Phishing Methodology
मेथडोलॉजी
पीड़ित का जासूसी करें
पीड़ित डोमेन का चयन करें।
पीड़ित द्वारा उपयोग किए जाने वाले लॉगिन पोर्टल्स की खोज करें और निर्णय लें कि आप किसे अनुकरण करेंगे।
कुछ OSINT का उपयोग करके ईमेल पते खोजें।
पर्यावरण तैयार करें
फिशिंग मूल्यांकन के लिए जिस डोमेन का उपयोग करने जा रहे हैं, उसे खरीदें
ईमेल सेवा संबंधित रिकॉर्ड (SPF, DMARC, DKIM, rDNS) कॉन्फ़िगर करें
gophish के साथ VPS कॉन्फ़िगर करें
अभियान तैयार करें
ईमेल टेम्पलेट तैयार करें
प्रमाण पत्र चोरी करने के लिए वेब पेज तैयार करें
अभियान शुरू करें!
समान डोमेन नाम उत्पन्न करें या विश्वसनीय डोमेन खरीदें
डोमेन नाम वेरिएशन तकनीक
कीवर्ड: मूल डोमेन का महत्वपूर्ण कीवर्ड शामिल है (उदाहरण के लिए, zelster.com-management.com)।
हाइफेन सबडोमेन: सबडोमेन के लिए डॉट को हाइफेन में बदलें (उदाहरण के लिए, www-zelster.com)।
नया TLD: एक नया TLD का उपयोग करके समान डोमेन (उदाहरण के लिए, zelster.org)
होमोग्लिफ: डोमेन नाम में एक अक्षर को उसी तरह के अक्षरों से बदलता है जो समान दिखते हैं (उदाहरण के लिए, zelfser.com)।
ट्रांसपोजिशन: डोमेन नाम में दो अक्षरों को आपस में बदल देता है (उदाहरण के लिए, zelsetr.com)।
एकवचन/बहुवचन: डोमेन नाम के अंत में "s" जोड़ता या हटाता है (उदाहरण के लिए, zeltsers.com)।
अभाव: डोमेन नाम से एक अक्षर को हटा देता है (उदाहरण के लिए, zelser.com)।
पुनरावृत्ति: डोमेन नाम में एक अक्षर को दोहराता है (उदाहरण के लिए, zeltsser.com)।
प्रतिस्थापन: होमोग्लिफ की तरह लेकिन कम गुप्त। डोमेन नाम में एक अक्षर को बदलता है, शायद मूल अक्षर के पास कीबोर्ड पर एक अक्षर के साथ (उदाहरण, zektser.com)।
सबडोमेन्ड: डोमेन नाम में डॉट डालता है (उदाहरण के लिए, ze.lster.com)।
इन्सर्शन: डोमेन नाम में एक अक्षर डालता है (उदाहरण के लिए, zerltser.com)।
गायब डॉट: डोमेन नाम के अंत में TLD जोड़ता है। (उदाहरण के लिए, zelstercom.com)
स्वचालित उपकरण
वेबसाइटें
बिटफ्लिपिंग
कई कारकों के कारण सौर तेज, कॉस्मिक किरणों, या हार्डवेयर त्रुटियों के कारण, किसी संग्रहित या संचार में कुछ बिटों में स्वचालित रूप से फ्लिप होने की संभावना है।
जब यह अवधारणा DNS अनुरोधों पर लागू की जाती है, तो संभावना है कि DNS सर्वर द्वारा प्राप्त डोमेन मूल रूप से अनुरोधित डोमेन से अलग हो सकता है।
उदाहरण के लिए, डोमेन "windows.com" में एक एकल बिट संशोधन इसे "windnws.com" में बदल सकता है।
हमलावर विकल्पित डोमेनों को पंजीकृत करके इसका लाभ उठा सकते हैं जो पीड़ित के डोमेन के समान होते हैं। उनका उद्देश्य विधि उनके अपने बुनियादी संरचना पर वास्तविक उपयोगकर्ताओं को पुनर्निर्देशित करना है।
अधिक जानकारी के लिए पढ़ें https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/
विश्वसनीय डोमेन खरीदें
