Фишинговый сайт создать: Фишинг вконтакте — как создать
Содержание
Фишинговые боты и каналы в Telegram: как это работает
Telegram год за годом набирает популярность у пользователей по всему миру. Однако удобную функциональность мессенджера оценили не только рядовые пользователи, но и онлайн-мошенники, которые сделали его новым филиалом даркнета: с конца 2021 года их активность в Telegram значительно выросла.
Особым спросом мессенджер пользуется у создателей фишинга. Они умело применяют возможности мессенджера как для автоматизации своей деятельности, так и для предоставления различных услуг всем заинтересованным: от продажи фиш-китов (готовых наборов для создания фишинговых страниц) до помощи в подготовке персонализированных фишинговых кампаний.
Для продвижения своего «товара» фишеры заводят Telegram-каналы, в которых в формате блога рассказывают аудитории о «фишках» в создании фишинга и развлекают подписчиков опросами в стиле «какой вид персональных данных вы предпочитаете?». Ссылки на каналы они распространяют через YouTube, GitHub, a также вместе с фиш-китами, которые они создали.
В этой статье мы расскажем о разнообразии фишинговых услуг в мессенджере, их нюансах и ценах, а также об особенностях детектирования фишингового контента родом из Telegram.
Ассортимент черного рынка в Telegram
Проанализировав обнаруженные Telegram-каналы создателей фишинга, мы разделили услуги, которые они продвигают, на платные и бесплатные.
Бесплатные материалы для начинающих фишеров
Автоматическое создание фишинга в Telegram-ботах
Боты в Telegram, благодаря своим гибким функциям, помогают пользователям и бизнесу в автоматизации многих рутинных процессов, таких как поиск и получение какой-либо информации на регулярной основе, ответы на часто задаваемые вопросы клиентов, настройка напоминаний и многое другое. В свою очередь, злоумышленники автоматизируют с помощью Telegram-ботов незаконную деятельность, например создание фишинговых страниц и сбор пользовательских данных.
Создание поддельных сайтов в Telegram-боте обычно состоит из следующих этапов.
Начинающий мошенник подписывается на канал создателя бота.
Как правило, после начала работы бот предлагает выбрать желаемый язык. В примере ниже общаться с ботом можно на арабском и английском языках.
Запуск Telegram-бота по созданию фишинга
Бот предлагает фишеру создать свой собственный бот и прислать его токен в основной бот. Новый бот создается для того, чтобы получать данные пользователей, которые перешли по фишинговым ссылкам и попытались авторизоваться на поддельном сайте. Хотя создать новый бот начинающий злоумышленник должен самостоятельно, этот процесс в Telegram тоже автоматизирован и не представляет особой сложности.
Фишинг-бот просит злоумышленника создать свой собственный бот и прислать его токен
Получив токен нового бота, фишинг-бот генерирует множество ссылок на поддельные сайты на одном домене. Сайты могут имитировать онлайн-игры, социальные сети и прочие сервисы — PUBG, Facebook, PayPal и т.
д.Список готовых фишинговых страниц на одном домене
д.Распространением ссылок начинающий фишер занимается уже без помощи бота. Если же пользователь введет свои учетные данные на поддельной странице, уведомление об этом придет в чат с ботом, которого злоумышленник создал в процессе генерации ссылок. Как правило, такое уведомление содержит информацию о фишинговой ссылке, собственно учетные данные жертвы, а также страну логина, код страны и IP-адрес устройства, с которого пытались войти в аккаунт.
Поступившее фишеру сообщение с украденными данными
Боты, генерирующие фишинговые страницы, могут незначительно различаться. Например, в одном боте перед созданием ссылок предлагается выбрать желаемый сервис из списка, а затем ввести URL-адрес страницы, куда пользователя перенаправляют после попытки авторизации. Чаще всего это стартовая страница Google или главная страница сайта, под который маскируются злоумышленники.
После ввода URL бот генерирует несколько ссылок с мошенническим контентом, нацеленных на пользователей выбранного сервиса. Учетные данные жертв в этом случае направляются напрямую в фишинговый бот.
Список сервисов, предлагаемый ботом
Что же собой представляют поддельные страницы, создаваемые таким легким способом? Перейдя по ссылке, обещающей, например, бесплатные 1000 лайков в TikTok, жертва увидит похожую на оригинал форму авторизации. Кроме этой формы на странице обычно ничего нет. Так, «логин и пароль» в форму на скриншоте ниже мы подставили самостоятельно.
Поддельная страница входа в TikTok, созданная через фишинг-бот
С технической точки зрения это весьма примитивный плод простого фиш-кита. Когда злоумышленник запрашивает фишинговые страницы у Telegram-бота, тот передает запрос и все необходимые данные утилите, которая собирает страницы из готовых наборов и возвращает боту ссылки. Для отправки собранных данных в фиш-китах есть специальный скрипт: в него подставляется токен бота, собирающего логины и пароли, а также идентификатор чата с ботом в Telegram и URL-адрес для перенаправления пользователя после ввода учетных данных.
