Phishing Methodology
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
शिकार का पता लगाना
शिकार डोमेन का चयन करें।
शिकार द्वारा उपयोग किए जाने वाले लॉगिन पोर्टल्स की खोज करते हुए कुछ बुनियादी वेब एन्यूमरेशन करें और निर्णय लें कि आप किसका नकली रूप धारण करेंगे।
कुछ OSINT का उपयोग करके ईमेल खोजें।
वातावरण तैयार करें
डोमेन खरीदें जिसका आप फ़िशिंग आकलन के लिए उपयोग करने जा रहे हैं।
ईमेल सेवा से संबंधित रिकॉर्ड (SPF, DMARC, DKIM, rDNS) को कॉन्फ़िगर करें।
gophish के साथ VPS को कॉन्फ़िगर करें।
अभियान तैयार करें
ईमेल टेम्पलेट तैयार करें।
क्रेडेंशियल्स चुराने के लिए वेब पेज तैयार करें।
अभियान शुरू करें!
कीवर्ड: डोमेन नाम में मूल डोमेन का एक महत्वपूर्ण कीवर्ड शामिल है (जैसे, zelster.com-management.com)।
हाइफनेट सबडोमेन: एक सबडोमेन के डॉट को हाइफन से बदलें (जैसे, www-zelster.com)।
नया TLD: एक नए TLD का उपयोग करते हुए वही डोमेन (जैसे, zelster.org)।
हॉमोग्लिफ: यह डोमेन नाम में एक अक्षर को ऐसे अक्षरों से बदलता है जो समान दिखते हैं (जैसे, zelfser.com)।
स्थानांतरण: यह डोमेन नाम के भीतर दो अक्षरों को स्वैप करता है (जैसे, zelsetr.com)।
एकवचन/बहुवचन: डोमेन नाम के अंत में “s” जोड़ता या हटाता है (जैसे, zeltsers.com)।
अवहेलना: यह डोमेन नाम से एक अक्षर को हटाता है (जैसे, zelser.com)।
दोहराव: यह डोमेन नाम में एक अक्षर को दोहराता है (जैसे, zeltsser.com)।
प्रतिस्थापन: हॉमोग्लिफ की तरह लेकिन कम छिपा हुआ। यह डोमेन नाम में एक अक्षर को बदलता है, शायद कीबोर्ड पर मूल अक्षर के निकटता में एक अक्षर के साथ (जैसे, zektser.com)।
सबडोमेन: डोमेन नाम के भीतर एक डॉट पेश करें (जैसे, ze.lster.com)।
सम्मिलन: यह डोमेन नाम में एक अक्षर सम्मिलित करता है (जैसे, zerltser.com)।
गायब डॉट: डोमेन नाम के साथ TLD जोड़ें। (जैसे, zelstercom.com)
स्वचालित उपकरण
वेबसाइटें
कुछ बिट्स जो संग्रहीत हैं या संचार में हैं, उनके स्वचालित रूप से पलटने की संभावना होती है, जैसे सौर ज्वालाएं, ब्रह्मांडीय किरणें, या हार्डवेयर त्रुटियाँ।
जब इस अवधारणा को DNS अनुरोधों पर लागू किया जाता है, तो यह संभव है कि DNS सर्वर द्वारा प्राप्त डोमेन वही न हो जो प्रारंभ में अनुरोधित था।
उदाहरण के लिए, "windows.com" डोमेन में एकल बिट संशोधन इसे "windnws.com" में बदल सकता है।
हमलावर इस पर लाभ उठा सकते हैं कि वे शिकार के डोमेन के समान कई बिट-फ्लिपिंग डोमेन पंजीकृत करते हैं। उनका इरादा वैध उपयोगकर्ताओं को अपनी खुद की अवसंरचना की ओर पुनर्निर्देशित करना है।
अधिक जानकारी के लिए पढ़ें https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/
आप https://www.expireddomains.net/ पर एक समाप्त डोमेन खोज सकते हैं जिसका आप उपयोग कर सकते हैं। यह सुनिश्चित करने के लिए कि आप जो समाप्त डोमेन खरीदने जा रहे हैं उसका पहले से अच्छा SEO है, आप देख सकते हैं कि यह कैसे वर्गीकृत है:
https://github.com/laramies/theHarvester (100% मुफ्त)
https://phonebook.cz/ (100% मुफ्त)
