В последнее время снова участились случаи фишинга в сети. Фишинг (англ. phishing, от fishing – рыбная ловля, выуживание) – это разновидность мошенничества в интернете, целью которого является получение логина и пароля пользователя, данных его банковских карт и счетов. В основном, используется метод проведения массовых рассылок от имени популярных компаний и организаций.

Фишинг основан на том, что зачастую пользователи не знают простого факта, что сами сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочую личную информацию.

Фишинговые ссылки

Это ссылки на мошеннические интернет-ресурсы, чаще всего на копии сайтов известных организаций, банков, интернет-магазинов, социальной сети и т.д. Перейдя по такой ссылке вы попадаете на ресурс, где вас разными приемами пытаются заставить ввести свой логин и пароль.

Обычно такие ссылки вам присылают по почте или в личном сообщении, например, в социальных сетях. Это или прямые ссылки, перейдя по которым вы попадаете на сайт, который почти ничем не отличается от настоящего, или ссылки с редиректом (переадресацией), перейдя по которым вы перенаправляетесь на другие сайты и в конечном итоге попадаете на ресурс мошенников. Попав на такой сайт, вы можете сразу и не понять, что находитесь в ловушке, а мошенники тем временем пытаются из вас выудить нужную им информацию в виде логина и пароля.

Существует несколько видов фишинговых ссылок:

  • Прямая – ссылка ведет на ту же страницу, что и ее адрес.
  • С редиректом – ссылка ведет вас сначала на один сайт, потом перенаправляет на другой, потом на третий и т.д.
  • Скрытая – ссылка внешне выглядит правильно, но в реальности ведет на фишинговую страницу.

Письмо с фишинговой ссылкой

Фишинговый сайт

Это сайт, который полностью или частично скопирован с оригинального, но таковым не является. Целью таких сайтов является хищение логина и пароля, который вы используете на оригинальном сайте. Пользователь переходит по фишинговой ссылке и видит перед собой обычный портал, которым постоянно пользуется. Ничего не подозревая вводит свои логин и пароль, которые сразу же становятся известны злоумышленникам.

Такие сайты внешне полностью копируют оригинальные, но если присмотреться к адресу в адресной строке, то вы увидите в нем ошибку:

Обычно, сначала создается копия сайта, затем пользователям отправляется информационное письмо о том, что на сайте произошел какой-то сбой или приводится другая веская причина, в связи с которой вы должны войти в свой аккаунт. Вы переходите по ссылке, вводите логин и пароль. и вы в лапах злоумышленников.

Защита от фишинга

  1. Все современные браузеры обладают возможностью информирования пользователей о подозрительном сайте. Называется эта функция «Антифишинг». Поэтому всегда поддерживайте версию своего браузера в актуальном состоянии, постоянно устанавливая последние обновления. Также, в браузеры уже бывает встроен дополнительный механизм защиты от фишинга.
  2. Любой современный антивирус обладает функцией предупреждения и блокировки перехода на сомнительный портал. Пользуйтесь самыми последними антивирусными решениями.
  3. Борьба почтовых служб с помощью специальных спам-фильтров, которыми обрабатывается электронное письмо перед тем как попасть к пользователю.

Существует много разных технических способов защиты от фишинга, но «слабое звено» в этой цепи – сам пользователь, его любопытство и невнимательность позволяют мошенникам эффективно применять методы социальной инженерии.

Zip File, мамкины хацкеры. Соскучились небось по контенту? Я тоже очень соскучился. Судя по статистике, последний ролик про Termux зашёл не хуже взлома WiFi, а значит я буду продолжать фигачить именно в этом направлении. Нынче речь пойдёт о создании годнейших фейковых фишинговых страниц авторизации в стиле контакта, инсты и даже стима прямо с вашего мобильного телефона.

Не нужно никаких рут прав, дополнительных прошивок и прочих танцев с бубном. Только среднестатический ведрофон, внимательность и немножко смекалки вкупе с навыками социальной инженерии, дабы ваш фишинг оказался удачным. В общем, если хотите узнать, как заправдовские злоумышленники разводят наивных хомячков на пароли от контача, фэйса и прочих соц. сеток, что называется на коленке.

Тогда откиньтесь по удобней в своём компутерном кресле, отхлебните побольше мамкиного борща из тарелки и окунитесь на 5 минут в атмосферу просто нереального хацкинга. Погнали.

Шаг 1. Первым делом рубим вафлю и включаем 4Г. Затем топаем в настройки и активируем точку доступа. Это позволит нам на дальнейшем этапе не иметь проблем с созданием веб-страницы в ngRok.

Шаг 2. Далее, как обычно, запускаем Termuxи обновляем список пакетов. Сразу скажу, что всё что я показываю сейчас Термуксе работает и в Kali и в iSH, с некоторыми корректировками. Линукс, он и Африке Линукс. Соответственно принцип работы, что с терминалом в самой ОСи, что через говноэмуль типа термы, плюс-минус аналогичный.

Шаг 3. Ставим наши обновы, если они, есть введя upgrade.

Шаг 4. И дождавшись завершения процесса накатываем пакеты, которые сто пудово должны быть у каждого уважающего себя фишинг-мэна. А именно Curl. Главный инструмент для передачи данных на сервер и обратно. Git – для копирования скрипта с Гитхаба. Ну и само собой PHP и SSH’шем. В конце добавляем ко всей этой истории ключ -y, дабы избежать диалоговых окон, да и в принципе всё. Заводим шарманку.