आप https://www.expireddomains.net/ में एक समाप्त होने वाले डोमेन की खोज कर सकते हैं। यह सुनिश्चित करने के लिए कि आप जिस समाप्त होने वाले डोमेन को खरीदने जा रहे हैं, उसमें पहले से अच्छा SEO है, आप यह देख सकते हैं कि यह कैसे वर्गीकृत है:
ईमेल खोजना
https://github.com/laramies/theHarvester (100% मुफ्त)
https://phonebook.cz/ (100% मुफ्त)
अधिक मान्य ईमेल पते खोजने या जिन्हें आप पहले से पता कर चुके हैं, उन्हें सत्यापित करने के लिए आप देख सकते हैं कि क्या आप पीड़ित के smtp सर्वर को ब्रूट-फोर्स कर सकते हैं। यहाँ ईमेल पता सत्यापित/खोजने का तरीका सीखें। इसके अतिरिक्त, याद रखें कि यदि उपयोगकर्ता अपने मेल तक पहुंचने के लिए किसी वेब पोर्टल का उपयोग करते हैं, तो आप देख सकते हैं कि क्या यह उपयोगकर्ता नाम ब्रूट फोर्स के लिए वंशानुक्रमिक है, और यदि संभव हो तो वह दोष का उपयोग करें।
GoPhish कॉन्फ़िगर करना
स्थापना
आप इसे https://github.com/gophish/gophish/releases/tag/v0.11.0 से डाउनलोड कर सकते हैं।
इसे /opt/gophish
में डाउनलोड करें और अनज़ि
Configuration
TLS certificate configuration
इस कदम से पहले आपको पहले से ही उस डोमेन को खरीद लिया होना चाहिए जिसका आप उपयोग करने जा रहे हैं और यह VPS के IP पर पॉइंट होना चाहिए जहां आप gophish कॉन्फ़िगर कर रहे हैं।
मेल कॉन्फ़िगरेशन
इंस्टॉलेशन शुरू करें: apt-get install postfix
फिर निम्नलिखित फ़ाइलों में डोमेन जोड़ें:
/etc/postfix/virtual_domains
/etc/postfix/transport
/etc/postfix/virtual_regexp
/etc/postfix/main.cf के अंदर निम्नलिखित चरों के मान भी बदलें
myhostname = <domain>
mydestination = $myhostname, <domain>, localhost.com, localhost
अंत में /etc/hostname
और /etc/mailname
फ़ाइलों को अपने डोमेन नाम पर संशोधित करें और अपने VPS को पुनः आरंभ करें।
अब, mail.<domain>
का DNS A रिकॉर्ड बनाएं जो VPS के IP पते पर पॉइंट करता है और mail.<domain>
पर पॉइंट करने वाला DNS MX रिकॉर्ड बनाएं।
अब हम एक ईमेल भेजने का परीक्षण करें:
Gophish कॉन्फ़िगरेशन
Gophish के निष्पादन को रोकें और इसे कॉन्फ़िगर करें।
/opt/gophish/config.json
को निम्नलिखित में संशोधित करें (https का उपयोग करें):
गोफिश सेवा कॉन्फ़िगर करें
गोफिश सेवा को स्वचालित रूप से शुरू किया जा सके और सेवा को प्रबंधित किया जा सके, आप निम्नलिखित सामग्री के साथ फ़ाइल /etc/init.d/gophish
बना सकते हैं:
सेवा को विन्यासित करने और इसे जांचने के लिए निम्नलिखित कार्रवाई करें:
कॉन्फ़िगरिंग मेल सर्वर और डोमेन
प्रतीक्षा करें और वैध रहें
जितना पुराना डोमेन होगा, उतना ही कम संभावना है कि यह स्पैम के रूप में पकड़ा जाएगा। इसलिए आपको फिशिंग मूल्यांकन से पहले जितना संभव हो सके समय इंतजार करना चाहिए (कम से कम 1 सप्ताह)। इसके अतिरिक्त, यदि आप किसी प्रतिष्ठानक क्षेत्र के बारे में पेज डालते हैं तो प्राप्त प्रतिष्ठा बेहतर होगी।
