Создать сайт фишинговый: Фишинг вконтакте — как создать

новый уровень фишинга в Интернете

Взлом и проверка на уязвимости

SocialFish Script for everyone | Взлом с помощью ngrok

SocialFish – скрипт, который написан для создания фишинговых страниц. Очень легкий способ взлома страниц в социальных сетях. Скрипт написан на языке программирования Python и очень легко кастомизируется под любые нужды создания фишинговых страниц. Всё, что следует добавить, это пункт выбора в самом коде, а также страницу, которую вы хотите использовать. Сделать это можно очень легко, просто зайти на нужную страницу и скопировать её код, вставить его в предварительно созданный файл index.html.

Фишинг – техника компьютерного взлома, которая используется в Интернете. Для этого создается идентичная страница входа официального сайта и сохраняются логи полей входа, такие как логин и пароль.

Ngrok – защищенные интроспективные туннели с помощью инструмента разработки веб-хоста localhost и средства отладки. Он используется в скрипте SocialFish для того, чтобы вам не пришлось покупать хостинг и закидывать туда свой сайт. Следует понимать, что URL страницы будет выглядеть не лучшим образом, по этому придется подумать и использовать социальную инженерию. С учетом того, что очень малое количество людей слышали про ngrok – это будет не сложно.

Запуск SocialFish | Зависимости и возможности

Для корректной работы скрипта, вам потребуется установить следующие компоненты:

  • Python 3.x
  • pip3
  • wget from Python 3.x
  • huepy from Python 3.x
  • PHP
  • sudo

Следует заметить, что если вы используете Kali Linux, то достаточно будет запустить обновление и все зависимости будут автоматически установлены. SocialFish тестировался на следующих операционных системах:

  • Kali Linux – Rolling Edition
  • Linux Mint – 18.3 Sylvia
  • Ubuntu – 16.04.3 LTS
  • MacOS High Sierra

Хочется заметить, что если вы используете Windows 10, то вам не нужно устанавливать Kali Linux отдельно, так как вы можете установить Kali Linux на Windows 10 в пару кликов. Это не занимает много времени, а с учетом того, что графическая оболочка для работы скрипта не нужна, всё будет удобно и легко.

Для того, чтобы установить скрипт для фишинга, просто скопируйте следующую команду в терминал:

git clone https://github.com/UndeadSec/SocialFish.git

После того, как всё склонируется, выполните следующие команды для запуска:

cd SocialFish
sudo apt-get install python3-pip -y
sudo pip3 install -r requirements.txt
python3 SocialFish.py

Список доступных страниц перед вами, однако не забывайте, что это не все возможные варианты и вы можете легко добавить нужную вам страницу с помощью редактирования кода.

+ Facebook:

  • Traditional Facebook login page.

+ Google:

  • Traditional Google login page.

+ LinkedIn:

  • Traditional LinkedIn login page.

+ GitHub:

  • Traditional GitHub login page.

+ Stackoverflow:

  • Traditional Stackoverflow login page.

+ WordPress:

  • Similar WordPress login page.

+ Twitter:

  • Traditional Twitter login page.

+ Instagram:

  • Traditional Twitter login page.

+ Snapchat:

  • Traditional Snapchat login page.

+ VK:

  • Traditional VK login page.

+ Steam:

  • Traditional Steam login page.

Подписывайтесь на обновления сайта, а также наш Telegram.

Related Articles

Поддельный сайт (фишинг) — НБРБ. Единый портал финансовой грамотности



#безналичный расчет


#безопасность

Зная, как определить мошеннический сайт, вы сможете без опаски совершать денежные переводы и платежи в интернете.

Злоумышленники могут создать подделку сайта, очень-очень похожую внешне на официальный сайт, а его URL-адрес (символы, которые вводятся в адресную строку браузера) будет отличаться всего на одну букву или цифру. Мошенники надеются, что человек, ничего не подозревая, введет свои данные на таком сайте, а они получат их. Недаром «фишинг» в переводе с английского значит «рыбалка». Так рыбаки-мошенники ловят на свою удочку невнимательных и доверчивых пользователей.

 

Человек может изначально попасть на фишинговый сайт, являющийся копией оригинала. Но может быть и так, что преступник встраивает ссылку на свою страницу в подлинный сайт, и, кликая мышью на какой-то раздел (чаще всего платежный), человек оказывается на имитаторе этой страницы. При этом все остальные ссылки – настоящие. В обоих случаях пользователь оставляет на сайте свои данные и они становятся доступны мошенникам.

 

Для того чтобы заманить на поддельный сайт, мошенники используют социальные сети, смс или электронную почту. Зачастую фишинговые сайты оказываются в первых строках поисковой выдачи в интернете. Мошенники применяют инструменты веб-маркетинга, чтобы эффективно продвигать фишинговые сайты.

 

Итак, обращаем внимание на следующие моменты:

 

Внимательно проверяем веб-адрес сайта

 

Вы можете узнать, является ли сайт фишинговым, проверив домен в адресной строке и сравнив его с изначальным адресом домена. Как мы говорили, фишинговые сайты очень часто используют похожие домены для обмана пользователей. Например, ваш домен выглядит так: yourbank.by. Домен фишингового сайта может выглядеть так your.bank.by. или так yourbanc.by.

 

Проверьте, имеет ли сайт безопасное соединение

 

Адрес сайта, через который вы хотите провести оплату, должен начинаться с «https://» и иметь пиктограмму в виде закрытого замка зеленого цвета. Этот замочек означает, что информация, которую вы вводите, передается через безопасный канал связи или через защищенное соединение. Не делайте покупок в интернет-магазинах, которые не имеют этого замочка рядом с веб-адресом.