अधिक मान्य ईमेल पते खोजने या पहले से खोजे गए पते की पुष्टि करने के लिए आप देख सकते हैं कि क्या आप शिकार के smtp सर्वरों को ब्रूट-फोर्स कर सकते हैं। यहां ईमेल पते की पुष्टि/खोजने के तरीके के बारे में जानें। इसके अलावा, यह न भूलें कि यदि उपयोगकर्ता अपने मेल तक पहुँचने के लिए कोई वेब पोर्टल का उपयोग करते हैं, तो आप देख सकते हैं कि क्या यह यूजरनेम ब्रूट फोर्स के लिए संवेदनशील है, और यदि संभव हो तो इस कमजोरी का लाभ उठाएं।
आप इसे https://github.com/gophish/gophish/releases/tag/v0.11.0 से डाउनलोड कर सकते हैं।
इसे /opt/gophish
के अंदर डाउनलोड और अनज़िप करें और /opt/gophish/gophish
चलाएँ।
आपको आउटपुट में पोर्ट 3333 में व्यवस्थापक उपयोगकर्ता के लिए एक पासवर्ड दिया जाएगा। इसलिए, उस पोर्ट तक पहुँचें और उन क्रेडेंशियल्स का उपयोग करके व्यवस्थापक पासवर्ड बदलें। आपको उस पोर्ट को स्थानीय पर टनल करने की आवश्यकता हो सकती है।
TLS प्रमाणपत्र कॉन्फ़िगरेशन
इस चरण से पहले आपको पहले से डोमेन खरीदना चाहिए जिसे आप उपयोग करने जा रहे हैं और यह उस VPS के IP की ओर इशारा करना चाहिए जहाँ आप gophish कॉन्फ़िगर कर रहे हैं।
मेल कॉन्फ़िगरेशन
शुरू करें इंस्टॉल करने के लिए: apt-get install postfix
फिर निम्नलिखित फ़ाइलों में डोमेन जोड़ें:
/etc/postfix/virtual_domains
/etc/postfix/transport
/etc/postfix/virtual_regexp
/etc/postfix/main.cf के अंदर निम्नलिखित वेरिएबल्स के मान भी बदलें
myhostname = <domain>
mydestination = $myhostname, <domain>, localhost.com, localhost
अंत में फ़ाइलों /etc/hostname
और /etc/mailname
को अपने डोमेन नाम में संशोधित करें और अपने VPS को पुनः प्रारंभ करें।
अब, एक DNS A रिकॉर्ड बनाएं mail.<domain>
का जो VPS के ip address की ओर इशारा करता है और एक DNS MX रिकॉर्ड जो mail.<domain>
की ओर इशारा करता है।
अब चलिए एक ईमेल भेजने का परीक्षण करते हैं:
Gophish कॉन्फ़िगरेशन
gophish का निष्पादन रोकें और इसे कॉन्फ़िगर करें।
/opt/gophish/config.json
को निम्नलिखित में संशोधित करें (https के उपयोग पर ध्यान दें):
gophish सेवा कॉन्फ़िगर करें
gophish सेवा बनाने के लिए ताकि इसे स्वचालित रूप से शुरू किया जा सके और एक सेवा के रूप में प्रबंधित किया जा सके, आप फ़ाइल /etc/init.d/gophish
निम्नलिखित सामग्री के साथ बना सकते हैं:
सेवा को पूरा करने और इसे जांचने के लिए:
जितना पुराना एक डोमेन होगा, उतना ही कम संभावना है कि इसे स्पैम के रूप में पकड़ा जाएगा। इसलिए आपको फ़िशिंग मूल्यांकन से पहले जितना संभव हो सके (कम से कम 1 सप्ताह) प्रतीक्षा करनी चाहिए। इसके अलावा, यदि आप किसी प्रतिष्ठित क्षेत्र के बारे में एक पृष्ठ डालते हैं, तो प्राप्त प्रतिष्ठा बेहतर होगी।
ध्यान दें कि भले ही आपको एक सप्ताह प्रतीक्षा करनी पड़े, आप अब सब कुछ कॉन्फ़िगर करना समाप्त कर सकते हैं।
एक rDNS (PTR) रिकॉर्ड सेट करें जो VPS के IP पते को डोमेन नाम में हल करता है।
आपको नए डोमेन के लिए एक SPF रिकॉर्ड कॉन्फ़िगर करना चाहिए। यदि आप नहीं जानते कि SPF रिकॉर्ड क्या है इस पृष्ठ को पढ़ें।
आप https://www.spfwizard.net/ का उपयोग करके अपनी SPF नीति उत्पन्न कर सकते हैं (VPS मशीन का IP उपयोग करें)
यह वह सामग्री है जो डोमेन के अंदर एक TXT रिकॉर्ड में सेट की जानी चाहिए:
आपको नए डोमेन के लिए एक DMARC रिकॉर्ड कॉन्फ़िगर करना होगा। यदि आप नहीं जानते कि DMARC रिकॉर्ड क्या है इस पृष्ठ को पढ़ें.
