Phishing Methodology
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Fanya utafiti kuhusu mwathirika
Chagua domeni la mwathirika.
Fanya utafiti wa msingi wa wavuti ukitafuta milango ya kuingia inayotumiwa na mwathirika na amua ni ipi utayejifanya kuwa.
Tumia OSINT ili kupata barua pepe.
Andaa mazingira
Nunua domeni ambayo utatumia kwa tathmini ya phishing
Sanidi huduma ya barua pepe rekodi zinazohusiana (SPF, DMARC, DKIM, rDNS)
Sanidi VPS na gophish
Andaa kampeni
Andaa kigezo cha barua pepe
Andaa ukurasa wa wavuti wa kuiba taarifa za kuingia
Anzisha kampeni!
Neno muhimu: Jina la domeni linajumuisha neno muhimu la domeni asilia (mfano, zelster.com-management.com).
subdomain yenye hyphen: Badilisha dot kuwa hyphen ya subdomain (mfano, www-zelster.com).
TLD Mpya: Domeni sawa ikitumia TLD mpya (mfano, zelster.org)
Homoglyph: In badilisha herufi katika jina la domeni kwa herufi zinazofanana (mfano, zelfser.com).
Transposition: In badilisha herufi mbili ndani ya jina la domeni (mfano, zelsetr.com).
Singularization/Pluralization: Ongeza au ondolea “s” mwishoni mwa jina la domeni (mfano, zeltsers.com).
Omission: In ondoa moja ya herufi kutoka jina la domeni (mfano, zelser.com).
Repetition: In rudia moja ya herufi katika jina la domeni (mfano, zeltsser.com).
Replacement: Kama homoglyph lakini si ya siri sana. Inabadilisha moja ya herufi katika jina la domeni, labda kwa herufi iliyo karibu na herufi asilia kwenye kibodi (mfano, zektser.com).
Subdomained: Ingiza dot ndani ya jina la domeni (mfano, ze.lster.com).
Insertion: In ingiza herufi ndani ya jina la domeni (mfano, zerltser.com).
Missing dot: Ongeza TLD kwenye jina la domeni. (mfano, zelstercom.com)
Automatic Tools
Websites
Kuna uwezekano kwamba moja ya baadhi ya bits zilizohifadhiwa au katika mawasiliano inaweza kubadilishwa kiotomatiki kutokana na sababu mbalimbali kama vile miale ya jua, mionzi ya anga, au makosa ya vifaa.
Wakati dhana hii inatumika kwa maombi ya DNS, inawezekana kwamba domeni iliyopokelewa na seva ya DNS si sawa na domeni iliyotakiwa awali.
Kwa mfano, mabadiliko ya bit moja katika jina la domeni "windows.com" yanaweza kubadilisha kuwa "windnws.com."
Wavamizi wanaweza kunufaika na hili kwa kujiandikisha kwa domeni nyingi zenye kubadilishwa bit ambazo zinafanana na domeni ya mwathirika. Nia yao ni kuelekeza watumiaji halali kwenye miundombinu yao.
Kwa maelezo zaidi soma https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/
Unaweza kutafuta katika https://www.expireddomains.net/ kwa domeni iliyokwisha ambayo unaweza kutumia. Ili kuhakikisha kwamba domeni iliyokwisha unayopanga kununua ina SEO nzuri tayari unaweza kutafuta jinsi inavyopangwa katika:
https://github.com/laramies/theHarvester (100% bure)
https://phonebook.cz/ (100% bure)
Ili kuweza kugundua zaidi anwani halali za barua pepe au kuhakiki zile ulizozigundua tayari unaweza kuangalia kama unaweza kujaribu nguvu kwenye seva za smtp za mwathirika. Jifunze jinsi ya kuangalia/kugundua anwani ya barua pepe hapa. Zaidi ya hayo, usisahau kwamba ikiwa watumiaji wanatumia milango yoyote ya wavuti kuingia kwenye barua zao, unaweza kuangalia kama inahatarishwa kwa kujaribu nguvu jina la mtumiaji, na kutumia udhaifu huo ikiwa inawezekana.