Последний встречается не во всех подобных скриптах.
Скрипт для отправки данных жертвы в Telegram-бот
Стоит отметить, что ничто не мешает создателям фишинга с помощью такого же скрипта настроить отправку данных, добытых новичками, также и себе лично.
Бесплатные фиш-киты и персональные данные пользователей
Часто в Telegram-каналах мошенников можно встретить на первый взгляд весьма щедрые предложения. Например, архивы с готовыми фиш-китами, нацеленные на множество международных и региональных брендов.
Архив с фиш-китами, выложенный в Telegram-канале мошенников
Содержание бесплатного архива с фиш-китами
Помимо этого, фишеры делятся с подписчиками и добытыми с помощью фишинга персональными данными жертв, указывая, проверены они или нет. Yellow light data на скриншоте ниже означает, что качество данных неизвестно. Вероятно, это отсылка к желтому сигналу светофора.
Файлы с бесплатными учетными данными пользователей из США и России
Но с чего вдруг мошенникам быть столь щедрыми и делиться ценными данными с другими, вместо того чтобы использовать их самостоятельно? С одной стороны, все бесплатные материалы и инструкции, которые мошенники так охотно раздают своей Telegram-аудитории, служат своего рода приманкой для менее опытных фишеров. Они дают возможность ознакомиться с различными фишинговыми инструментами, извлечь для себя первую выгоду и захотеть большего, для чего им можно предложить уже платные услуги.
С другой стороны, мошенники таким образом могут набирать себе бесплатную рабочую силу. Ведь, как мы уже упоминали выше, создатели фишинг-ботов и фиш-китов могут получать все данные, собранные с помощью этих инструментов. Для привлечения большей аудитории злоумышленники рекламируют свои услуги и обещают научить зарабатывать с помощью фишинга большие деньги.
Реклама Telegram-канала с материалами по фишингу
Платные предложения для фишеров в Telegram
Помимо бесплатных фиш-китов и автоматизированного создания фишинга через Telegram-боты, мошенники предлагают в мессенджере платные товары, а также сервисы в рамках модели «фишинг как услуга» (phishing-as-a-service).
В такой сервис может входить не только доступ к фишинговым инструментам, но и инструкции для начинающих мошенников и техническая поддержка.
Платные фишинговые и скам-страницы
Злоумышленники продают скам- и фишинговые «VIP-страницы». Это уже не примитивные копии сайтов известных брендов, а созданные «с нуля» страницы с более широким спектром возможностей или же инструменты для генерации таких страниц. Например, на VIP-странице могут присутствовать элементы социальной инженерии, такие как привлекательный дизайн и обещания крупного выигрыша, защита от обнаружения и т. д.
Скам-страницы, выставленные на продажу в Telegram
На скриншоте ниже продавец обещает, что каждый «проект» оснащен антибот-системой, шифрованием URL-адресов, блокировкой по географическому принципу и другими полезными с точки зрения злоумышленников функциями. Также он готов собрать фишинговую страницу с любой функциональностью на заказ.
Информация от продавца фишинга о дополнительных функциях на рекламируемых страницах
Подробно изучив такие предложения, мы обнаружили, что в них действительно содержатся скрипты для блокировки ботов поисковиков и антифишинговых технологий.
Из этого можно сделать вывод, что такие проекты — не что иное, как сложные или продвинутые фиш-киты.
Содержание архива фиш-кита с антибот-системой
При этом мошенники в рамках оказания платных услуг регулярно обновляют свои антибот-системы, чтобы избежать обнаружения и поддерживать фишинговый контент в «живом» состоянии.
Продавец фишинга сообщает, что антибот-система была обновлена
Цены на подобные поддельные страницы довольно разные. Кто-то просит $10 за экземпляр, кто-то отдаст архив с несколькими страницами за $50, а если в комплект входят нестандартные функции, например протокол безопасных онлайн-платежей 3-D Secure и помощь в настройке поддельного сайта, он может стоить и около $300.
Скам-страница с протоколом 3-D Secure выставлена на продажу за $280
Платные персональные данные пользователей
Часто на продажу также выставляются данные банковских аккаунтов, добытые с помощью фишинга.
В отличие от бесплатных данных, о которых шла речь выше, платные данные проверены с точностью до суммы на счете пользователя. От этой суммы обычно зависит и стоимость доступа к аккаунту.
Например, в одном и том же канале за доступ к банковскому аккаунту с балансом $1400 владельцы просят заплатить $110, а учетные данные от аккаунта с балансом $49 000 выставили за $700.
Продажа доступа к банковскому аккаунту с балансом $1400
Продажа доступа к банковскому аккаунту с балансом $49 000
Фишинг по подписке (phishing-as-a-service)
Кроме разовых продаж фишинговых наборов и пользовательских данных, мошенники предлагают в Telegram систему подписок, в рамках которой предоставляют поддержку своим клиентам. В частности, обновляют фишинговые инструменты, защиту от обнаружения и ссылки, которые генерируют фиш-киты.
Помимо фиш-китов по подписке можно получить, например, OTP-бот (от One-Time-Password — одноразовый пароль).