Шаг 5. После того, как все допы проинсталлированы, копируем с гитхаба наш скрипт. Пользуясь случаем, хочу передать привет не слишком сообразительным камрадам, которые периодически пишут в комментах, мол ссылка не работает. Ребзи, я показываю принцип работы программ и утилит, а не занимаюсь актуализацией ссылок на гитхабовские скрипты. Если вы не в состоянии в случае отсутствия актуальной ссылки, тупо найти новую используя встроенный поиск, то задумайтесь над тем, той ли деятельностью вы вообще занимаетесь. Может лучше пока не поздно устроиться в Мак, или пойти торговать арбузами. IT – это явно не ваша сфера, если подобный затуп наступает на совсем уж элементарных вещах.

Шаг 6. После того, как zphisher скопировался, заходим в соответствующий катАлог или каталОг. Грамар-наци, обязательно поправьте в комментах.

Шаг 7. И запускаем сам скрипт через баш.

Шаг 8. В появившемся списке выбираем страницу авторизации сервиса, под который будем косить. Пусть будет VK.

Шаг 9. Далее программа предлагает нам 2 варианта. Либо стандартный index, либо страницу голосования. Возьмём классику.

Шаг 10. Порты через Ngrok.

Шаг 11. Всё. Ждём ссылку. И копируем сгенерированный вариант на какой-нибудь сократитель.

Шаг 12. В принципе, раз уж мы юзаем контакт в качестве фейка, можно воспользоваться тем же VK.CC.

Шаг 13. Проходим по сокращённому линку. Пробуем залогиниться.

Шаг 14. Вуаля. Логин и пасс от аккаунта улетают прямиком на наш ведрофон.

Сервисов и утилит для создания фишинговых страниц существует огромное множество. Это лишь один из примеров того, как всего за пару минут любой школьник со смартфоном в руках, может превратиться в потенциального злоумышленника. К счастью для нас, чтобы защититься от подобной напасти не нужно быть семи пядей во лбу. Вполне достаточно быть просто внимательным и никогда не переходить по ссылкам, присылаемым даже из проверенных источников.

Сегодня, современные технологии позволяют подделывать абсолютно всё. E-mail отправителя, телефон и даже голос звонящего. Хотя это, как правило, и не нужно. Злоумышленник может запросто притвориться вашим другом и даже скинуть в диалог пару мемчиков, прежде чем подтолкнёт вас к голосованию за его якобы хорошего знакомого через контакт.

Причём большую часть из того, что я перечислил, можно сделать абсолютно бесплатно. Для богатых же в Дарке есть даже специальный фишинг-панели. Они значительно упрощают взлом и содержат в себе кучу уже готовых страниц. Поэтому, друзья мои, будьте бдительны и не переходите по ссылкам из внешних источников ни под каким предлогом. Нафиг все эти голосования за псевдо-друзей. Лучше уж меня поддержите лайком. И вам польза. И мне приятно.

Что ж, братцы, на этом сегодня всё. Надеюсь, что данное видео оказалось для вас полезным и вы узнали для себя что-нибудь новенькое. А если даже и не узнали, то как-минимум отлично провели время. Обязательно пишите свои идеи для следующих роликов и если хотите, чтобы я действительно разобрал какую-то тему в рамках основной рубрики, то напоминаю, что сумма доната за это дело у нас всего 1488 руб.

Как говорится, правильная цена, для правильных пацанов. Ссылка на донэйшен алерт само-собой в описании. Главное не забудьте в приписке указать тему, а то ведь я решу, что вы просто решили по-братски меня поддержать. С вами, как обычно, был Денчик. Удачи, успехов и самое главное, отличного настроения. Берегите себя и свои данные. Не переходите по левым ссылкам. Помните, никому нельзя доверять. Даже себя. До новых встреч, камрады. Всем пока!

В этой статье я расскажу, что такое фишинг вконтакте. Как не попасться на фишинговый сайт, и не спалить свои учетные данные. Также приведу пример создания такого сайта.

  • Что такое фишинг?
  • Будьте внимательными
  • Создание фишинг сайта
  • Рассказ о том как залить все это дело на хостинг
  • Вывод
    • Что понадобится

Что такое фишинг?

Вообще слово fishing переводится как рыбалка. Фишинг – это подмена какого-либо сайта, на котором пользователи вводят учетные данные, такие как «логин» и «пароль», после чего перенаправляются на официальный сайт, чтобы не было подозрений. А нехороший человек «редиска» узнает ваши учетные данные, и может входить под вашим логином на сайт.

Будьте внимательными

Как вам могут подсунуть такой сайт, есть пару примеров.

  1. На любом ресурсе может быть ссылка, в которой говорится: “добавь меня в друзья и получи за это 10 голосов вконтакте”. Согласитесь, заманчиво? Жертва переходит по этой ссылке, попадает на сайт вроде бы ничем не отличающийся от сайта вконтакте, вводит «логин» и «пароль». Попадает себе на страничку, голосов не прибавилось. Долго думает и в итоге забивает на это дело, а данные от учетной записи уже у «редиски».
  2. Ваша девушка или парень, дает вам ссылку на сайт, с предлогом лайкни Кота =) Вы без задней мысли переходите по ссылке, вводите «логин» и «пароль». И ваша вторая половинка теперь знает ваши учетные данные, и сможет посмотреть с кем это вы там переписываетесь =)

И еще куча вариантов, как можно заманить жертву на такой вот сайт.

