मेथडोलॉजी

1. पीड़ित का जासूसी करें

2. पीड़ित डोमेन का चयन करें।

3. पीड़ित द्वारा उपयोग किए जाने वाले लॉगिन पोर्टल्स की खोज करें और निर्णय लें कि आप किसे अनुकरण करेंगे।

4. कुछ OSINT का उपयोग करके ईमेल पते खोजें।

5. पर्यावरण तैयार करें

6. फिशिंग मूल्यांकन के लिए जिस डोमेन का उपयोग करने जा रहे हैं, उसे खरीदें

7. ईमेल सेवा संबंधित रिकॉर्ड (SPF, DMARC, DKIM, rDNS) कॉन्फ़िगर करें

8. gophish के साथ VPS कॉन्फ़िगर करें

9. अभियान तैयार करें

10. ईमेल टेम्पलेट तैयार करें

11. प्रमाण पत्र चोरी करने के लिए वेब पेज तैयार करें

12. अभियान शुरू करें!

समान डोमेन नाम उत्पन्न करें या विश्वसनीय डोमेन खरीदें

डोमेन नाम वेरिएशन तकनीक

• कीवर्ड: मूल डोमेन का महत्वपूर्ण कीवर्ड शामिल है (उदाहरण के लिए, zelster.com-management.com)।

• हाइफेन सबडोमेन: सबडोमेन के लिए डॉट को हाइफेन में बदलें (उदाहरण के लिए, www-zelster.com)।

• नया TLD: एक नया TLD का उपयोग करके समान डोमेन (उदाहरण के लिए, zelster.org)

• होमोग्लिफ: डोमेन नाम में एक अक्षर को उसी तरह के अक्षरों से बदलता है जो समान दिखते हैं (उदाहरण के लिए, zelfser.com)।

• ट्रांसपोजिशन: डोमेन नाम में दो अक्षरों को आपस में बदल देता है (उदाहरण के लिए, zelsetr.com)।

• एकवचन/बहुवचन: डोमेन नाम के अंत में "s" जोड़ता या हटाता है (उदाहरण के लिए, zeltsers.com)।

• अभाव: डोमेन नाम से एक अक्षर को हटा देता है (उदाहरण के लिए, zelser.com)।

• पुनरावृत्ति: डोमेन नाम में एक अक्षर को दोहराता है (उदाहरण के लिए, zeltsser.com)।

• प्रतिस्थापन: होमोग्लिफ की तरह लेकिन कम गुप्त। डोमेन नाम में एक अक्षर को बदलता है, शायद मूल अक्षर के पास कीबोर्ड पर एक अक्षर के साथ (उदाहरण, zektser.com)।

• सबडोमेन्ड: डोमेन नाम में डॉट डालता है (उदाहरण के लिए, ze.lster.com)।

• इन्सर्शन: डोमेन नाम में एक अक्षर डालता है (उदाहरण के लिए, zerltser.com)।

• गायब डॉट: डोमेन नाम के अंत में TLD जोड़ता है। (उदाहरण के लिए, zelstercom.com)

स्वचालित उपकरण

• dnstwist

• urlcrazy

वेबसाइटें

• https://dnstwist.it/

• https://dnstwister.report/

• https://www.internetmarketingninjas.com/tools/free-tools/domain-typo-generator/

बिटफ्लिपिंग

कई कारकों के कारण सौर तेज, कॉस्मिक किरणों, या हार्डवेयर त्रुटियों के कारण, किसी संग्रहित या संचार में कुछ बिटों में स्वचालित रूप से फ्लिप होने की संभावना है।

जब यह अवधारणा DNS अनुरोधों पर लागू की जाती है, तो संभावना है कि DNS सर्वर द्वारा प्राप्त डोमेन मूल रूप से अनुरोधित डोमेन से अलग हो सकता है।

उदाहरण के लिए, डोमेन "windows.com" में एक एकल बिट संशोधन इसे "windnws.com" में बदल सकता है।

हमलावर विकल्पित डोमेनों को पंजीकृत करके इसका लाभ उठा सकते हैं जो पीड़ित के डोमेन के समान होते हैं। उनका उद्देश्य विधि उनके अपने बुनियादी संरचना पर वास्तविक उपयोगकर्ताओं को पुनर्निर्देशित करना है।

अधिक जानकारी के लिए पढ़ें https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/