Легитимные сервисы используют такие одноразовые пароли в рамках двухфакторной аутентификации. С помощью OTP-ботов фишеры пытаются ее обойти, ведь на данный момент 2FA использует множество организаций, и для угона аккаунтов зачастую недостаточно заполучить логин и пароль.
OTP-боты звонят пользователям от имени организаций, аккаунт в системе которых злоумышленники пытаются взломать, и убеждают ввести на клавиатуре телефона код двухфакторной аутентификации. Звонки при этом полностью автоматизированы. Получив код, бот вводит его в нужное поле, и злоумышленник получает доступ к аккаунту.
Список функций и преимуществ OTP-бота
Пообщавшись с продавцом одного из таких ботов, мы узнали его стоимость: неделя подписки с безграничным количеством звонков обойдется начинающим мошенникам в $130, а месяц обслуживания с кастомной настройкой бота — в целых $500.
Переписка с продавцом фишинга на тему стоимости OTP-бота
Другой OTP-бот оплачивается поминутно: перед началом работы злоумышленник пополняет баланс, а затем с него списываются деньги — от $0,15 за минуту звонка (точная стоимость зависит от того, в какую страну звонят).
Бот позволяет записывать звонок и запоминать настройки, в том числе введенные в бот данные жертвы — номер телефона, имя и т. д.
Интерфейс OTP-бота: для настройки звонка нужно указать имя и номер телефона жертвы, название сервиса и язык
Если клиент поделится с создателями бота этой информацией, а также скриншотами взломанного аккаунта, на которых виден номер счета жертвы, остаток средств и т. д., он может получить бонус в виде зачисления небольшой суммы на баланс OTP-бота: $5 за две единицы информации и $10 за три и больше.
Некоторые продавцы фишинга заботятся о доверии своей клиентуры. Так, на скриншоте ниже злоумышленники, предоставляющие фишинговые услуги, обещают клиентам, что все данные, полученные с помощью оплаченных инструментов, надежно шифруются, поэтому ни третьи лица, ни сам поставщик сервиса не могут их видеть. Все, что требуется продавцам, это лояльность их покупателей.
Продавец фишинга объясняет своим клиентам, что все их данные надежно зашифрованы
Несмотря на многочисленные способы избежать блокировки, которые используют фишеры, продающие свои услуги в Telegram, наши решения обнаруживают подобные поддельные сайты с предельной точностью и заносят их в свои базы.
Вредоносные сайты из фишинг-ботов либо расположены на одном домене, либо имеют общие элементы HTML-кода, либо и то и другое. Благодаря этому выявлять их нашими технологиями детектирования веб-угроз не составляет большого труда.
Например, в рассмотренном ранее примере создания фишинга с помощью бота использовался один и тот же домен для поддельных сайтов различных организаций и сервисов. В общей сложности за время существования этого домена мы зафиксировали 1483 попытки перехода на расположенные на нем страницы.
Статистика срабатываний антифишинговых технологий «Лаборатории Касперского» на домене из фишинг-бота с декабря 2022 г. по март 2023 г. (скачать)
Поскольку многие из продаваемых в Telegram готовых фишинговых решений — это простые и сложные фиш-киты, приведем статистику их детектирования. За последние 6 месяцев наши технологии обнаружили 2,5 миллиона уникальных фишинговых URL-адресов, созданных с помощью фиш-китов.
Количество обнаруженных уникальных URL-адресов, созданных с помощью фиш-китов, с октября 2022 г.
по март 2023 г. (скачать)
За этот же период удалось предотвратить 7,1 миллиона попыток пользователей перейти на подобные вредоносные сайты.
Статистика срабатываний антифишинговых технологий «Лаборатории Касперского» на страницах, созданных с помощью фиш-китов, с октября 2022 г. по март 2023 г. (скачать)
Выводы
Раньше, чтобы сделать свои первые шаги на поприще фишинга, начинающим мошенникам нужно было проложить себе путь в даркнет, изучать форумы и т. д. С переходом злоумышленников на Telegram порог вхождения в фишинговое сообщество снизился, ведь создатели фишингового контента делятся своими наработками и знаниями прямо в популярном мессенджере, причем как за деньги, так и бесплатно.
Для самых ленивых и стесненных в средствах владельцы тематических каналов предлагают создавать фишинговые страницы через Telegram-боты и в боты же получать украденные у жертв данные. Также некоторые злоумышленники выкладывают архивы с данными для общего пользования.
Если же начинающий фишер хочет генерировать более разнообразный контент, он может скачать фиш-киты, нацеленные на множество организаций.
За счет всевозможных бесплатных предложений мошенники продвигают свои платные услуги. Кроме того, они, скорее всего, используют новичков в своих целях, ведь добытые с помощью фиш-китов и ботов персональные данные могут получать и создатели этих инструментов.