Смотрите куда вы переходите, если вы сидите в данный момент в контакте и вам дают ссылку, вы по ней переходите, видите страницу авторизации, у вас сразу же должно закрасться подозрение. Обратите внимание на адрес сайта. Допустим вконтакте, адрес его: vk.com или vkontakte.ru. Не многие могут запомнить длинные доменные имена сайтов, их легче всего подделать. Я думаю из-за этого социальная сеть вконтакте, перешла на столь короткий доменный адрес, чтобы его было труднее подделать. Если вы увидите адрес vk.org то вы особо и не увидите подвоха, если после него чего-нибудь написать, например: так вообще адрес как адрес. Ну так вот, если вас где-то просят ввести пароль, проверяйте внимательно доменный адрес.

Создание фишинг сайта

Данный материал приводится сугубо для ознакомления, а не для ломания учетных записей своих знакомых и друзей, также помните, что это уголовное дело.

И так приведу пример создания фишингового сайта для социальной сети вконтакте.

Открываем любой браузер, заходим по адресу vk.com,

адресная строка вашего браузера

жмем файл => сохранить как =>

рабочий стол вашего компьютера

Имя файла: index.html

Тип файла: Веб – страница, полностью с картинками. Жмем кнопку, Сохранить.

Теперь нужно создать скрипт, который будет передавать данные введенные в поле логин и пароль. Назовем его icq.php

Открываем блокнот и вставляем туда этот код.

Закрываем и сохраняем как icq.php

Открываем в блокноте файл, index.html. Открываем поиск (ctrl+f) и вводим , вырезаем его и вставляем его вот тут.

Сохраняем index.html, и у вас в итоге получилось два файла и одна папка. Дальше все это дело нужно будет залить на ваш хостинг. Вот этим https://beget.com можно месяц бесплатно пользоваться, можно купить на месяц, всего 150 рублей. Я думаю, вы умеете это делать, если нет, задайте вопрос в комментариях.

Когда жертва зайдет на вашу страничку фишинговую, введет «логин» и «пароль», у вас создаться на хостинге еще один файл, ups.php в нем и будут храниться учетные записи.

Рассказ о том как залить все это дело на хостинг

Вывод

В этой статье вы узнали, как себя обезопасить и не попасться на фишинговый сайт. Как создать фишинговый сайт. Скачать готовый, фишинг для вконтакта, можно ниже, для ознакомительных целей.

Скачать готовый фишинговый сайт для вконтакте.

Друзья, пройдите опрос на тему какие еще фишинги можно сделать и нужны ли они у нас в группе: https://vk.com/27sysday

  1. Вышла новая статья про фишинг в одноклассниках.
  2. Вышла новая статья про фишинг в инстаграм.

В связи с большим количеством обращений, решил создать услугу по настройке.

Groojik

CTOROJEVAYA COBAkA ETOGO FORUMA

1. Регистрируемся на сервисе kotfake.ru.(не реклама) на данном сайте можно найти многие фишинговые сайты steam,вк,одноклассники и т.д В разделе «Взлом >Ссылки» ищем «Вконтакте,(«Вход» или «Мобильная версия»)», копируем данную ссылку (это фишинг-сайт ВК, на который будет переходить жертва и вводить данные).

2. Так как ВК блокирует фишинг-сайты, то нужно найти сокращатель для ссылок. Искать лучше всего на последних страницах поиска. Пробуем сокращать нашу ссылку, копируем. Далее, переходим на vk.cc и сокращаем уже полученную ссылку (должна быть вида: vk.com/xxxxxx).

3. Переходим снова на kotfake.ru (не реклама) и в разделе «Взлом >Проверка на бан» проверяем ссылку вида vk.cc/xxxxxx.

4. Если ссылка забанена сайтом ВК, то идём искать другой сокращатель и повторяем 5 и 6 шаги.
Если же ссылка не заблокирована, то вставляем её в подготовленный пост на публичной странице.

Спамом в наше время никого не увидишь. Мы к нему привыкли и уже воспринимаем как данность. С другой стороны, спам перестает быть просто рекламой, все больше и больше «писем счастья» являются фишингом. Текст данных писем составляется с целью побудить получателя выполнить то или иное действие.

Немного теории

Фи?шинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.

«Спирфишинг» (англ. spear phishing ) – вид фишинга, при котором злоумышленник формирует фишинговое письмо под конкретного получателя, используя собранные ранее данные о получателе.

Почему это все так опасно?

Перейдя по вредоносной ссылке или открыв вложение к письму, вы запускаете вирус или троян, который может получить контроль над вашим компьютером и информационными системами компании. Спирфишинг – более опасный вид фишинга. Зловредность его связана с тем, что любой человек, получив персональное, адресованное именно ему письмо, уже не считает это письмо спамом и склонен доверять и открывать любые ссылки/файлы.

А действительно ли это актуально?

Мошенничество с использованием корпоративной электронной почты набирает обороты. За первую половину 2016 года ФБР зафиксировала 22 тыс. жертв этого вида мошенничества, при этом финансовые потери составили более 3 млрд долларов. Почта на сегодня является основным методом проникновения в корпоративную сеть. Злоумышленники не видят разницы между компаниями малого, среднего и крупного бизнеса. Киберпреступники играют вдолгую против крупных компаний, но это не значит, что малый бизнес им менее интересен. Ниже приведу интересную инфографику, показывающую что все больше злоумышленников интересует именно малый бизнес.