आपको एक नया DNS TXT रिकॉर्ड बनाना है जो होस्टनाम _dmarc.<domain>
की ओर इंगित करता है जिसमें निम्नलिखित सामग्री है:
आपको नए डोमेन के लिए DKIM कॉन्फ़िगर करना होगा। यदि आप नहीं जानते कि DMARC रिकॉर्ड क्या है इस पृष्ठ को पढ़ें.
यह ट्यूटोरियल आधारित है: https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy
आपको DKIM कुंजी द्वारा उत्पन्न दोनों B64 मानों को संयोजित करने की आवश्यकता है:
आप ऐसा https://www.mail-tester.com/ का उपयोग करके कर सकते हैं। बस पृष्ठ पर जाएं और उस पते पर एक ईमेल भेजें जो वे आपको देते हैं:
आप अपनी ईमेल कॉन्फ़िगरेशन की भी जांच कर सकते हैं check-auth@verifier.port25.com
पर एक ईमेल भेजकर और प्रतिक्रिया पढ़कर (इसके लिए आपको पोर्ट 25 खोलने की आवश्यकता होगी और यदि आप ईमेल को रूट के रूप में भेजते हैं तो फ़ाइल /var/mail/root में प्रतिक्रिया देखें)।
जांचें कि आप सभी परीक्षणों में पास होते हैं:
आप अपने नियंत्रण में एक Gmail को संदेश भेज सकते हैं, और अपने Gmail इनबॉक्स में ईमेल के हेडर की जांच कर सकते हैं, dkim=pass
Authentication-Results
हेडर फ़ील्ड में होना चाहिए।
पृष्ठ www.mail-tester.com आपको बता सकता है कि क्या आपका डोमेन स्पैमहाउस द्वारा ब्लॉक किया गया है। आप अपने डोमेन/IP को हटाने के लिए अनुरोध कर सकते हैं: https://www.spamhaus.org/lookup/
आप अपने डोमेन/IP को हटाने के लिए अनुरोध कर सकते हैं https://sender.office.com/ पर।
प्रेषक प्रोफ़ाइल की पहचान के लिए कुछ नाम सेट करें
तय करें कि आप किस खाते से फ़िशिंग ईमेल भेजने जा रहे हैं। सुझाव: noreply, support, servicedesk, salesforce...