विश्वसनीय डोमेन खरीदें

आप https://www.expireddomains.net/ में एक समाप्त होने वाले डोमेन की खोज कर सकते हैं। यह सुनिश्चित करने के लिए कि आप जिस समाप्त होने वाले डोमेन को खरीदने जा रहे हैं, उसमें पहले से अच्छा SEO है, आप यह देख सकते हैं कि यह कैसे वर्गीकृत है:

• http://www.fortiguard.com/webfilter

• https://urlfiltering.paloaltonetworks.com/query/

ईमेल खोजना

• https://github.com/laramies/theHarvester (100% मुफ्त)

• https://phonebook.cz/ (100% मुफ्त)

• https://maildb.io/

• https://hunter.io/

• https://anymailfinder.com/

अधिक मान्य ईमेल पते खोजने या जिन्हें आप पहले से पता कर चुके हैं, उन्हें सत्यापित करने के लिए आप देख सकते हैं कि क्या आप पीड़ित के smtp सर्वर को ब्रूट-फोर्स कर सकते हैं। यहाँ ईमेल पता सत्यापित/खोजने का तरीका सीखें। इसके अतिरिक्त, याद रखें कि यदि उपयोगकर्ता अपने मेल तक पहुंचने के लिए किसी वेब पोर्टल का उपयोग करते हैं, तो आप देख सकते हैं कि क्या यह उपयोगकर्ता नाम ब्रूट फोर्स के लिए वंशानुक्रमिक है, और यदि संभव हो तो वह दोष का उपयोग करें।

GoPhish कॉन्फ़िगर करना

स्थापना

आप इसे https://github.com/gophish/gophish/releases/tag/v0.11.0 से डाउनलोड कर सकते हैं।

इसे /opt/gophish में डाउनलोड करें और अनज़ि

ssh -L 3333:127.0.0.1:3333 <user>@<ip>

Configuration

TLS certificate configuration

इस कदम से पहले आपको पहले से ही उस डोमेन को खरीद लिया होना चाहिए जिसका आप उपयोग करने जा रहे हैं और यह VPS के IP पर पॉइंट होना चाहिए जहां आप gophish कॉन्फ़िगर कर रहे हैं।

DOMAIN="<domain>"
wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
sudo apt install snapd
sudo snap install core
sudo snap refresh core
sudo apt-get remove certbot
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
certbot certonly --standalone -d "$DOMAIN"
mkdir /opt/gophish/ssl_keys
cp "/etc/letsencrypt/live/$DOMAIN/privkey.pem" /opt/gophish/ssl_keys/key.pem
cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt​

मेल कॉन्फ़िगरेशन

इंस्टॉलेशन शुरू करें: apt-get install postfix

फिर निम्नलिखित फ़ाइलों में डोमेन जोड़ें:

• /etc/postfix/virtual_domains

• /etc/postfix/transport

• /etc/postfix/virtual_regexp

/etc/postfix/main.cf के अंदर निम्नलिखित चरों के मान भी बदलें

myhostname = <domain> mydestination = $myhostname, <domain>, localhost.com, localhost

अंत में /etc/hostname और /etc/mailname फ़ाइलों को अपने डोमेन नाम पर संशोधित करें और अपने VPS को पुनः आरंभ करें।

अब, mail.<domain> का DNS A रिकॉर्ड बनाएं जो VPS के IP पते पर पॉइंट करता है और mail.<domain> पर पॉइंट करने वाला DNS MX रिकॉर्ड बनाएं।

अब हम एक ईमेल भेजने का परीक्षण करें:

apt install mailutils
echo "This is the body of the email" | mail -s "This is the subject line" test@email.com

Gophish कॉन्फ़िगरेशन

Gophish के निष्पादन को रोकें और इसे कॉन्फ़िगर करें। /opt/gophish/config.json को निम्नलिखित में संशोधित करें (https का उपयोग करें):

{
"admin_server": {
"listen_url": "127.0.0.1:3333",
"use_tls": true,
"cert_path": "gophish_admin.crt",
"key_path": "gophish_admin.key"
},
"phish_server": {
"listen_url": "0.0.0.0:443",
"use_tls": true,
"cert_path": "/opt/gophish/ssl_keys/key.crt",
"key_path": "/opt/gophish/ssl_keys/key.pem"
},
"db_name": "sqlite3",
"db_path": "gophish.db",
"migrations_prefix": "db/db_",
"contact_address": "",
"logging": {
"filename": "",
"level": ""
}
}