Мошенники все чаще и чаще используют шифрование (упоминать WannaCry уже становится плохим тоном) как оружие. 2016 год Cisco назвало «Year of ransome». За первые 3 месяца 2016 года мошенники заработали более 200 000 000$. По оценкам, к концу года «выручка» составила более миллиарда долларов.

Эксперты, сообщество, правоохранительные органы говорят: не платите злоумышленникам, этим вы поощряете их на продолжение деятельности. Но люди и компании платят, уровень шифровальшиков растет. Если первые шифровальщики были похожи на работу студентов первого курса по программированию, то сейчас этим стали заниматься настоящие профессионалы своего дела. Уже встречаются криптографически стойкие шифровальщики.

Компания часто может встать перед выбором: платить, или просто прекратить свою деятельность. Естественно многие, практически все платят. Вам ведь также страшно, как и мне? Нет? Тогда давайте прибавим к этому социальную инженерию. Все мы сейчас используем Facebook, vk, twitter и т.п. Для нашего удобства социальные сети объединяют людей в группы. Мы сами заполняем профили, указываем где мы живем, название компании, в которой работаем.

Я параноик и никогда не указываю название компании, где я работаю, скажете вы? А в друзья вы коллег из компании не добавляете в соцсетях? А все ли они не указывают название компании? Не думаю. Проведя пару часов в сети, исследуя любую интересующую нас компанию, можно достаточно легко и быстро получить список имен и фамилий сотрудников компании. Попадание будет достаточно большим, причем в дополнение к фамилиям можно достаточно легко узнать список увлечений и занятий сотрудников, что может быть использовано против них… например, для создания персонализированных фишинговых писем. Но корпоративные адреса почты найти не так просто, скажете вы? Опять разочарую. Зная название компании, легко найти ее корпоративный сайт. Соответственно, домен уже есть. Зачастую на корпоративных сайтах есть и общие почтовые контакты, они нам тоже пригодятся. Теперь самое сложное: нам нужно получить пару действительных адресов почт сотрудников компании. Для этого можно, например, написать на один из публичных адресов компании. Обратиться в техподдержку, например. Попробовать что-то купить в sales. Если публичного адреса на сайте нет, то всегда можно просто позвонить по телефону и поговорить с секретарем. Социальная инженерия творит чудеса.

Мне посчастливилось побывать на выступлении Chris «loganWHD» Hadnagy. Организация ежегодно проводит соревнования по добровольному взлому (пентесту) других компаний. Вывод из лекции был простой: социальной инженерией можно получить любую информацию. Неподготовленный человек от этого не защищён. К тому же ничто не помешает перед звонком получить данные о секретаре компании из социальных сетей. Это поможет упростить разговор. Итак, будем считать, что мы выяснили пару адресов сотрудников. Смотрим на паттерн в адресах. Он есть! Админы ведь почту не из головы каждый раз придумывают. Паттернов не много: фамилия, ФИО, имя_фамилия и т.п. Накладываем паттерн на базу фамилий и имен, и вот у нас база почтовых адресов компании. Зачем нам все это? Есть такое понятие как Kill chain.

Нас интересует верхняя часть картинки. Итак, мы с вами поняли, что разведку о нас злоумышленники легко проведут в социальных сетях. Соответственно, будет составлен список адресов и осуществлена отправка. Если мы говорим о целевой атаке на компанию, а с учетом разведки предположим, что идет именно она, специально, чтобы обойти стандартные спам-защиты злоумышленники приобрели несколько временных доменов и, соответственно, все наши спам-фильтры будут пройдены, и письмо окажется в почтовом ящике сотрудника. Что дальше? Запуск вложенного файла/переход по ссылке. Неподготовленный пользователь (уж точно несколько среди сотрудников компании) перейдет по ссылке, откроет вложении. По данным Positive Technologies, за 2021 год 24% пользователей, получив письмо, перешли по ссылке, а 15% ввели учетные данные или установили ПО. Процент таких пользователей год от года только растет.

Сработает ли эксплойт? Да (здесь можно вставить много о WannaCry) . И вот почему. В отчете HP Enterprise есть вот такая интересная инфографика, это новые уязвимости ПО, появившиеся в 2021 году. Уязвимости есть, и регулярно находят новые. И о них даже знают исследователи:

Часто о них никто и не знает. И бывает вот так (а еще и NSA есть).

На этом «Kill chain» для нас закончен. Заражение произошло, злоумышленник завладел нашим компьютером. Что с ним он будет делать дальше конечно интересно? В любом случае оставим дальнейшее вне рамок данной статьи. Мы хотим понять, что мы можем этому противопоставить? А противопоставить мы можем немногое. Да, можно корпоративными политиками и правилами запретить людям пользоваться социальными сетями и публиковать в них информацию о работе, но с ростом количества сотрудников это становится малореальным. Да, можно тренировать спам-фильтры и использовать дорогостоящие системы обнаружения угроз, но даже самые продвинутые из них зачастую не на 100% гарантируют фильтрацию опасного письма.