आप उपयोगकर्ता नाम और पासवर्ड को खाली छोड़ सकते हैं, लेकिन सुनिश्चित करें कि Ignore Certificate Errors को चेक करें
यह अनुशंसा की जाती है कि आप "Send Test Email" कार्यक्षमता का उपयोग करें यह परीक्षण करने के लिए कि सब कुछ काम कर रहा है। मैं 10 मिनट के मेल पते पर परीक्षण ईमेल भेजने की सिफारिश करूंगा ताकि परीक्षण करते समय ब्लैकलिस्ट में न जाएं।
पहचान के लिए कुछ नाम सेट करें टेम्पलेट का
फिर एक विषय लिखें (कुछ अजीब नहीं, बस कुछ ऐसा जो आप नियमित ईमेल में पढ़ने की उम्मीद कर सकते हैं)
सुनिश्चित करें कि आपने "Add Tracking Image" को चेक किया है
ईमेल टेम्पलेट लिखें (आप निम्नलिखित उदाहरण की तरह वेरिएबल का उपयोग कर सकते हैं):
Note that ईमेल की विश्वसनीयता बढ़ाने के लिए, किसी क्लाइंट के ईमेल से कुछ सिग्नेचर का उपयोग करने की सिफारिश की जाती है। सुझाव:
एक गैर-मौजूद पते पर ईमेल भेजें और जांचें कि क्या प्रतिक्रिया में कोई सिग्नेचर है।
सार्वजनिक ईमेल जैसे info@ex.com या press@ex.com या public@ex.com की खोज करें और उन्हें एक ईमेल भेजें और प्रतिक्रिया की प्रतीक्षा करें।
कुछ मान्य खोजे गए ईमेल से संपर्क करने की कोशिश करें और प्रतिक्रिया की प्रतीक्षा करें।
ईमेल टेम्पलेट भी भेजने के लिए फ़ाइलें संलग्न करने की अनुमति देता है। यदि आप कुछ विशेष रूप से तैयार की गई फ़ाइलों/दस्तावेज़ों का उपयोग करके NTLM चुनौतियों को चुराना चाहते हैं इस पृष्ठ को पढ़ें।
एक नाम लिखें
वेब पृष्ठ का HTML कोड लिखें। ध्यान दें कि आप वेब पृष्ठों को आयात कर सकते हैं।
सबमिट किए गए डेटा को कैप्चर करें और पासवर्ड कैप्चर करें को चिह्नित करें
एक रीडायरेक्शन सेट करें
आमतौर पर आपको पृष्ठ के HTML कोड को संशोधित करने और कुछ परीक्षण स्थानीय रूप से करने की आवश्यकता होगी (शायद कुछ Apache सर्वर का उपयोग करके) जब तक आपको परिणाम पसंद न आएं। फिर, उस HTML कोड को बॉक्स में लिखें। ध्यान दें कि यदि आपको HTML के लिए कुछ स्थिर संसाधनों का उपयोग करने की आवश्यकता है (शायद कुछ CSS और JS पृष्ठ) तो आप उन्हें /opt/gophish/static/endpoint में सहेज सकते हैं और फिर /static/<filename> से उन तक पहुंच सकते हैं।
रीडायरेक्शन के लिए आप शिकार के वास्तविक मुख्य वेब पृष्ठ पर उपयोगकर्ताओं को रीडायरेक्ट कर सकते हैं, या उदाहरण के लिए /static/migration.html पर रीडायरेक्ट कर सकते हैं, कुछ स्पिनिंग व्हील (https://loading.io/) 5 सेकंड के लिए और फिर संकेत दें कि प्रक्रिया सफल रही।
एक नाम सेट करें
डेटा आयात करें (ध्यान दें कि उदाहरण के लिए टेम्पलेट का उपयोग करने के लिए आपको प्रत्येक उपयोगकर्ता का पहला नाम, अंतिम नाम और ईमेल पता चाहिए)
अंत में, एक अभियान बनाएं जिसमें एक नाम, ईमेल टेम्पलेट, लैंडिंग पृष्ठ, URL, भेजने की प्रोफ़ाइल और समूह का चयन करें। ध्यान दें कि URL वह लिंक होगा जो पीड़ितों को भेजा जाएगा।
ध्यान दें कि भेजने की प्रोफ़ाइल आपको परीक्षण ईमेल भेजने की अनुमति देती है ताकि यह देखा जा सके कि अंतिम फ़िशिंग ईमेल कैसा दिखेगा:
मैं 10 मिनट के मेल पते पर परीक्षण ईमेल भेजने की सिफारिश करूंगा ताकि परीक्षण करते समय ब्लैकलिस्ट में न फंसें।
जब सब कुछ तैयार हो जाए, तो बस अभियान शुरू करें!