ध्यान दें कि यदि आपको एक सप्ताह इंतजार करना पड़ता है तो आप अब सभी चीजें कॉन्फ़िगर कर सकते हैं।
रिवर्स DNS (rDNS) रिकॉर्ड कॉन्फ़िगर करें
एक rDNS (PTR) रिकॉर्ड कॉन्फ़िगर करें जो VPS का IP पता डोमेन नाम में विशिष्ट करता है।
भेजने वाली नीति फ्रेमवर्क (SPF) रिकॉर्ड
आपको नए डोमेन के लिए एक SPF रिकॉर्ड कॉन्फ़िगर करना होगा। अगर आपको नहीं पता कि SPF रिकॉर्ड क्या है तो इस पेज को पढ़ें।
आप https://www.spfwizard.net/ का उपयोग कर सकते हैं अपनी SPF नीति उत्पन्न करने के लिए (VPS मशीन का IP उपयोग करें)
यह वह सामग्री है जो डोमेन के भीतर एक TXT रिकॉर्ड में सेट की जानी चाहिए:
डोमेन-आधारित संदेश प्रमाणीकरण, रिपोर्टिंग और अनुरूपण (DMARC) रिकॉर्ड
आपको नए डोमेन के लिए एक DMARC रिकॉर्ड कॉन्फ़िगर करना होगा। अगर आपको DMARC रिकॉर्ड क्या है पता नहीं है तो इस पेज को पढ़ें।
आपको निम्नलिखित सामग्री के साथ नए DNS TXT रिकॉर्ड बनाना होगा जिसमें होस्टनाम _dmarc.<डोमेन>
को प्वाइंट करना होगा:
डोमेन कुंजी निश्चित मेल (DKIM)
आपको नए डोमेन के लिए एक DKIM कॉन्फ़िगर करना होगा। अगर आपको नहीं पता कि DMARC रिकॉर्ड क्या है तो इस पेज को पढ़ें।
यह ट्यूटोरियल इस पर आधारित है: https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy
आपको DKIM कुंजी जेनरेट करते समय उत्पन्न होने वाले दो B64 मानों को जोड़ने की आवश्यकता है:
अपने ईमेल कॉन्फ़िगरेशन स्कोर का परीक्षण करें
आप इसे https://www.mail-tester.com/ का उपयोग करके कर सकते हैं। बस पृष्ठ तक पहुंचें और उन्होंने आपको दिया हुआ पते पर एक ईमेल भेजें:
आप अपने ईमेल कॉन्फ़िगरेशन की जांच भी कर सकते हैं जब आप ईमेल भेजकर check-auth@verifier.port25.com
पर भेजें और प्रतिक्रिया पढ़ें (इसके लिए आपको पोर्ट 25 खोलने की आवश्यकता है और यदि आप ईमेल को रूट के रूप में भेजते हैं तो फ़ाइल /var/mail/root में प्रतिक्रिया देखें)।
सुनिश्चित करें कि आप सभी टेस्ट पास कर रहे हैं:
आप अपने नियंत्रण में एक Gmail पर संदेश भेज सकते हैं, और अपने Gmail इनबॉक्स में ईमेल के हेडर की जांच कर सकते हैं, Authentication-Results
हेडर फील्ड में dkim=pass
मौजूद होना चाहिए।
हटाना स्पैमहाउस ब्लैकलिस्ट से
पृष्ठ www.mail-tester.com आपको बता सकता है कि क्या आपका डोमेन स्पैमहाउस द्वारा अवरुद्ध किया गया है। आप अपने डोमेन/आईपी को हटाने के लिए अनुरोध कर सकते हैं: https://www.spamhaus.org/lookup/
माइक्रोसॉफ्ट ब्लैकलिस्ट से हटाना
आप अपने डोमेन/आईपी को हटाने के लिए अनुरोध कर सकते हैं https://sender.office.com/.
गोफिश अभियान बनाएं और लॉन्च करें
भेजने का प्रोफ़ाइल
कुछ नाम सेट करें जिससे भेजने वाले प्रोफ़ाइल को पहचाना जा सके
तय करें कि आप किस खाते से फिशिंग ईमेल भेजने वाले हैं। सुझाव: noreply, support, servicedesk, salesforce...