Unaweza kuipakua kutoka https://github.com/gophish/gophish/releases/tag/v0.11.0
Pakua na uondoe ndani ya /opt/gophish
na uendeshe /opt/gophish/gophish
Utapewa nenosiri kwa mtumiaji wa admin kwenye bandari 3333 katika matokeo. Hivyo, fikia bandari hiyo na tumia akidi hizo kubadilisha nenosiri la admin. Unaweza kuhitaji kuunganisha bandari hiyo kwa local:
TLS certificate configuration
Kabla ya hatua hii unapaswa kuwa umeshanunua jina la kikoa unalotaka kutumia na lazima liwe linaanika kwenye IP ya VPS ambapo unafanya usanidi wa gophish.
Mail configuration
Anza kufunga: apt-get install postfix
Kisha ongeza domain kwenye faili zifuatazo:
/etc/postfix/virtual_domains
/etc/postfix/transport
/etc/postfix/virtual_regexp
Badilisha pia thamani za vigezo vifuatavyo ndani ya /etc/postfix/main.cf
myhostname = <domain>
mydestination = $myhostname, <domain>, localhost.com, localhost
Hatimaye badilisha faili /etc/hostname
na /etc/mailname
kuwa jina la domain yako na anzisha upya VPS yako.
Sasa, tengeneza rekodi ya DNS A ya mail.<domain>
ikielekeza kwenye anwani ya ip ya VPS na rekodi ya DNS MX ikielekeza kwa mail.<domain>
Sasa hebu tujaribu kutuma barua pepe:
Mipangilio ya Gophish
Acha utekelezaji wa gophish na hebu tuipange.
Badilisha /opt/gophish/config.json
kuwa ifuatayo (zingatia matumizi ya https):
Configure gophish service
Ili kuunda huduma ya gophish ili iweze kuanzishwa kiotomatiki na kusimamiwa kama huduma unaweza kuunda faili /etc/init.d/gophish
yenye maudhui yafuatayo:
Maliza kuunda huduma na kuangalia inavyofanya:
Kadri jina la kikoa linavyozeeka ndivyo inavyokuwa vigumu kukamatwa kama spam. Hivyo unapaswa kusubiri muda mrefu iwezekanavyo (angalau wiki 1) kabla ya tathmini ya phishing. Zaidi ya hayo, ikiwa utaweka ukurasa kuhusu sekta yenye sifa, sifa iliyopatikana itakuwa bora.
Kumbuka kwamba hata kama unapaswa kusubiri wiki moja unaweza kumaliza kuunda kila kitu sasa.
Weka rekodi ya rDNS (PTR) inayotatua anwani ya IP ya VPS kwa jina la kikoa.
Lazima uunde rekodi ya SPF kwa jina jipya la kikoa. Ikiwa hujui ni nini rekodi ya SPF soma ukurasa huu.
Unaweza kutumia https://www.spfwizard.net/ kuunda sera yako ya SPF (tumia IP ya mashine ya VPS)
Hii ni maudhui ambayo yanapaswa kuwekwa ndani ya rekodi ya TXT ndani ya kikoa:
Lazima uweke rekodi ya DMARC kwa jina jipya la kikoa. Ikiwa hujui ni nini rekodi ya DMARC soma ukurasa huu.
Lazima uunde rekodi mpya ya DNS TXT ikielekeza kwenye jina la mwenyeji _dmarc.<domain>
yenye maudhui yafuatayo:
Lazima uweke DKIM kwa jina jipya la kikoa. Ikiwa hujui ni nini rekodi ya DMARC soma ukurasa huu.
Hii ni mafunzo yanayotegemea: https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy
Unahitaji kuunganisha thamani zote mbili za B64 ambazo funguo za DKIM zinazalisha:
Unaweza kufanya hivyo kwa kutumia https://www.mail-tester.com/ Fikia tu ukurasa huo na tuma barua pepe kwa anwani wanayokupa:
Unaweza pia kuangalia usanidi wa barua pepe yako kwa kutuma barua pepe kwa check-auth@verifier.port25.com
na kusoma jibu (kwa hili utahitaji kufungua bandari 25 na kuona jibu katika faili /var/mail/root ikiwa utatuma barua pepe kama root).