Что остается? Остается обучать и еще раз обучать сотрудников на регулярной основе, обучать определять фишинг и просто удалять эти письма, предварительно оповещая ИТ-отдел/службу безопасности о получении подозрительного письма. Недавно в своей компании мы провели «антифишинговое» обучение.

Обучение

Как мы будем учить? А учить мы будем, устраивая социальный пентест своей компании. Можно пойти несколькими способами.

Пентест на заказ

Побродив по просторам интернета можно достаточно легко найти несколько компаний, которые с радостью выпустят вашими социальными пентестерами:

Можно пойти этим путем, но нужно понимать, что бюджет данного мероприятия будет зависеть от размеров организации и составлять несколько сотен тысяч рублей в минимальном варианте. По желанию заказчика, представители пентесторов даже могут провести полноценный социальный поиск и добыть адреса почты сами, а могут работать и уже с готовыми данными. Обучение по результатам пениста будет стоить отдельных денег. Из интересного в интернете мы нашли еще пару SaS сервисов:

Стоить подобные сервисы будут около 20$ в год за почтовый адрес, но нужно учитывать, что готовые базы шаблонов, которые содержатся в них, будут англоязычными (хотя можно всегда загрузить свои шаблоны) + все международные сервисы (видимо для того, чтобы избежать юридических претензий) в обязательном порядке пишут маленькими буквами внизу письма, что это проверка на фишинг, что, по моему мнению, несколько снижает чистоту эксперимента.

Игровые варианты

Одной из лучших методик обучения является игровая. К примеру, недавно так поступил Сбербанк. Метод, без сомнения, эффективный, но содержит пару недостатков. К сожалению, данный метод действует по факту один раз, а учитывая развитие средств и возможностей, фишингу обучаться нужно на регулярной основе. Но что самое главное, игру нужно делать самому и под себя. В открытом доступе готовых решений найти не удалось.

GoPhish

Теперь давайте я расскажу о решении, которое в конечном счете выбрали для себя мы: GoPhish — OpenSource фреймворк для фишинга. GoPhish, пожалуй, незаслуженно обойден вниманием на Хабре. Поиском удалось найти всего одну статью по данному продукту, а продукт стоит того.

Возможности GoPhish

Gophish осуществляет рассылку писем по заранее заданным шаблонам и спискам email-адресов. Также данное ПО использует встроенный веб-сервер для отображения фишинговых страниц. Ссылки для перехода на данные страницы находятся в тексте писем. Для контроля за процессом фишинг-теста используется сущность «кампания» — она объединяет шаблон письма, список адресов со списком «пользователей-целей» (Фамилия, Имя, email-адрес), фишинговую страницу и набор параметров SMTP. После того как «компания» запущена в интерфейсе ПО можно просмотреть, кто из пользователей перешел по ссылке на фишинговую страницу, а кто нет. ПО Gophish также предоставляет API, но нам хватило и базового функционала.

Установка GoPhish

Продукт написан на Go и в скомпилированном виде представляет собой один бинарник. Установка проста и не вызывает проблем, есть хороший и простой мануал. Вся процедура установки сводится к генерации ssl сертификат и созданию простого и понятно config.json файла.

Пояснять что-то здесь я считаю излишним. Все просто и понятно. Осталось запустить сервис, выполнив такую команду:
[email protected]:

/src/github.com/gophish/gophish$ ./gophish
Все дальнейшие работы производятся с использованием веб-интерфейса фреймворка. Первое что, нужно сделать — это добавить сотрудников (вкладка «Users & Groups»). Можно импортировать список пользователей из csv файла (например, выгрузив csv с нужными нам полями из AD) или ввести данные пользователей вручную. Далее нужно создать шаблоны писем (вкладка «Email templates»). Текст письма можно вводить в виде текста (вкладка «Text») или с помощью HTML (вкладка «HTML»).

Если отметить флажок «Add tracking image», в письмо будет добавлена «следящая картинка» размером 1х1 пиксель. Картинка используется для отслеживания факта открытия письма пользователем. В тексте письма можно использовать следующие ссылочные значения:

Значение Описание
<<.FirstName>> Имя
<<.LastName>> Фамилия
<<.Position>> Должность
<<.From>> Отправитель
<<.TrackingURL>> url для отслеживания
<<.Tracker>> Картинка для отслеживания
<<.URL>> url страницы перехода

Далее создаем «фишинговые» страницы (вкладка «Landing Pages»), HTML -код страницы нужно ввести в соответствующее окно интерфейса. Поскольку мы не собираемся заниматься реальным фишингом среди своих сотрудников, а хотим их обучать, в качестве фишинговый страницы мы использовали страницу с обучающим материалом, рассказывающим сотрудникам, что такое фишинг и как не попасться на его удочку. (Шаблон страницы выложим во второй части статьи).

Можно также создавать страницы с полями ввода. Причем есть опции, которые сохраняют в том числи и пароли, введенные пользователями, но лучше пользоваться этим очень аккуратно. Теперь создаем профили отправки (вкладка «Sending Profiles»), т.е. по сути некие почтовые данные от имени кого, сотрудник получит письмо и какой почтовый сервер мы будем использовать для рассылки. На последнем шаге создаем кампанию (вкладка Campaigns). «Компания» объединяет все ранее описанное. После ввода всех параметров нужно нажать кнопку «Launch campaign», и компания запустится автоматически.

За результатами компании можно следить на вкладке «Dashboard».