गोफिश सेवा कॉन्फ़िगर करें

गोफिश सेवा को स्वचालित रूप से शुरू किया जा सके और सेवा को प्रबंधित किया जा सके, आप निम्नलिखित सामग्री के साथ फ़ाइल /etc/init.d/gophish बना सकते हैं:

#!/bin/bash
# /etc/init.d/gophish
# initialization file for stop/start of gophish application server
#
# chkconfig: - 64 36
# description: stops/starts gophish application server
# processname:gophish
# config:/opt/gophish/config.json
# From https://github.com/gophish/gophish/issues/586

# define script variables

processName=Gophish
process=gophish
appDirectory=/opt/gophish
logfile=/var/log/gophish/gophish.log
errfile=/var/log/gophish/gophish.error

start() {
echo 'Starting '${processName}'...'
cd ${appDirectory}
nohup ./$process >>$logfile 2>>$errfile &
sleep 1
}

stop() {
echo 'Stopping '${processName}'...'
pid=$(/bin/pidof ${process})
kill ${pid}
sleep 1
}

status() {
pid=$(/bin/pidof ${process})
if [["$pid" != ""| "$pid" != "" ]]; then
echo ${processName}' is running...'
else
echo ${processName}' is not running...'
fi
}

case $1 in
start|stop|status) "$1" ;;
esac

सेवा को विन्यासित करने और इसे जांचने के लिए निम्नलिखित कार्रवाई करें:

mkdir /var/log/gophish
chmod +x /etc/init.d/gophish
update-rc.d gophish defaults
#Check the service
service gophish start
service gophish status
ss -l | grep "3333\|443"
service gophish stop

कॉन्फ़िगरिंग मेल सर्वर और डोमेन

प्रतीक्षा करें और वैध रहें

जितना पुराना डोमेन होगा, उतना ही कम संभावना है कि यह स्पैम के रूप में पकड़ा जाएगा। इसलिए आपको फिशिंग मूल्यांकन से पहले जितना संभव हो सके समय इंतजार करना चाहिए (कम से कम 1 सप्ताह)। इसके अतिरिक्त, यदि आप किसी प्रतिष्ठानक क्षेत्र के बारे में पेज डालते हैं तो प्राप्त प्रतिष्ठा बेहतर होगी।

ध्यान दें कि यदि आपको एक सप्ताह इंतजार करना पड़ता है तो आप अब सभी चीजें कॉन्फ़िगर कर सकते हैं।

रिवर्स DNS (rDNS) रिकॉर्ड कॉन्फ़िगर करें

एक rDNS (PTR) रिकॉर्ड कॉन्फ़िगर करें जो VPS का IP पता डोमेन नाम में विशिष्ट करता है।

भेजने वाली नीति फ्रेमवर्क (SPF) रिकॉर्ड

आपको नए डोमेन के लिए एक SPF रिकॉर्ड कॉन्फ़िगर करना होगा। अगर आपको नहीं पता कि SPF रिकॉर्ड क्या है तो इस पेज को पढ़ें।

आप https://www.spfwizard.net/ का उपयोग कर सकते हैं अपनी SPF नीति उत्पन्न करने के लिए (VPS मशीन का IP उपयोग करें)

यह वह सामग्री है जो डोमेन के भीतर एक TXT रिकॉर्ड में सेट की जानी चाहिए:

v=spf1 mx a ip4:ip.ip.ip.ip ?all

डोमेन-आधारित संदेश प्रमाणीकरण, रिपोर्टिंग और अनुरूपण (DMARC) रिकॉर्ड

आपको नए डोमेन के लिए एक DMARC रिकॉर्ड कॉन्फ़िगर करना होगा। अगर आपको DMARC रिकॉर्ड क्या है पता नहीं है तो इस पेज को पढ़ें।

आपको निम्नलिखित सामग्री के साथ नए DNS TXT रिकॉर्ड बनाना होगा जिसमें होस्टनाम _dmarc.<डोमेन> को प्वाइंट करना होगा:

v=DMARC1; p=none

डोमेन कुंजी निश्चित मेल (DKIM)

आपको नए डोमेन के लिए एक DKIM कॉन्फ़िगर करना होगा। अगर आपको नहीं पता कि DMARC रिकॉर्ड क्या है तो इस पेज को पढ़ें।