यदि किसी कारणवश आप वेबसाइट को क्लोन करना चाहते हैं तो निम्नलिखित पृष्ठ देखें:
Clone a Websiteकुछ फ़िशिंग आकलनों (मुख्य रूप से रेड टीमों के लिए) में आप कुछ प्रकार के बैकडोर वाली फ़ाइलें भेजना चाहेंगे (शायद एक C2 या शायद बस कुछ जो प्रमाणीकरण को ट्रिगर करेगा)। कुछ उदाहरणों के लिए निम्नलिखित पृष्ठ देखें:
Phishing Files & Documentsपिछला हमला काफी चालाक है क्योंकि आप एक वास्तविक वेबसाइट का अनुकरण कर रहे हैं और उपयोगकर्ता द्वारा सेट की गई जानकारी एकत्र कर रहे हैं। दुर्भाग्यवश, यदि उपयोगकर्ता ने सही पासवर्ड नहीं डाला या यदि आप जो एप्लिकेशन अनुकरण कर रहे हैं वह 2FA के साथ कॉन्फ़िगर किया गया है, तो यह जानकारी आपको धोखे में पड़े उपयोगकर्ता का अनुकरण करने की अनुमति नहीं देगी।
यहां ऐसे उपकरण हैं जैसे evilginx2, CredSniper और muraena उपयोगी हैं। यह उपकरण आपको एक MitM जैसे हमले को उत्पन्न करने की अनुमति देगा। मूल रूप से, हमले इस प्रकार काम करते हैं:
आप वास्तविक वेबपृष्ठ के लॉगिन फ़ॉर्म का अनुकरण करते हैं।
उपयोगकर्ता अपनी क्रेडेंशियल्स को आपके फ़र्ज़ी पृष्ठ पर भेजता है और उपकरण उन्हें वास्तविक वेबपृष्ठ पर भेजता है, जांचता है कि क्या क्रेडेंशियल्स काम करते हैं।
यदि खाता 2FA के साथ कॉन्फ़िगर किया गया है, तो MitM पृष्ठ इसके लिए पूछेगा और जब उपयोगकर्ता इसे प्रस्तुत करता है, तो उपकरण इसे वास्तविक वेब पृष्ठ पर भेज देगा।
एक बार जब उपयोगकर्ता प्रमाणित हो जाता है, तो आप (हमलावर के रूप में) क्रेडेंशियल्स, 2FA, कुकी और आपके द्वारा किए गए हर इंटरैक्शन की कोई भी जानकारी कैप्चर कर लेंगे जबकि उपकरण एक MitM प्रदर्शन कर रहा है।
क्या होगा यदि आप शिकार को एक दुर्भावनापूर्ण पृष्ठ पर भेजने के बजाय उसे एक VNC सत्र में भेजते हैं जिसमें वास्तविक वेब पृष्ठ से जुड़े ब्राउज़र होते हैं? आप देख सकेंगे कि वह क्या करता है, पासवर्ड, उपयोग किए गए MFA, कुकीज़ चुराते हैं... आप इसे EvilnVNC के साथ कर सकते हैं।
स्पष्ट रूप से, यह जानने के सबसे अच्छे तरीकों में से एक है कि क्या आपको पकड़ा गया है, अपने डोमेन को ब्लैकलिस्ट में खोजना। यदि यह सूचीबद्ध है, तो किसी न किसी तरह आपका डोमेन संदिग्ध के रूप में पहचाना गया। यह जांचने का एक आसान तरीका है कि क्या आपका डोमेन किसी भी ब्लैकलिस्ट में दिखाई देता है https://malwareworld.com/ का उपयोग करना।
हालांकि, यह जानने के अन्य तरीके हैं कि क्या पीड़ित संदिग्ध फ़िशिंग गतिविधियों की सक्रिय रूप से खोज कर रहा है जैसा कि समझाया गया है:
Detecting Phishingआप पीड़ित के डोमेन के बहुत समान नाम वाला एक डोमेन खरीद सकते हैं और/या एक प्रमाणपत्र उत्पन्न कर सकते हैं एक उपडोमेन के लिए जो आपके द्वारा नियंत्रित डोमेन का है जिसमें पीड़ित के डोमेन का कीवर्ड शामिल है। यदि पीड़ित उनके साथ किसी प्रकार की DNS या HTTP इंटरैक्शन करता है, तो आप जानेंगे कि वह सक्रिय रूप से खोज रहा है संदिग्ध डोमेन और आपको बहुत सतर्क रहना होगा।
Phishious का उपयोग करें यह मूल्यांकन करने के लिए कि क्या आपका ईमेल स्पैम फ़ोल्डर में समाप्त होने वाला है या यदि इसे अवरुद्ध किया जाएगा या सफल होगा।
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)