Angalia kwamba unapitisha majaribio yote:
Unaweza pia kutuma ujumbe kwa Gmail chini ya udhibiti wako, na kuangalia vichwa vya barua pepe katika kikasha chako cha Gmail, dkim=pass
inapaswa kuwepo katika uwanja wa kichwa cha Authentication-Results
.
Ukurasa www.mail-tester.com unaweza kuonyesha ikiwa jina la kikoa chako linazuiwa na spamhouse. Unaweza kuomba jina la kikoa/IP yako kuondolewa kwenye: https://www.spamhaus.org/lookup/
Unaweza kuomba jina la kikoa/IP yako kuondolewa kwenye https://sender.office.com/.
Weka jina la kutambulisha profaili ya mtumaji
Amua kutoka kwenye akaunti gani utaenda kutuma barua pepe za phishing. Mapendekezo: noreply, support, servicedesk, salesforce...
Unaweza kuacha jina la mtumiaji na nenosiri kuwa tupu, lakini hakikisha umeangalia Ignore Certificate Errors
Inapendekezwa kutumia kazi ya "Send Test Email" ili kujaribu kwamba kila kitu kinafanya kazi. Ningependekeza kutuma barua pepe za majaribio kwa anwani za barua za 10min ili kuepuka kuorodheshwa kwenye orodha ya wezi wakati wa kufanya majaribio.
Weka jina la kutambulisha kiolezo
Kisha andika kichwa (hakuna kitu cha ajabu, ni kitu ambacho unaweza kutarajia kusoma kwenye barua pepe ya kawaida)
Hakikisha umeangalia "Add Tracking Image"
Andika kiolezo cha barua pepe (unaweza kutumia vigezo kama katika mfano ufuatao):
Note that ili kuongeza uaminifu wa barua pepe, inashauriwa kutumia saini kutoka kwa barua pepe ya mteja. Mapendekezo:
Tuma barua pepe kwa anwani isiyo na maana na uangalie kama jibu lina saini yoyote.
Tafuta barua pepe za umma kama info@ex.com au press@ex.com au public@ex.com na uwatume barua pepe na subiri jibu.
Jaribu kuwasiliana na barua pepe halali zilizogunduliwa na subiri jibu.
Kigezo cha Barua Pepe pia kinaruhusu kuambatisha faili za kutuma. Ikiwa ungependa pia kuiba changamoto za NTLM kwa kutumia faili/hati zilizoundwa kwa njia maalum soma ukurasa huu.
Andika jina
Andika msimbo wa HTML wa ukurasa wa wavuti. Kumbuka kwamba unaweza kuagiza kurasa za wavuti.
Mark Kamata Data Zilizowasilishwa na Kamata Nywila
Weka mwelekeo
Kawaida utahitaji kubadilisha msimbo wa HTML wa ukurasa na kufanya majaribio katika eneo (labda ukitumia seva ya Apache) hadi upate matokeo unayopenda. Kisha, andika msimbo huo wa HTML katika kisanduku. Kumbuka kwamba ikiwa unahitaji kutumia rasilimali za kudumu kwa HTML (labda kurasa za CSS na JS) unaweza kuziokoa katika /opt/gophish/static/endpoint na kisha uzifikie kutoka /static/<filename>
Kwa mwelekeo unaweza kuwapeleka watumiaji kwenye ukurasa halali wa wavuti wa mwathirika, au kuwapeleka kwenye /static/migration.html kwa mfano, weka wheel inayozunguka (https://loading.io/) kwa sekunde 5 na kisha onyesha kwamba mchakato ulikuwa wa mafanikio.
Weka jina
Agiza data (kumbuka kwamba ili kutumia kigezo kwa mfano unahitaji jina la kwanza, jina la mwisho na anwani ya barua pepe ya kila mtumiaji)
Hatimaye, tengeneza kampeni ukichagua jina, kigezo cha barua pepe, ukurasa wa kutua, URL, wasifu wa kutuma na kundi. Kumbuka kwamba URL itakuwa kiungo kitakachotumwa kwa wahanga.