Наиболее платежеспособной аудитории мошенники предоставляют платные фишинговые страницы с функцией географической блокировки и регулярно обновляемыми антибот-системами, которые сложнее обнаружить, чем страницы, сгенерированные простыми фиш-китами и фишинговыми ботами. Цены на подобный контент могут составлять от $10 до $300 и зависеть от набора функций. Также фишеры продают украденные учетные данные от банковских аккаунтов и подписки на OTP-боты, с помощью которых можно обойти двухфакторную аутентификацию.
Подробно изучив предложения продавцов фишинга в Telegram, можно прийти к выводу, что большинство их ассортимента составляют фиш-киты, которые наши технологии успешно блокируют, — за последние полгода мы обнаружили 2,5 миллиона страниц, созданных с помощью фиш-китов.
«Тинькофф» предложил создать аналог ФинЦЕРТа ЦБ для борьбы с фишингом
Вычленить даже из безналичных финансовых потоков оплату услуг регистрации доменов, хостинга и продвижения сайтов можно, только заставив всех участников цепочки сдавать ежемесячные отчеты / Евгений Разумный / Ведомости
Тинькофф банк» предлагает создать межотраслевую систему, которая бы позволила обнаруживать фишинговые сайты на этапе их создания. С этой инициативой «Тинькофф» выступил в ходе заседания комитета Ассоциации банков России по информационной безопасности 24 марта. Представитель организации подтвердил «Ведомостям», что банк действительно выдвигает такое предложение. На финрынке уже есть успешный опыт создания специальной структуры, которая занимается борьбой с кибермошенниками: это ФинЦЕРТ ЦБ, напомнил он. Подразделение специализируется прежде всего на противодействии хакерам и злоумышленникам, которые пользуются методами социальной инженерии.
Инициатива «Тинькофф» предполагает кросс-отраслевой обмен информацией, сигнализирующей о потенциальной ненадежности регистрируемого ресурса.
Система будет мониторить финансовые потоки, которыми оплачивается регистрация домена, IT-инфраструктуру, услуги по созданию и распространению программного обеспечения для осуществления переводов, сервисы по созданию и продвижению ресурсов для осуществления деятельности с признаками нелегальной и т. д. Например, если на портале объявляется, что к оплате принимаются карты, значит, есть банк, который обслуживает это предприятие торговли и сервиса и у него есть информация о соответствующем сайте, поясняет представитель «Тинькофф». Если такого соответствия нет, то это можно расценивать как рисковый сигнал для дополнительной проверки, добавляет он.
Сложности реализации
Пока не ясно, что подразумевается под кросс-отраслевым взаимодействием, поэтому оценить перспективность инструмента довольно трудно, отметил директор по методологии и стандартизации компании Positive Technologies Дмитрий Кузнецов. К тому же формирование репутационной оценки доменных имен требует кропотливой работы с регистраторами и использования информации ограниченного распространения, делиться которой обладатели не готовы и не могут, добавляет он.
Не ясно и то, по какому принципу ресурсы будут отнесены к потенциально опасным, говорит представитель Россельхозбанка.
Вычленить даже из безналичных финансовых потоков оплату услуг регистрации доменов, хостинга и продвижения сайтов можно только одним образом – заставив всех участников цепочки сдавать ежемесячные отчеты, как это реализовано сейчас в Едином реестре интернет-рекламы, говорит директор Координационного центра доменов .RU/.РФ Андрей Воробьев. Но на рынке создания и продвижения сайтов работает большое число малых предпринимателей и частных лиц, причем не только из России, а они вряд ли захотят сдавать еще один отчет, полагает он. Для оплаты также активно используются криптовалюта, p2p-переводы и наличные, которые невозможно отследить.
Сведения о транзакциях конкретного лица можно получить и правоохранительные органы при расследовании киберпреступлений их активно запрашивают как у финансовых организаций, так и у получателей средств (если они находятся в российской юрисдикции), отметил операционный директор департамента Digital Risk Protection компании Group-IB Владимир Калугин.
Но для того, чтобы нарушить банковскую тайну и мониторить финансовые потоки фактически всего российского IT-рынка, как минимум потребуется введение новой нормы уровня федерального закона, согласованной с Минцифры, Минфином и ЦБ, а также с МВД и ФСБ, считает Воробьев. До сих пор такие инициативы вводились только в целях борьбы с экстремизмом, отмечает он.
Для полноценной оценки эффективности новой межотраслевой системы потребуется запуск пилотного проекта с привлечением широкого круга участников и потребителей рынка, считает представитель Россельхозбанка. Особенно необходимо участие компаний, занимающихся выявлением фишинга, добавляет аналитик отдела анализа и оценки цифровых угроз Infosecurity в Softline Company Владислав Иванов. Именно ими должен обновляться реестр мошеннических ресурсов, данные из которого и будут направляться регуляторам, считает эксперт. С другой стороны, в процессе должны участвовать хостинг-провайдеры и регистраторы доменных имен – на основании информации из реестра они могут подсвечивать потенциально опасные сайты, отслеживать действия владельцев фейковых ресурсов по созданию новых страниц, а при необходимости блокировать их.
