um Ihre SPF-Richtlinie zu generieren (verwenden Sie die IP der VPS-Maschine).
Dies ist der Inhalt, der in einem TXT-Eintrag innerhalb der Domain gesetzt werden muss:
Sie müssen einen DMARC-Eintrag für die neue Domain konfigurieren. Wenn Sie nicht wissen, was ein DMARC-Eintrag ist, lesen Sie diese Seite.
Sie müssen einen neuen DNS TXT-Eintrag erstellen, der auf den Hostnamen _dmarc.<domain>
mit folgendem Inhalt zeigt:
Sie müssen ein DKIM für die neue Domain konfigurieren. Wenn Sie nicht wissen, was ein DMARC-Eintrag ist, lesen Sie diese Seite.
Dieses Tutorial basiert auf: https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy
Sie müssen beide B64-Werte, die der DKIM-Schlüssel generiert, verketten:
Sie können dies tun, indem Sie https://www.mail-tester.com/ Greifen Sie einfach auf die Seite zu und senden Sie eine E-Mail an die Adresse, die sie Ihnen geben:
Sie können auch Ihre E-Mail-Konfiguration überprüfen, indem Sie eine E-Mail an check-auth@verifier.port25.com
senden und die Antwort lesen (dafür müssen Sie den Port 25 öffnen und die Antwort in der Datei /var/mail/root sehen, wenn Sie die E-Mail als root senden).
Überprüfen Sie, ob Sie alle Tests bestehen:
Du könntest auch eine Nachricht an ein Gmail unter deiner Kontrolle senden und die E-Mail-Header in deinem Gmail-Posteingang überprüfen, dkim=pass
sollte im Authentication-Results
Headerfeld vorhanden sein.
Die Seite www.mail-tester.com kann Ihnen anzeigen, ob Ihre Domain von Spamhaus blockiert wird. Sie können anfordern, dass Ihre Domain/IP entfernt wird unter: https://www.spamhaus.org/lookup/
Sie können anfordern, dass Ihre Domain/IP entfernt wird unter https://sender.office.com/.
Setzen Sie einen Namen zur Identifizierung des Absenderprofils
Entscheiden Sie, von welchem Konto Sie die Phishing-E-Mails senden werden. Vorschläge: noreply, support, servicedesk, salesforce...
Sie können den Benutzernamen und das Passwort leer lassen, aber stellen Sie sicher, dass Sie die Option "Zertifikatfehler ignorieren" aktivieren.
Es wird empfohlen, die Funktion "Test-E-Mail senden" zu verwenden, um zu testen, ob alles funktioniert. Ich würde empfehlen, die Test-E-Mails an 10min-Mail-Adressen zu senden, um zu vermeiden, dass Sie beim Testen auf die Blacklist gesetzt werden.
Setzen Sie einen Namen zur Identifizierung der Vorlage
Schreiben Sie dann einen Betreff (nichts Ungewöhnliches, nur etwas, das Sie in einer regulären E-Mail erwarten würden)
Stellen Sie sicher, dass Sie "Tracking-Bild hinzufügen" aktiviert haben
Schreiben Sie die E-Mail-Vorlage (Sie können Variablen wie im folgenden Beispiel verwenden):
Note that um die Glaubwürdigkeit der E-Mail zu erhöhen, wird empfohlen, eine Signatur aus einer E-Mail des Kunden zu verwenden. Vorschläge:
Senden Sie eine E-Mail an eine nicht existierende Adresse und überprüfen Sie, ob die Antwort eine Signatur enthält.
Suchen Sie nach öffentlichen E-Mails wie info@ex.com oder press@ex.com oder public@ex.com und senden Sie ihnen eine E-Mail und warten Sie auf die Antwort.
Versuchen Sie, eine gültige entdeckte E-Mail zu kontaktieren und warten Sie auf die Antwort.
Die E-Mail-Vorlage ermöglicht es auch, Dateien anzuhängen. Wenn Sie auch NTLM-Herausforderungen mit speziell gestalteten Dateien/Dokumenten stehlen möchten, lesen Sie diese Seite.
Schreiben Sie einen Namen
Schreiben Sie den HTML-Code der Webseite. Beachten Sie, dass Sie Webseiten importieren können.
Markieren Sie Eingereichte Daten erfassen und Passwörter erfassen
Setzen Sie eine Weiterleitung
In der Regel müssen Sie den HTML-Code der Seite ändern und einige Tests lokal durchführen (vielleicht mit einem Apache-Server), bis Ihnen die Ergebnisse gefallen. Schreiben Sie dann diesen HTML-Code in das Feld. Beachten Sie, dass Sie, wenn Sie statische Ressourcen für das HTML verwenden müssen (vielleicht einige CSS- und JS-Seiten), diese in /opt/gophish/static/endpoint speichern können und dann von /static/<dateiname> darauf zugreifen können.