यह ट्यूटोरियल इस पर आधारित है: https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy

v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB

अपने ईमेल कॉन्फ़िगरेशन स्कोर का परीक्षण करें

आप इसे https://www.mail-tester.com/ का उपयोग करके कर सकते हैं। बस पृष्ठ तक पहुंचें और उन्होंने आपको दिया हुआ पते पर एक ईमेल भेजें:

echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com

आप अपने ईमेल कॉन्फ़िगरेशन की जांच भी कर सकते हैं जब आप ईमेल भेजकर check-auth@verifier.port25.com पर भेजें और प्रतिक्रिया पढ़ें (इसके लिए आपको पोर्ट 25 खोलने की आवश्यकता है और यदि आप ईमेल को रूट के रूप में भेजते हैं तो फ़ाइल /var/mail/root में प्रतिक्रिया देखें)। सुनिश्चित करें कि आप सभी टेस्ट पास कर रहे हैं:

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         pass
Sender-ID check:    pass
SpamAssassin check: ham

आप अपने नियंत्रण में एक Gmail पर संदेश भेज सकते हैं, और अपने Gmail इनबॉक्स में ईमेल के हेडर की जांच कर सकते हैं, Authentication-Results हेडर फील्ड में dkim=pass मौजूद होना चाहिए।

Authentication-Results: mx.google.com;
spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
dkim=pass header.i=@example.com;

हटाना स्पैमहाउस ब्लैकलिस्ट से

पृष्ठ www.mail-tester.com आपको बता सकता है कि क्या आपका डोमेन स्पैमहाउस द्वारा अवरुद्ध किया गया है। आप अपने डोमेन/आईपी को हटाने के लिए अनुरोध कर सकते हैं: https://www.spamhaus.org/lookup/

माइक्रोसॉफ्ट ब्लैकलिस्ट से हटाना

आप अपने डोमेन/आईपी को हटाने के लिए अनुरोध कर सकते हैं https://sender.office.com/.

गोफिश अभियान बनाएं और लॉन्च करें

भेजने का प्रोफ़ाइल

• कुछ नाम सेट करें जिससे भेजने वाले प्रोफ़ाइल को पहचाना जा सके

• तय करें कि आप किस खाते से फिशिंग ईमेल भेजने वाले हैं। सुझाव: noreply, support, servicedesk, salesforce...

• आप उपयोगकर्ता नाम और पासवर्ड खाली छोड़ सकते हैं, लेकिन सुनिश्चित करें कि आपने अनग्रेजी प्रमाणपत्र त्रुटियों को निरीक्षित किया है

ईमेल टेम्पलेट

• कुछ नाम सेट करें टेम्पलेट को पहचानने के लिए

• फिर विषय लिखें (कुछ अजीब नहीं, बस कुछ जिसे आप एक साधारण ईमेल में पढ़ने की उम्मीद कर सकते हैं)

• सुनिश्चित करें कि आपने "ट्रैकिंग छवि जोड़ें" को चेक किया है

• ईमेल टेम्पलेट लिखें (आप चाहें तो चरणियों का उपयोग कर सकते हैं जैसे कि निम्नलिखित उदाहरण में):

<html>
<head>
<title></title>
</head>
<body>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:&quot;Verdana&quot;,sans-serif;color:black">Dear {{.FirstName}} {{.LastName}},</span></p>
<br />
Note: We require all user to login an a very suspicios page before the end of the week, thanks!<br />
<br />
Regards,</span></p>

WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY

<p>{{.Tracker}}</p>
</body>
</html>

ध्यान दें कि ईमेल के विश्वसनीयता को बढ़ाने के लिए, सिफारिश की जाती है कि कुछ हस्ताक्षर का उपयोग किया जाए। उपाय:

• अस्तित्वहीन पते पर एक ईमेल भेजें और देखें कि क्या प्रतिक्रिया में कोई हस्ताक्षर है।

• info@ex.com या press@ex.com या public@ex.com जैसे सार्वजनिक ईमेल की खोज करें और उन्हें एक ईमेल भेजें और प्रतिक्रिया का इंतजार करें।

• कुछ मान्य खोजे गए ईमेल से संपर्क करने की कोशिश करें और प्रतिक्रिया का इंतजार करें