Kumbuka kwamba Wasifu wa Kutuma unaruhusu kutuma barua pepe ya majaribio kuona jinsi barua pepe ya mwisho ya uvuvi itakavyokuwa:
Ningependekeza kutuma barua pepe za majaribio kwa anwani za barua pepe za 10min ili kuepuka kuorodheshwa kwenye orodha ya watu wasiokubalika wakati wa kufanya majaribio.
Mara kila kitu kiko tayari, uzindue kampeni!
Ikiwa kwa sababu yoyote unataka kunakili tovuti angalia ukurasa ufuatao:
Clone a WebsiteKatika tathmini za uvuvi (hasa kwa Timu za Red) utataka pia kutuma faili zinazokuwa na aina fulani ya backdoor (labda C2 au labda kitu ambacho kitachochea uthibitisho). Angalia ukurasa ufuatao kwa mifano:
Phishing Files & DocumentsShambulio la awali ni la busara kwani unafanyia kazi tovuti halisi na kukusanya taarifa zilizowekwa na mtumiaji. Kwa bahati mbaya, ikiwa mtumiaji hakuweka nywila sahihi au ikiwa programu uliyofanya kazi nayo imewekwa na 2FA, habari hii haitakuruhusu kujifanya kuwa mtumiaji aliyejipatia hila.
Hapa ndipo zana kama evilginx2, CredSniper na muraena zinakuwa na manufaa. Zana hii itakuruhusu kuunda shambulio kama la MitM. Kimsingi, shambulio linafanya kazi kwa njia ifuatayo:
Unajifanya kuwa fomu ya kuingia ya ukurasa halisi wa wavuti.
Mtumiaji anatumia taarifa zake kwenye ukurasa wako wa uongo na zana inatumia hizo kwenye ukurasa halisi wa wavuti, ikikagua ikiwa taarifa hizo zinafanya kazi.
Ikiwa akaunti imewekwa na 2FA, ukurasa wa MitM utauliza kwa hiyo na mara mtumiaji anapoweka hiyo zana itaituma kwenye ukurasa halisi wa wavuti.
Mara mtumiaji anapothibitishwa wewe (kama mshambuliaji) utakuwa umechukua taarifa, 2FA, cookie na taarifa yoyote ya kila mwingiliano wako wakati zana inafanya MitM.
Je, ni vipi badala ya kumpeleka mwathirika kwenye ukurasa mbaya wenye muonekano sawa na wa asili, unampeleka kwenye kikao cha VNC chenye kivinjari kilichounganishwa na ukurasa halisi wa wavuti? Utaweza kuona anachofanya, kuiba nywila, MFA iliyotumika, cookies... Unaweza kufanya hivi na EvilnVNC
Bila shaka moja ya njia bora za kujua ikiwa umekamatwa ni kutafuta domain yako ndani ya orodha za watu wasiokubalika. Ikiwa inaonekana kwenye orodha, kwa namna fulani domain yako iligunduliwa kama ya mashaka. Njia rahisi ya kuangalia ikiwa domain yako inaonekana katika orodha yoyote ya watu wasiokubalika ni kutumia https://malwareworld.com/
Hata hivyo, kuna njia nyingine za kujua ikiwa mwathirika anatafuta kwa makini shughuli za uvuvi za mashaka katika mazingira kama ilivyoelezwa katika:
Detecting PhishingUnaweza kununua domain yenye jina linalofanana sana na domain ya mwathirika na/au kuunda cheti kwa subdomain ya domain inayodhibitiwa na wewe ikiwemo neno muhimu la domain ya mwathirika. Ikiwa mwathirika atafanya aina yoyote ya DNS au mwingiliano wa HTTP nao, utajua kwamba anatafuta kwa makini domain za mashaka na utahitaji kuwa na uangalifu mkubwa.
Tumia Phishious kadiria ikiwa barua pepe yako itamalizika kwenye folda ya spam au ikiwa itazuiwa au kufanikiwa.
Jifunze na fanya mazoezi ya Uvuvi wa AWS:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya Uvuvi wa GCP: HackTricks Training GCP Red Team Expert (GRTE)