Уже есть решения
ФинЦЕРТ Банка России в том числе выявляет мошеннические ресурсы и инициирует их блокировку, отмечает представитель регулятора. ЦБ ведет базу данных о случаях и попытках переводов денежных средств без согласия клиента, в ней находятся сведения о совершенных операциях, плательщиках и получателях денежных средств. Информационный обмен на базе ФинЦЕРТа осуществляется между участниками финансового рынка, правоохранительными органами, провайдерами, операторами связи и другими компаниями, работающими в сфере информационной безопасности, – всего более 1000 организаций, в том числе все российские банки.
В июне 2022 г. Минцифры запустило информационную систему «Антифишинг», с помощью которой можно обнаружить ресурсы, маскирующиеся под сайты госорганов, компаний, маркетплейсов и соцсетей.
Почти 16 000 ресурсов
в 2022 г. направлено на блокировку по инициативе ЦБ. В рамках взаимодействия с регистраторами доменных имен Банк России направил информацию о 5217 сайтах с целью последующего снятия их с делегирования.
Еще 10 716 ресурсов были заблокированы по обращению ЦБ в Генпрокуратуру. Основная часть из них, 34%, использовалась злоумышленниками для осуществления безлицензионной деятельности в сфере рынка ценных бумаг, а также для рекламы работы несуществующих кредитных, микрофинансовых и страховых организаций. Еще 27% принадлежали финансовым пирамидам и сайтам с информацией о возможности получить компенсационные выплаты от государства, заработать за прохождение опроса, онлайн-кинотеатрам, сайтам по продаже билетов, туров и т. д. 12% составили фишинговые ресурсы, которые маскировались злоумышленниками под сайты действующих организаций финансовой сферы. И менее 1% пришлось на ресурсы, распространяющие вредоносное программное обеспечение. По данным Координационного центра доменов .RU/.РФ, в 2022 г. в рунете было заблокировано более 15 300 фишинговых ресурсов
Предложенный механизм напоминает репутационный сервис доменных имен, говорит Кузнецов. Если доменное имя зарегистрировано несколько дней назад, на него уже поступали жалобы, а само имя явно не предназначено для использования человеком (например, выглядит как случайный набор букв и цифр), то это основание заподозрить владельца в недобросовестном применении.
Рейтинги доменных имен используются профессиональными центрами мониторинга и реагирования на инциденты для решения узкого круга задач, например для фильтрации спам-рассылок, поясняет Кузнецов. Как правило, низкий рейтинг – это лишь первый сигнал о том, что необходимо обратить внимание на взаимодействие пользователя с сервисом.
Избыточна ли мера
Банк России оценит инициативу после того, как ознакомится с ней, говорит представитель регулятора.
ФинЦЕРТ работает только с финансовой сферой, а платформе Минцифры «Антифишинг» не хватает популярности, отмечает Иванов. Если новая система будет работать с информацией, поступающей из разных сфер – от ритейла до промышленности, то в конечном итоге она может быть полезна и актуальна, считает он. Инициатива «Тинькофф» направлена на более эффективную оценку ресурсов, подключающихся к эквайрингу банков, предполагает Калугин. Если ведомства смогут более оперативно блокировать фишинговые сайты, это будет полезно для борьбы с интернет-мошенничеством, согласен директор «Антифишинга» Сергей Волдохин.
Но блокировки сайтов в любом случае не смогут полностью решить проблему, считает он.
С необходимостью создания межотраслевой системы согласны не все. Это избыточно, не пойдет на пользу и без того зарегулированной интернет-отрасли и будет дублировать работу уже существующих институтов борьбы с фишингом, считает Воробьев. Кроме того, по словам эксперта, сейчас проходит согласование куда более эффективная инициатива о подтверждении личности регистратора домена через ЕСИА («Госуслуги»), которая позволит устанавливать реальных владельцев доменов и пресекать незаконную их активность в целом.
Новости СМИ2
Отвлекает реклама? С подпиской
вы не увидите её на сайте
Фишинговая атака — пошаговая демонстрация с использованием бесплатного инструмента Kali Linux
Фишинг — это форма кибератаки, которая обычно основана на электронной почте или других электронных методах связи, таких как текстовые сообщения и телефонные звонки.
Фишинговая атака с использованием kali Linux — это форма кибератаки, которая обычно использует электронную почту или другие методы электронной связи , такие как текстовые сообщения и телефонные звонки.
Это один из самых популярных методов социальной инженерии. Когда хакеры выдают себя за заслуживающую доверия организацию или обманывает пользователей , заставляя их раскрывать секретную и конфиденциальную информацию.
Мы создадим фишинговую страницу Facebook, используя Social Engineering Toolkit , который является предустановленной функцией в ОС Kali Linux . Фишинговая ссылка может быть отправлена любому пользователю в той же локальной сети, что и вы, и данные, которые они введут на мошеннической странице, будут сохранены в файле на машине злоумышленника.
Social Engineering Toolkit или сокращенно SET — это стандарт тестирования социальной инженерии среди специалистов по безопасности, и даже новички должны иметь базовое представление об использовании этого инструмента. По сути, он реализует компьютерную атаку социальной инженерии.