На данной вкладке показан общий процент, перешедших по ссылкам пользователей и результативность каждой компании в процентах. Всегда можно перейти и посмотреть подробности по компании и увидеть конкретных сотрудников, кликнувших по ссылке.

Продолжение следует

На этом мы завершаем первую часть нашей статьи. Скоро мы добавим вторую половину, в которой поделимся с вами шаблонами фишинговых писем и страницей обучения. Расскажем о реакции наших сотрудников (она порой была не предсказуема и прекрасна!) и поделимся результатами, которых нам удалось достичь. А еще упомянем о наших граблях, на которые посоветуем вам не наступать.
Часть 2

Как быстро создать фишинг сайт – Telegraph

Приступим

Сначала давайте рассмотрим зависимости

И приступаем к установке

Сначала надо клонировать его к себе на ПК:

Перейдем в директорию weeman

И запускаем weeman.py

После запуска видим такую картину:

Итак начнем создание фишинг сайта:

Сначала выберем наш сайт

И напишем куда после этого будет направлять пользователя

Потом если кто-то зайдет и введет свои данные мы увидим примерно такую картину

Для того, чтобы подложить жертве этот сайт мы можем воспользоваться приложением вроде Ettercap или LanGhost для совершения атаки посредника. Благодаря этому, мы получим возможность перехватывать и анализировать его трафик и даже отправлять собственный трафик в его компьютер. Другими словами, из-за того, что он подключился к нашей точке доступа, мы получили полный контроль над всеми входящим и исходящим данными. Если он действительно загружает детское порно, мы это увидим.

Кроме этого, мы сможем перехватывать электронные письма и пароли к другим приложениям и сетям. При желании, мы даже можем внедрить в его систему meterpreter или другое приложение для прослушки, если хотим получить больше информации.

Ettercap

Ettercap – open source утилита для анализа безопасности компьютерных сетей. Основное предназначение которой – MITM атаки (Man In The Middle attacks – атаки типа “человек по середине”). Имеет возможность sniffing of live connections, фильтрация контента на лету, а так же много других интересных возможностей. Поддерживает как активные, так и пассивные вскрытия протоколов и включает большое количество функций для анализа сети и узла.

Более подробную информацию, можно найти на официальном сайте Ettercap.

Установка/Настройка Ettercap

Скачать и установить Ettercap можно из исходников – здесь. В качестве альтернативы можно воспользоваться следующей командой:

Прежде чем приступать к выполнению, выполним небольшую настройку. Открываем файл /etc/etter.conf:

Находим в нем вот эти строки и раскомментируем их:

После того, как все перечисленные выше операции сделаны, запускаем Ettercap. Однако у некоторых, в том числе и у меня, Ettercap работать не будет. Будут появляться ошибки вида “ SEND L3 ERROR“. Чтобы такие ошибки не появлялись, воспользуйтесь следующей командой:

Теперь все должно работать нормально и ошибки не должны выскакивать.

Перехват паролей

Для начала посмотрите на архитектуру сети (см. рисунок ниже), которая будет использоваться. Это нужно для того, чтобы вы хорошо понимали, что и от куда берется:

Перед нами появится окно приложения, как показано ниже

Щелкаем по кнопке Sniff -> Unified sniffing. После этого выбираем интерфейс, который используется. У меня это eth0:

В верхнем меню нажимаем кнопки HostsScan for hosts

Теперь опять щелкаем HostsHosts list. Появится окно, как показано на рисунке ниже:

Здесь нам нужно выбрать цели, т.е. выбрать машину, которая будет выступать в качестве “жертвы” и шлюз. Как видно из архитектуры сети, которую используем, в качестве “жертвы” выступает машина с IP-адресом = 192.168.1.3. Ну а в качестве шлюза IP-адрес = 192.168.1.1. Поэтому выбираем 192.168.1.3 и нажимаем кнопку Add to Target 1. Теперь щелкаем 192.168.1.1 и нажимаем кнопку Add to Target 2.

Далее щелкаем MitmARP poisoning. После этого выбираем Sniff remote connections:

Нажимаем ОК. Осталось только запустить. Для этого нажимаем на кнопку StartStart sniffing.

Sniffing запущен. Осталось подождать, когда пользователь будет вводить свои данные, например от почтового аккаунта:

Как только он ввел свои логин/пароль и успешно вошел на свой почтовый ящик, злоумышленник также успешно перехватил его логин и пароль:

Создайте фишинговую страницу из 29 сайтов за считанные минуты.

Введение

Фишинг Атака в Интернете постоянно растет. Большинство хакеров работают на этих фишинговых страницах, чтобы узнать ваши учетные данные. Этот тип атак осуществляется путем простой отправки ссылок и провоцирования жертвы на переход по ссылке. Основная цель этой атаки — украсть имя пользователя и пароли, банковские данные и другую конфиденциальную информацию. Недавнее разоблачение фишинговых атак на AirBNB было продемонстрировано исследователем этического взлома Международного института кибербезопасности.

Сегодня мы покажем вам, как создать фишинговую страницу 29 различных веб-сайтов за минут. Zphisher — это инструмент, который можно использовать для создания фишинговых страниц и отправки жертве для кражи конфиденциальной информации.