आप उपयोगकर्ता नाम और पासवर्ड खाली छोड़ सकते हैं, लेकिन सुनिश्चित करें कि आपने अनग्रेजी प्रमाणपत्र त्रुटियों को निरीक्षित किया है
सुझाव दिया जाता है कि "टेस्ट ईमेल भेजें" कार्यक्षमता का जांच करने के लिए किया जाए। मैं सुझाव दूंगा कि टेस्ट ईमेल को 10 मिनट के मेल पतों पर भेजें ताकि परीक्षण करते समय ब्लैकलिस्ट होने से बचा जा सके।
ईमेल टेम्पलेट
कुछ नाम सेट करें टेम्पलेट को पहचानने के लिए
फिर विषय लिखें (कुछ अजीब नहीं, बस कुछ जिसे आप एक साधारण ईमेल में पढ़ने की उम्मीद कर सकते हैं)
सुनिश्चित करें कि आपने "ट्रैकिंग छवि जोड़ें" को चेक किया है
ईमेल टेम्पलेट लिखें (आप चाहें तो चरणियों का उपयोग कर सकते हैं जैसे कि निम्नलिखित उदाहरण में):
ध्यान दें कि ईमेल के विश्वसनीयता को बढ़ाने के लिए, सिफारिश की जाती है कि कुछ हस्ताक्षर का उपयोग किया जाए। उपाय:
अस्तित्वहीन पते पर एक ईमेल भेजें और देखें कि क्या प्रतिक्रिया में कोई हस्ताक्षर है।
info@ex.com या press@ex.com या public@ex.com जैसे सार्वजनिक ईमेल की खोज करें और उन्हें एक ईमेल भेजें और प्रतिक्रिया का इंतजार करें।
कुछ मान्य खोजे गए ईमेल से संपर्क करने की कोशिश करें और प्रतिक्रिया का इंतजार करें
ईमेल टेम्पलेट भेजने के लिए फ़ाइल जोड़ने की अनुमति भी देता है। यदि आप किसी विशेष रूप से बनाई गई फ़ाइल/दस्तावेज़ का उपयोग करके NTLM चैलेंज चुराना चाहते हैं इस पृष्ठ को पढ़ें।
लैंडिंग पेज
एक नाम लिखें
वेब पेज का HTML कोड लिखें। ध्यान दें कि आप वेब पेज आयात कर सकते हैं।
प्रस्तुत डेटा को कैप्चर और पासवर्ड को कैप्चर करें
एक पुनर्निर्देशन सेट करें
आम तौर पर आपको पृष्ठ के HTML कोड को संशोधित करने और स्थानीय में कुछ परीक्षण करने की आवश्यकता होगी (शायद किसी Apache सर्वर का उपयोग करके) जब तक आप परिणाम से संतुष्ट नहीं हो जाते। फिर, उस HTML कोड को बॉक्स में लिखें। ध्यान दें कि यदि आपको HTML के लिए कुछ स्थिर संसाधनों की आवश्यकता है (शायद कुछ CSS और JS पेज) तो आप उन्हें /opt/gophish/static/endpoint में सहेज सकते हैं और फिर /static/<filename> से उन्हें एक्सेस कर सकते हैं।
पुनर्निर्देशन के लिए आप उपयोगकर्ताओं को पीड़ित का वास्तविक मुख्य वेब पृष्ठ पर रीडायरेक्ट कर सकते हैं, या उन्हें उदाहरण के लिए /static/migration.html पर रीडायरेक्ट कर सकते हैं, 5 सेकंड के लिए घूमती चक्की (https://loading.io/) डालें और फिर सफलतापूर्वक प्रक्रिया का संकेत दें।
उपयोगकर्ता और समूह
एक नाम सेट करें
डेटा को आयात करें (ध्यान दें कि उदाहरण के लिए टेम्पलेट का उपयोग करने के लिए प्रत्येक उपयोगकर्ता के पहला नाम, अंतिम नाम और ईमेल पता आवश्यक है)
अभियान
अंततः, एक अभियान बनाएं जिसमें एक नाम, ईमेल टेम्पलेट, लैंडिंग पेज, URL, भेजने का प्रोफ़ाइल और समूह का चयन करें। ध्यान दें कि URL पीड़ितों को भेजे जाने वाला लिंक होगा
ध्यान दें कि भेजने का प्रोफ़ाइल एक परीक्षण ईमेल भेजने की अनुमति देता है ताकि आप अंतिम फिशिंग ईमेल का रूप कैसा होगा देख सकें:
मैं सिफारिश करूंगा कि टेस्ट ईमेल को 10 मिनट के ईमेल पतों पर भेजें ताकि परीक्षण करते समय ब्लैकलिस्ट होने से बचा जा सके।
सब कुछ तैयार होने पर, बस अभियान शुरू करें!