Шаги фишинговой атаки:
- Откройте окно терминала в Kali и убедитесь, что у вас есть root-доступ, так как «setoolkit» требует, чтобы у вас был root-доступ
- Введите «setoolkit» в командной строке
Вы будете предупреждены, что этот инструмент можно использовать только с разрешения компании или только в образовательных целях и что условия обслуживания будут нарушены, если вы используете его в злонамеренных целях.
- Введите y, чтобы согласиться с условиями и использовать инструмент
- Далее появится меню. Введите 1 в качестве выбора, так как в этой демонстрации мы пытаемся продемонстрировать атаку социальной инженерии.
В рамках социальной инженерии существуют различные компьютерные атаки, и SET объясняет каждую из них в одной строке, прежде чем попросить выбрать.
- Введите 3, чтобы выбрать «Метод атаки сборщика учетных данных», поскольку цель состоит в том, чтобы получить учетные данные пользователя путем создания поддельной страницы с определенными полями формы.
Теперь у злоумышленника есть выбор: создать вредоносную веб-страницу самостоятельно или просто клонировать существующий надежный сайт.
- Введите 2, чтобы выбрать «Клонирование сайта»
Это может занять некоторое время, поскольку SET создает клонированную страницу.
- Теперь вам нужно увидеть IP-адрес машины злоумышленника. Откройте новое окно терминала и напишите ifconfig
- Скопируйте IP-адрес, указанный в поле «inet»
Откройте новое окно терминала и напишите ifconfig.
- SET попросит вас указать IP-адрес, на котором будут храниться захваченные учетные данные. Вставьте адрес, который вы скопировали на предыдущем шаге.
- Поскольку мы решили клонировать веб-сайт вместо персонализированного, необходимо указать URL-адрес для клонирования. В данном примере это www.facebook.com
- Инструментарий социальной инженерии требует работы сервера Apache, так как захваченные данные записываются в корневой каталог Apache. Введите y, когда будет предложено запустить процесс Apache.
.
Подготовка к фишинговой атаке завершена, вы клонировали Facebook и разместили его на сервере.
SET сообщает нам каталог, в котором будут храниться захваченные данные.
IP-адрес обычно тщательно скрывается с помощью служб сокращения URL-адресов, чтобы изменить URL-адрес, чтобы он был лучше скрыт, а затем отправлялся в срочных электронных письмах или текстовых сообщениях.
- Зайдите в браузер и введите http://ваш IP (например: http://192.168.0.108) Примечание. Я пишу эту статью из Махараштры, Индия, поэтому Facebook использует родной язык маратхи.
Если ничего не подозревающий пользователь вводит свои данные и нажимает «Войти», поддельная страница перенаправляет его на настоящую страницу входа в Facebook. Обычно люди склонны выдавать это за сбой в FB или ошибку при наборе текста.
- Наконец, пожинайте плоды. Перейдите в /var/www/html, и вы увидите созданный там файл харвестера.
Надеюсь, это руководство дало вам общее представление о том, как работают фишинговые атаки.
Фишинг постоянно развивается, чтобы заманивать в ловушку невинных пользователей компьютеров. Рекомендуемые советы по безопасности — всегда проверять URL-адрес веб-сайта в браузере и использовать двухфакторную аутентификацию, поскольку она обеспечивает дополнительный уровень безопасности вашей учетной записи.
https://www.youtube.com/watch?v=3pzPakMWoBY
Видеоурок смотрите здесь
Как хакерам легко создать фишинговый сайт
Среди всех киберугроз фишинг, пожалуй, самая простая атака, на которую вы можете попасться. От вредоносной рекламы, которая перенаправляет вас на поддельный веб-сайт входа в систему, до классических цепных сообщений, которые могут отправлять вам ваши родственники. Любой может стать их жертвой, и хакеры могут легко создать эти фишинговые сайты.
Однако не все фишинговые сайты одинаковы. Допустим, вы работаете на клиента, и с вами заключили контракт на оценку того, насколько его сотрудники осведомлены о безопасности. Это ситуация, когда вы можете настроить фишинговый сайт, который автоматически регистрирует их учетные данные, скажем, на веб-сайте интрасети, который они размещают. Методы, используемые в этой статье, должны помочь вам определить, какие пользователи попались в вашу «ловушку».
Это всего лишь пара сценариев, и вы всегда должны помнить, что фишинг может быть преступлением .
Итак, A ОБЯЗАТЕЛЬНО спросите у своего клиента разрешение перед созданием такого фишингового веб-сайта . Береженого Бог бережет!
Еще раз, этот вид фишинговой атаки должен выполняться ТОЛЬКО С РАЗРЕШЕНИЯ ВАШЕГО КЛИЕНТА. Мы только даем знания. Однако ответственность ВСЕ ВАШИ .
Мы НЕ несем ответственности за любые незаконные действия, которые вы совершаете, используя эти знания.
Позвольте мне повторить. Если вы совершите какие-либо преступления, используя это знание, ОТВЕТСТВЕННОСТЬ НЕСЕТ ВСЯ НА ВАШЕЙ.