Окружающая среда

  • O S: Kali Linux 2019.3 64 бит
  • Версия ядра : 5.2.0

Установка

  • Используйте команду cd для входа в каталог zphisher
  • Затем используйте команду для изменения режима доступа
  • Теперь используйте команду для запуска инструмента

Zphisher

  • Здесь мы видим 29 фишинговых модулей, возьмем четыре верхних модуля.

Google

  • Выберите вариант 3 для Google, а затем выберите 2.
  • При создании этой страницы мы выберем вариант LocalHost для размещения страницы на нашем локальном компьютере с целью тестирования.
  • Мы также покажем, как создать эту страницу, чтобы поделиться ею с жертвой в Интернете с помощью обратного прокси.Это будет сделано на следующих фишинговых страницах.

Google Фишинговая ссылка

  • Теперь у нас есть фишинговая ссылка, и мы можем протестировать ее на нашей машине.
  • Когда мы откроем это на нашем компьютере, он попросит ввести учетные данные, и страница будет похожа на исходную учетную запись Gmail.

Фишинговая страница

  • Мы видим, как фишинговая страница захватывает учетные данные.

Учетные данные потерпевшего

  • Здесь мы видим учетные данные жертвы.

Instagram

  • Выберите вариант 2 для Instagram.
  • Теперь выберите обратный прокси-сервер, который будет использоваться для сбора учетных данных обратно на вашу хакерскую машину. Мы будем использовать ngrok.io

Instagram Phishing Link

  • Теперь у нас есть фишинговая ссылка, и мы отправляем эту фишинговую ссылку жертве в Интернете по электронной почте или через какой-либо мессенджер.

Фишинговая страница

  • Мы видим, как фишинговая страница захватила учетные данные жертвы.

Учетные данные потерпевшего

Netflix

  • Теперь выберите вариант 5, Netflix и выберите вариант захвата трафика.

Фишинговая ссылка Netflix

  • Итак, мы получили фишинговую ссылку и отправили эту фишинговую ссылку жертве.

Фишинговая страница Netflix

  • Здесь мы видим фишинговую страницу Netflix

Учетные данные жертвы

  • Здесь мы получили данные для входа в систему жертвы.

Paypal

  • Выберите вариант 6, Paypal и выберите вариант для сбора трафика.

Paypal Фишинговая ссылка

  • Итак, мы получили фишинговую ссылку и отправили эту фишинговую ссылку жертве.

Paypal фишинговая страница

  • Здесь мы видим фишинговую страницу PayPal

Учетные данные жертвы

  • Здесь мы получили логин жертвы

Заключение

Таким образом злоумышленники могут украсть наши учетные данные и другую конфиденциальную информацию.Мы стали более безопасными при переходе по любым ссылкам.

RSU — энтузиаст безопасности , который постоянно держит мир в курсе новых событий в области кибербезопасности. Он страстно увлечен кибербезопасностью и своим упорным трудом и самоотдачей хотел преуспеть в этой области.

5 способов определить фишинговый веб-сайт

Фишинг продолжает оставаться одним из наиболее успешных и эффективных способов для киберпреступников обмануть нас и украсть нашу личную и финансовую информацию.

Наша растущая зависимость от Интернета для ведения большей части повседневной деятельности предоставила мошенникам идеальную среду для проведения целевых фишинговых атак.

Современные фишинговые атаки изощренны, и их все труднее обнаружить. Исследование, проведенное Intel, показало, что 97% экспертов по безопасности не могут идентифицировать фишинговые письма от подлинных писем.

Но не только вредоносные электронные письма используются, чтобы обманом заставить людей переходить по ссылкам или разглашать конфиденциальную информацию. Другая распространенная тактика, используемая преступниками, включает создание поддельных веб-сайтов, чтобы обманом заставить жертв ввести конфиденциальную информацию.

Фишинговые веб-сайты создаются для того, чтобы заставить ничего не подозревающих пользователей думать, что они находятся на законном сайте. Преступники потратят много времени на то, чтобы сайт выглядел как можно более достоверным, и многие сайты будут казаться почти неотличимыми от реальных.

Однако есть ряд скрытых признаков, на которые следует обратить внимание, которые могут указывать на фишинговый веб-сайт. Чтобы определить, является ли сайт, на котором вы находитесь, законным или хорошо созданным поддельным, вам следует предпринять следующие шаги:

1.Проверьте URL

Первый шаг — навести указатель мыши на URL-адрес и проверить действительность веб-адреса. Найдите в адресной строке символ замка и убедитесь, что URL-адрес начинается с https: // или shttp: //. Буква S означает, что веб-адрес зашифрован и защищен сертификатом SSL. , Без HTTPS любые данные, передаваемые на сайт, небезопасны и могут быть перехвачены преступными третьими сторонами. Однако эта система не является полностью надежной, и за последний год заметно увеличилось количество фишинговых сайтов, использующих SSL-сертификаты.Пользователям рекомендуется проявлять особую осторожность и искать дополнительные доказательства безопасности сайта.

Вам также следует обратить пристальное внимание на написание веб-адреса. Чтобы заставить пользователей думать, что они находятся на официальном сайте, мошенники будут как можно точнее придерживаться настоящего адреса и вносить небольшие изменения в написание. Веб-адрес, заканчивающийся на .co.uk, можно изменить на .org, или букву O можно заменить цифрой 0. Пример: www.yah00.org. Веб-адрес может также содержать дополнительные символы и символы, которых не будет в официальных адресах.