लैंडिंग पेज

• एक नाम लिखें

• वेब पेज का HTML कोड लिखें। ध्यान दें कि आप वेब पेज आयात कर सकते हैं।

• प्रस्तुत डेटा को कैप्चर और पासवर्ड को कैप्चर करें

• एक पुनर्निर्देशन सेट करें

उपयोगकर्ता और समूह

• एक नाम सेट करें

• डेटा को आयात करें (ध्यान दें कि उदाहरण के लिए टेम्पलेट का उपयोग करने के लिए प्रत्येक उपयोगकर्ता के पहला नाम, अंतिम नाम और ईमेल पता आवश्यक है)

अभियान

अंततः, एक अभियान बनाएं जिसमें एक नाम, ईमेल टेम्पलेट, लैंडिंग पेज, URL, भेजने का प्रोफ़ाइल और समूह का चयन करें। ध्यान दें कि URL पीड़ितों को भेजे जाने वाला लिंक होगा

ध्यान दें कि भेजने का प्रोफ़ाइल एक परीक्षण ईमेल भेजने की अनुमति देता है ताकि आप अंतिम फिशिंग ईमेल का रूप कैसा होगा देख सकें:

सब कुछ तैयार होने पर, बस अभियान शुरू करें!

वेबसाइट क्लोनिंग

यदि किसी कारणवश आप वेबसाइट क्लोन करना चाहते हैं तो निम्नलिखित पृष्ठ की जांच करें:

बैकडोर दस्तावेज़ और फ़ाइलें

कुछ फिशिंग मूल्यांकनों में (मुख्य रूप से रेड टीम के लिए) आपको भी किसी प्रकार का बैकडोर समेत फ़ाइलें भेजना चाहिए (शायद एक सी2 या शायद केवल कुछ ऐसा जो प्रमाणीकरण को ट्रिगर करेगा)। कुछ उदाहरणों के लिए निम्नलिखित पृष्ठ की जांच करें:

Phishing MFA

प्रॉक्सी MitM के माध्यम से

पिछला हमला काफी चतुर है क्योंकि आप एक वास्तविक वेबसाइट का नकल कर रहे हैं और उपयोगकर्ता द्वारा सेट की गई जानकारी एकत्र कर रहे हैं। दुर्भाग्य से, यदि उपयोगकर्ता ने सही पासवर्ड नहीं डाला या यदि आपने जिस एप्लिकेशन का नकल बनाया है उसे 2FA के साथ कॉन्फ़िगर किया गया है, यह जानकारी आपको धोखाधड़ीत उपयोगकर्ता के रूप में उपस्थित नहीं करने देगी।

इसमें evilginx2, CredSniper और muraena जैसे उपकरण उपयोगी हैं। यह उपकरण आपको MitM जैसा हमला उत्पन्न करने की अनुमति देगा। मूल रूप से, हमले का काम निम्नलिखित तरीके से काम करता है:

1. आप वास्तविक वेब पृष्ठ के लॉगिन फॉर्म का अनुकरण करते हैं।

2. उपयोगकर्ता अपनी पहचान अपने नकली पेज पर भेजता है और उपकरण उन्हें वास्तविक पृष्ठ पर भेजता है, जांचता है कि पहचान काम करती है या नहीं।

3. यदि खाता 2FA के साथ कॉन्फ़िगर किया गया है, तो MitM पृष्ठ इसके लिए पूछेगा और एक बार जब उपयोगकर्ता इसे दर्ज करेगा, तो उपकरण इसे वास्तविक वेब पृष्ठ पर भेजेगा।

4. एक बार उपयोगकर्ता पहचाना गया है तो आप (हमलावर) प्रत्येक इंटरैक्शन की कुकी और किसी भी जानकारी को जब तक उपकरण MitM का कार्य कर रहा है, उसे पकड़ लिया होगा।

VNC के माध्यम से

यदि उपयोगकर्ता को एक दुर्भाग्यपूर्ण पृष्ठ पर भेजने की जगह आप उसे एक VNC सत्र के साथ भेजते हैं जिसमें एक ब्राउज़र वास्तविक वेब पृष्ठ से कनेक्ट किया गया हो? आप देख सकेंगे कि वह क्या करता है, पासवर्ड चुरा सकते हैं, उपयोग किया गया MFA, कुकीज़... आप इसे EvilnVNC के साथ कर सकते हैं

डिटेक्टिंग द डिटेक्शन

स्पष्ट रूप से जानने का एक अच्छा तरीका है कि आपको पकड़ लिया गया है या नहीं यह है कि **काले सूची में अपने डोमेन की खोज कर