Итак, теперь, когда у вас есть разрешение на создание фишингового веб-сайта, и мы установили, что вы не будете использовать его для каких-либо незаконных действий; давайте продолжим и на самом деле покажем вам, как его построить.
В нашем уроке мы воспроизведем Facebook. В основном из-за того, что это, пожалуй, самый тиражируемый веб-сайт для фишинговых схем. Прежде всего, мы перейдем на главную страницу Facebook.
Чтобы получить исходный код формы входа, просто щелкните правой кнопкой мыши в любом месте страницы и выберите Просмотреть исходный код страницы .
Откроется новая вкладка, показывающая полный исходный код HTML для главной страницы. Далее давайте скопируем исходный код, сначала щелкнув правой кнопкой мыши и выбрав Select All .
Затем снова щелкните правой кнопкой мыши и выберите Копировать .
Затем откройте текстовый редактор (мы используем Leafpad) и вставьте исходный код, который вы только что скопировали.
Теперь сохраните файл. В нашем случае мы назвали его facebook_login.html . Если вы работаете в Windows, не забудьте изменить тип файла с (.txt) на All files . В противном случае имя файла получится facebook_login.html.txt , а нам это не нужно!
Не забудьте установить кодировку символов UTF-8, так как это рекомендуемая настройка для обеспечения правильного распознавания всех символов.
Когда все будет проверено, сохраните файл.
После получения исходного кода нам нужно найти форму входа. Для этого нажмите Ctrl+F , чтобы открыть окно поиска. Введите action= и нажмите Введите .
Вы увидите, что он выделен. Однако может быть немного сложно перемещаться по файлу, поскольку он отображается в данный момент.
Мы рекомендуем включить перенос слов 9Опция 0006 , расположенная в меню «Параметры».
Перемещайтесь вперед и назад с помощью клавиш со стрелками, чтобы вернуться к просмотру текста. Мы выделили параметр action= , чтобы вы могли заметить, что он равен URL-адресу цели, на которую будет отправлена форма.
Имейте это в виду, так как он нам скоро понадобится.
Самым простым языком для хранения полученных учетных данных, по нашему мнению, будет PHP. Вот почему мы выбрали его для создания скрипта фишинга для нашей копии веб-сайта Facebook.
Приведенный ниже пример можно рассматривать как макет, который можно изменить в соответствии с вашими потребностями. На самом деле, мы изменим его дальше.
Обратите внимание, как мы использовали сетевую функцию заголовка, а также параметры файловой системы fopen и fwrite. Если вы новичок в PHP или хотите узнать больше о каждой из этих функций, вы можете посетить предыдущие ссылки, а также руководство по PHP.
Теперь сохраните этот файл как login_post.php или под любым другим именем, главное, чтобы его расширение было 9.0005 .php , который необходим для его успешного выполнения. Как было сказано ранее, если вы работаете в Windows, не забудьте изменить тип файла с (.txt) на All files .
Вернитесь к HTML-файлу, который мы создали ранее, и Вырежьте URL-адрес, назначенный параметру action= формы.
Затем вернитесь к сценарию и удалите часть строки facebook.com внутри функции заголовка.
Если вам нужно, не забудьте активировать опцию Word Wrap, как мы это делали раньше.
После упаковки он должен выглядеть примерно так.
Обратите внимание, как переменная $handle создает/открывает файл с именем log.txt , не стесняйтесь изменить его на более описательное имя. Мы изменили его на creds_log.txt , но вы можете использовать любое имя.
Добавление небольшого интервала и табуляции к документу выглядит так.
Не забудьте сохранить файл.
Теперь, когда скрипт PHP готов, нам нужно загрузить его куда-нибудь, где мы сможем хранить учетные данные, которые мы собираем через нашу фишинговую страницу. Есть много вариантов, таких как SiteGround или HostGator; а также несколько бесплатных (как в $ 0) хостинг-провайдеров, таких как 100webspace или 000webhost.
Мы использовали последний, так как его проще всего использовать для этой цели. Кроме того, скрипт, который мы использовали, работает просто великолепно!
После того, как вы зарегистрируетесь и подтвердите свой адрес электронной почты, вас встретит страница Начало работы .
После этого вам будет задано несколько вопросов о предполагаемом использовании и предыдущем опыте. Не стесняйтесь нажимать на опцию Пропустить по любому из этих вопросов.
На следующем экране вас попросят дать имя вашему веб-сайту и предоставить вам автоматически сгенерированный пароль. Не забудьте сохранить этот пароль в надежном месте на случай, если вам потребуется ввести его в будущем.
Нажмите Далее . Теперь вы должны увидеть следующую страницу подтверждения.
Прокрутите вниз и нажмите Загрузить существующий веб-сайт .
Откроется новая вкладка с файловым менеджером. Чтобы загрузить файл PHP, нажмите кнопку Upload Files в верхней части страницы.
Затем нажмите Выберите файлы и перейдите к файлу login_post.php , который мы создали ранее. После выбора нажмите на Кнопка загрузки .