Für die Weiterleitung könnten Sie die Benutzer zur legitimen Hauptwebseite des Opfers umleiten oder sie beispielsweise zu /static/migration.html umleiten, eine Ladeanimation (https://loading.io/) für 5 Sekunden anzeigen und dann angeben, dass der Prozess erfolgreich war.
Setzen Sie einen Namen
Importieren Sie die Daten (beachten Sie, dass Sie die Vorlage für das Beispiel benötigen, um den Vornamen, Nachnamen und die E-Mail-Adresse jedes Benutzers zu verwenden)
Erstellen Sie schließlich eine Kampagne, indem Sie einen Namen, die E-Mail-Vorlage, die Landing Page, die URL, das Versandprofil und die Gruppe auswählen. Beachten Sie, dass die URL der Link ist, der an die Opfer gesendet wird.
Beachten Sie, dass das Versandprofil es ermöglicht, eine Test-E-Mail zu senden, um zu sehen, wie die endgültige Phishing-E-Mail aussieht:
Ich würde empfehlen, die Test-E-Mails an 10min-Mail-Adressen zu senden, um zu vermeiden, dass Sie beim Testen auf eine schwarze Liste gesetzt werden.
Sobald alles bereit ist, starten Sie einfach die Kampagne!
Wenn Sie aus irgendeinem Grund die Website klonen möchten, überprüfen Sie die folgende Seite:
Clone a WebsiteIn einigen Phishing-Bewertungen (hauptsächlich für Red Teams) möchten Sie möglicherweise auch Dateien mit einer Art Hintertür senden (vielleicht ein C2 oder vielleicht einfach etwas, das eine Authentifizierung auslöst). Überprüfen Sie die folgende Seite für einige Beispiele:
Phishing Files & DocumentsDer vorherige Angriff ist ziemlich clever, da Sie eine echte Website fälschen und die Informationen sammeln, die der Benutzer eingibt. Leider, wenn der Benutzer das richtige Passwort nicht eingegeben hat oder wenn die gefälschte Anwendung mit 2FA konfiguriert ist, erlaubt Ihnen diese Information nicht, den getäuschten Benutzer zu impersonieren.
Hier sind Tools wie evilginx2, CredSniper und muraena nützlich. Dieses Tool ermöglicht es Ihnen, einen MitM-ähnlichen Angriff zu generieren. Grundsätzlich funktioniert der Angriff folgendermaßen:
Sie imitieren das Anmeldeformular der echten Webseite.
Der Benutzer sendet seine Anmeldeinformationen an Ihre gefälschte Seite und das Tool sendet diese an die echte Webseite, um zu überprüfen, ob die Anmeldeinformationen funktionieren.
Wenn das Konto mit 2FA konfiguriert ist, wird die MitM-Seite danach fragen, und sobald der Benutzer es eingibt, sendet das Tool es an die echte Webseite.
Sobald der Benutzer authentifiziert ist, haben Sie (als Angreifer) die Anmeldeinformationen, die 2FA, das Cookie und alle Informationen jeder Interaktion erfasst, während das Tool einen MitM durchführt.
Was wäre, wenn Sie anstatt den Opfer zu einer bösartigen Seite mit dem gleichen Aussehen wie die Originalseite zu senden, ihn zu einer VNC-Sitzung mit einem Browser, der mit der echten Webseite verbunden ist, senden? Sie können sehen, was er tut, das Passwort, die verwendete MFA, die Cookies stehlen... Sie können dies mit EvilnVNC tun.
Offensichtlich ist eine der besten Möglichkeiten zu wissen, ob Sie enttarnt wurden, Ihre Domain in schwarzen Listen zu durchsuchen. Wenn sie aufgeführt ist, wurde Ihre Domain irgendwie als verdächtig erkannt. Eine einfache Möglichkeit zu überprüfen, ob Ihre Domain in einer schwarzen Liste erscheint, ist die Verwendung von https://malwareworld.com/.
Es gibt jedoch auch andere Möglichkeiten zu wissen, ob das Opfer aktiv nach verdächtigen Phishing-Aktivitäten in der Wildnis sucht, wie in:
Detecting PhishingSie können eine Domain mit einem sehr ähnlichen Namen zur Domain des Opfers kaufen und/oder ein Zertifikat für einen Subdomain einer von Ihnen kontrollierten Domain erstellen, die das Schlüsselwort der Domain des Opfers enthält. Wenn das Opfer irgendeine Art von DNS- oder HTTP-Interaktion mit ihnen durchführt, wissen Sie, dass es aktiv nach verdächtigen Domains sucht und Sie sehr stealthy sein müssen.
Verwenden Sie Phishious, um zu bewerten, ob Ihre E-Mail im Spam-Ordner landen wird oder ob sie blockiert oder erfolgreich sein wird.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)