वेबसाइट क्लोनिंग
यदि किसी कारणवश आप वेबसाइट क्लोन करना चाहते हैं तो निम्नलिखित पृष्ठ की जांच करें:
pageClone a Websiteबैकडोर दस्तावेज़ और फ़ाइलें
कुछ फिशिंग मूल्यांकनों में (मुख्य रूप से रेड टीम के लिए) आपको भी किसी प्रकार का बैकडोर समेत फ़ाइलें भेजना चाहिए (शायद एक सी2 या शायद केवल कुछ ऐसा जो प्रमाणीकरण को ट्रिगर करेगा)। कुछ उदाहरणों के लिए निम्नलिखित पृष्ठ की जांच करें:
pagePhishing Files & DocumentsPhishing MFA
प्रॉक्सी MitM के माध्यम से
पिछला हमला काफी चतुर है क्योंकि आप एक वास्तविक वेबसाइट का नकल कर रहे हैं और उपयोगकर्ता द्वारा सेट की गई जानकारी एकत्र कर रहे हैं। दुर्भाग्य से, यदि उपयोगकर्ता ने सही पासवर्ड नहीं डाला या यदि आपने जिस एप्लिकेशन का नकल बनाया है उसे 2FA के साथ कॉन्फ़िगर किया गया है, यह जानकारी आपको धोखाधड़ीत उपयोगकर्ता के रूप में उपस्थित नहीं करने देगी।
इसमें evilginx2, CredSniper और muraena जैसे उपकरण उपयोगी हैं। यह उपकरण आपको MitM जैसा हमला उत्पन्न करने की अनुमति देगा। मूल रूप से, हमले का काम निम्नलिखित तरीके से काम करता है:
आप वास्तविक वेब पृष्ठ के लॉगिन फॉर्म का अनुकरण करते हैं।
उपयोगकर्ता अपनी पहचान अपने नकली पेज पर भेजता है और उपकरण उन्हें वास्तविक पृष्ठ पर भेजता है, जांचता है कि पहचान काम करती है या नहीं।
यदि खाता 2FA के साथ कॉन्फ़िगर किया गया है, तो MitM पृष्ठ इसके लिए पूछेगा और एक बार जब उपयोगकर्ता इसे दर्ज करेगा, तो उपकरण इसे वास्तविक वेब पृष्ठ पर भेजेगा।
एक बार उपयोगकर्ता पहचाना गया है तो आप (हमलावर) प्रत्येक इंटरैक्शन की कुकी और किसी भी जानकारी को जब तक उपकरण MitM का कार्य कर रहा है, उसे पकड़ लिया होगा।
VNC के माध्यम से
यदि उपयोगकर्ता को एक दुर्भाग्यपूर्ण पृष्ठ पर भेजने की जगह आप उसे एक VNC सत्र के साथ भेजते हैं जिसमें एक ब्राउज़र वास्तविक वेब पृष्ठ से कनेक्ट किया गया हो? आप देख सकेंगे कि वह क्या करता है, पासवर्ड चुरा सकते हैं, उपयोग किया गया MFA, कुकीज़... आप इसे EvilnVNC के साथ कर सकते हैं
डिटेक्टिंग द डिटेक्शन
स्पष्ट रूप से जानने का एक अच्छा तरीका है कि आपको पकड़ लिया गया है या नहीं यह है कि **काले सूची में अपने डोमेन की खोज कर
Last updated