2. Оцените содержание сайта

Для создания официального сайта потребуется много тяжелой работы и размышлений. Графика будет четкой, орфография и грамматика будут точными, и весь опыт будет ощущаться безупречным. Если вы находитесь на фишинговом веб-сайте, несмотря на схожесть брендов, весь процесс будет казаться некачественным и может указывать на то, что вы попали на поддельный сайт.

Простые орфографические ошибки, неправильный английский, грамматические ошибки или изображения с низким разрешением должны служить сигналом того, что вы находитесь на фишинговом сайте, и должны немедленно покинуть его.

Еще одна область веб-сайта, которая может указывать на фишинговый сайт, — это отсутствие раздела «свяжитесь с нами». Официальные веб-сайты обычно имеют страницу, посвященную предоставлению полной контактной информации своей компании. Это будет включать: почтовый адрес, номер телефона, адрес электронной почты и каналы социальных сетей. Если ни одна из этих деталей не предоставлена, вы должны относиться к сайту как к очень подозрительному.

3. Проверить, кому принадлежит сайт

Все домены должны будут зарегистрировать свои веб-адреса, поэтому стоит выполнить поиск в WHOIS, чтобы узнать, кому принадлежит веб-сайт.Это бесплатная услуга, которая позволит вам проверить, кому принадлежит веб-сайт при его создании, а также предоставит контактные данные владельца сайта.

Следует вызывать подозрения, если веб-сайт был активен менее года или если вы думаете, что находитесь на веб-сайте ведущего бренда, но веб-адрес зарегистрирован на физическое лицо в другой стране.

4. Читать онлайн отзывы

Всегда стоит провести небольшое исследование компании, чтобы проверить, заслуживают ли они репутации и являются ли они тем, кем себя называют.Есть большая вероятность, что если сайт обманул людей в прошлом, жертвы выйдут в Интернет, чтобы поделиться своим опытом и предупредить других пользователей, чтобы они не заходили на сайт. Если есть много отрицательных отзывов клиентов, это хороший признак того, что вам следует держаться подальше от рассматриваемого сайта.

5. Надежные способы оплаты

Законные веб-сайты всегда принимают кредитные карты в качестве способа оплаты или могут использовать портал, такой как PayPal, для онлайн-транзакций. Если на веб-сайте доступен единственный способ оплаты — банковский перевод, тогда должны звучать тревожные звонки.Сайты с хорошей репутацией никогда не будут просить потребителей платить этим методом. Это означает, что ни один банк не предоставил услуги кредитной карты для веб-сайта, и наиболее вероятный сценарий состоит в том, что вы имеете дело с мошенником.

Статьи по теме:

Что делать, если вы нажали фишинговую ссылку

Что такое социальная инженерия?

Основные новые тенденции в области кибербезопасности, 2018 г.

MetaPhish был специально разработан для защиты предприятий от фишинга и атак программ-вымогателей и обеспечивает первую линию защиты в борьбе с киберпреступностью.Свяжитесь с нами, чтобы получить дополнительную информацию о том, как мы можем помочь вашему бизнесу.

Как работает фишинг | HowStuffWorks

Предположим, однажды вы проверили свою электронную почту и нашли сообщение от своего банка. Вы уже получали от них электронные письма, но это кажется подозрительным, тем более что оно угрожает закрыть вашу учетную запись, если вы не ответите немедленно. Чем ты занимаешься?

Это и другие подобные сообщения являются примерами фишинга , метода кражи личных данных в Интернете. Помимо кражи личных и финансовых данных, фишеры могут заражать компьютеры вирусами и убеждать людей невольно участвовать в отмывании денег.

Большинство людей связывают фишинг с сообщениями электронной почты, которые подделывают или имитируют сообщения банков, компаний, выпускающих кредитные карты, или других компаний, таких как Amazon и eBay. Эти сообщения выглядят аутентичными и пытаются заставить жертв раскрыть свою личную информацию. Но сообщения электронной почты — это лишь небольшая часть фишингового мошенничества.

От начала до конца процесс включает:

  1. Планирование. Фишеры решают, на какой бизнес ориентироваться, и определяют, как получить адреса электронной почты для клиентов этого бизнеса.Они часто используют те же методы массовой рассылки и сбора адресов, что и спамеры.
  2. Настройка. Когда фишеры знают, какой бизнес имитировать и кто их жертвы, они создают методы для доставки сообщения и сбора данных. Чаще всего это касается адресов электронной почты и веб-страницы.
  3. Атака. Это шаг, с которым люди наиболее знакомы — фишер отправляет фальшивое сообщение, которое, как представляется, исходит из надежного источника.
  4. Коллекция. Фишеры записывают информацию, которую жертвы вводят на веб-страницы или всплывающие окна.
  5. Кража личных данных и Мошенничество. Фишеры используют собранную информацию для совершения незаконных покупок или иного мошенничества. Четверть пострадавших так и не выздоровеют полностью [Источник: Information Week].

Если фишер хочет скоординировать другую атаку, он оценивает успехи и неудачи завершенной аферы и снова начинает цикл.

Фишинговые атаки используют преимущества программного обеспечения и слабых сторон безопасности как на стороне клиента, так и на стороне сервера. Но даже самые высокотехнологичные фишинговые мошенничества работают как старомодные аферы, когда мошенник убеждает свою марку в том, что он надежен и заслуживает доверия.

Фишинговые ссылки как сделать