После успешной загрузки файла с нашим вредоносным скриптом нам необходимо изменить его разрешения, чтобы все пользователи могли его читать, писать в него и запускать (выполнять).
Для этого отметьте файл, а затем нажмите кнопку Разрешения на верхней панели страницы.
Вы увидите всплывающее окно со списком разрешений Read, Write, и Execute . Нам нужно включить все разрешения для Владелец, Группа и Другие типов пользователей.
Обратите внимание, как в правом нижнем углу поле Changes: изменяется на значение 777 в скобках. Это важно, так как в большинстве других туториалов вам будет сказано изменить разрешения только на 777, даже не объясняя, что это значит.
Напомню, что каждая цифра представляет каждый из типов пользователей. Первая цифра для владельца , вторая цифра для членов той же Группа , к которой принадлежит Владелец , а третья цифра предназначена для всех Других пользователей в системе.
Значение цифры представляет собой двоичное представление разрешений, где каждое разрешение представлено одной из трех двоичных цифр, представляющих число 7 (или 0b111 в двоичной форме).
Первая цифра соответствует разрешению Чтение , вторая цифра соответствует разрешению Запись , а третья цифра соответствует разрешению 9.0005 Выполнить разрешение .
После того, как вы нажмете кнопку Изменить , вы заметите, что права доступа к этому файлу действительно были изменены.
Далее нам нужно создать новый файл, который будет нашим логом для полученных учетных данных. Итак, вернитесь к файлу login_post.php и скопируйте имя файла журнала.
Затем нажмите кнопку Новый файл , чтобы создать пустой файл, и дайте ему имя creds_log.txt .
После создания файла журнала нам нужно получить URL-адрес нашего веб-сайта, чтобы мы могли перенаправить фальшивую форму входа в наш PHP-скрипт. Для этого вернитесь на предыдущую вкладку и наведите указатель мыши на раздел, соответствующий вашему сайту. Затем нажмите Quick Options и выберите View Site .
Это приведет вас на страницу, подтверждающую, что ваш новый «пустой» веб-сайт успешно настроен.
Скопируйте URL вашего нового веб-сайта.
Затем вернитесь к файлу facebook_login.html с исходным кодом страницы входа и вставьте URL-адрес своего веб-сайта в значение поля action= .
Добавьте имя файла login_post.php , чтобы завершить URL-адрес нашего фишингового скрипта. Он должен выглядеть примерно так:
Не забудьте потом сохранить файл.
Последний шаг — загрузить нашу поддельную страницу входа в Facebook на веб-сайт, где она также может быть размещена бесплатно. Мы решили использовать совершенно другого поставщика, чтобы продемонстрировать, как вы можете принять меры предосторожности, чтобы ваша личность не была раскрыта вашим жертвам.
В нашем примере мы загрузили наш файл в HTML Pasta, чтобы его можно было разместить анонимно и бесплатно.
Вернитесь к HTML-файлу, скопируйте все его содержимое и вставьте его в текстовое поле на веб-сайте HTML Pasta.
Наконец, заполните CAPTCHA и нажмите кнопку Вставить ниже.
Вы увидите уведомление в верхней части страницы, сообщающее вам URL-адрес, по которому вы можете получить доступ к HTML-файлу, который вы только что загрузили. Щелкаем по нему правой кнопкой мыши и открываем в новой вкладке.
Вы заметите, что веб-сайт выглядит точно так же, как страница входа в Facebook; кроме, конечно, URL.
Как мы упоминали ранее, такого рода атаки должны осуществляться только С РАЗРЕШЕНИЯ вовлеченных сторон.
По этой причине я, автор этого сообщения, использовал только учетные данные моей личной учетной записи Facebook в поддельной форме входа.
Кроме того, в целях конфиденциальности и безопасности все веб-сайты, которые вы видите в этом руководстве, а также учетная запись 000webhost, которую я создал для нее, были предварительно удалены сразу после создания необходимых снимков экрана. Опять же, я НЕ хочу, чтобы вы попали в беду, используя это знание.
Все ясно, давайте покажем вам, что происходит, когда жертва пытается войти в систему, используя нашу поддельную страницу.
После входа в систему жертва будет регулярно перенаправляться на свою ленту Facebook. Однако похоже, что команда Facebook значительно улучшила свои усилия по обеспечению безопасности и предотвращению фишинга; поскольку теперь вместо этого жертва перенаправляется на страницу с предупреждением.
Это здорово, так как демонстрирует искреннюю заботу Facebook о повышении безопасности своей платформы. Однако, к сожалению, они ничего не могут сделать, поскольку учетные данные для входа уже сохранены в нашем файле журнала до перенаправления. Чтобы убедиться в этом, вернемся к 000webhost и обновим страницу.
Вы заметите, что файл стал немного больше из-за полученных им новых данных. Следующий снимок экрана должен дать вам честное сравнение для одного набора учетных данных, которые мы зафиксировали.
Чтобы подтвердить полученные учетные данные, дважды щелкните файл creds_log.txt . Как видите, и адрес электронной почты, и пароль были зарегистрированы.