 

 

Пусть вас насторожит также, если сайт содержит грамматические или орфографические ошибки. Крупные компании имеют в штате или привлекают профессиональных дизайнеров, копирайтеров, редакторов и корректоров, которые строго следят за соблюдением правил оформления сайта. Насторожить должны неправильное название организации, обилие опечаток и ошибок, «поехавшая» верстка и др.

 

Фишинговые сайты обычно существуют недолго, их быстро вычисляют специалисты по борьбе с киберпреступностью. Но и за свое недолгое существование они могут нанести большой вред множеству людей. Поэтому стоит проверить, когда и на кого зарегистрирован сайт. Быстро получить всю информацию о домене, например, дату регистрации, контакты для связи с организацией, можно с помощью специальных программ в интернете.

 

Надо быть очень осторожными в любом случае, если запрашивается ваша личная информация, даже если вам приходят сообщения с адресов, которые могут показаться официальными.

 

 

бесплатных примеров фишинговых сайтов | CanIPhish

CanIPhish поддерживает постоянно развивающуюся библиотеку бесплатных фишинговых веб-сайтов, которые обновляются в соответствии с последними тенденциями. Не верьте нам на слово… Взгляните на некоторые из наших примеров веб-сайтов!

Цель фишинговых веб-сайтов

Фишинговые веб-сайты обычно имеют общий набор целей, они предназначены для кражи или захвата конфиденциальной информации от цели. Обычно это происходит в форме сбора учетных данных или кражи информации о кредитной карте.

Эти цели обычно достигаются путем объединения фишинговых веб-сайтов с фишинговыми электронными письмами. Фишинговые электронные письма используются в качестве начального механизма, чтобы обманным путем заставить пользователя перейти на фишинговый веб-сайт. Оказавшись на фишинговом веб-сайте, злоумышленник должен маскироваться под законный сервис, чтобы побудить цели предоставить свои конфиденциальные данные.

Вооружившись этой информацией, взгляните на бесплатные шаблоны фишинговых веб-сайтов, предлагаемые CanIPhish, и посмотрите, купитесь ли вы на фишинг! Ищете бесплатный генератор фишинговых ссылок? Создайте бесплатную учетную запись и посмотрите, какие уникальные способы мы генерируем и маскируем фишинговые ссылки!

Все фишинговые сайты
44

Вход в Office365

Вход через Google

Дропбокс Войти

Вход в LinkedIn

Вход в PayPal

Логин в фейсбук

Вход в КоммБанк

Согласен Войти

Войти

Говия Войти

Вход в JIRA

Вход в HSBC

Белл Канада Войти

Вход в FedEx

Капитал Один Логин

Веризон Войти

Общий вход

Войти

Увеличить Войти

Логин Нетфликс

Почта Канады Войти

Вход в Инстаграм

Qantas Войти

Убер Логин

Войти

Окта Войти

Вход на GitHub

Вход в Африканский банк

Вход в Office365 МИД

Слабый вход

Вход в СТЦ

Войти

Вход в систему

Вход в налоговую службу Канады

Ксеро Войти

1Пароль Войти

Вход в систему Bitwarden

Войти

Логин LastPass

Войти

Полоса Логин

Вход в Зендеск

Пустая веб-страница

Обучение пользователей

Вход в Office365

Вход через Google

Дропбокс Войти

Вход в PayPal

Логин в фейсбук

Вход в КоммБанк

Согласен Войти

Войти

Говия Войти

Вход в JIRA

Вход в HSBC

Белл Канада Войти

Вход в FedEx

Капитал Один Логин

Веризон Войти

Общий вход

Увеличить Войти

Логин Нетфликс

Почта Канады Войти

Вход в Инстаграм

Qantas Войти

Убер Логин

Войти

Окта Войти

Вход на GitHub

Вход в Африканский банк

Вход в Office365 МИД

Слабый вход

Вход в СТЦ

Войти

Вход в систему

Вход в налоговую службу Канады

Ксеро Войти

1Пароль Войти

Вход в систему Bitwarden

Войти

Логин LastPass

Войти

Полоса Логин

Вход в Зендеск

Пустая веб-страница

Обучение пользователей

Как создать фишинговый веб-сайт

Любопытно, как можно клонировать веб-сайты для имитации фишинговых атак?

Обучение созданию и размещению фишингового веб-сайта является важным компонентом любой имитации фишинговой кампании. Они используются практически во всех формах фишинга (например, фишинг электронной почты, фишинг SMS, вредоносная реклама и т. д.) и имеют решающее значение для успеха любой имитируемой фишинговой кампании. Почти каждый сервис, который мы используем, имеет интернет-компонент, включая социальные сети, финансовые услуги, платформы для совместной работы, и этот список можно продолжить. Если киберпреступник сможет скомпрометировать любой из них, все ваше присутствие в Интернете окажется под угрозой, особенно если вы не включили многофакторную аутентификацию (MFA) и повторно использовали пароли.

Несмотря на то, что фишинговые веб-сайты являются важнейшим компонентом успешной имитации фишинговых кампаний, не хватает информации о том, как клонировать веб-сайты и размещать собственные. В этом блоге мы расскажем, как создать фишинговый сайт. Если вам интересно узнать, как разместить устоявшуюся фишинговую инфраструктуру, см. наш блог, в котором описаны некоторые шаги, которые следует учитывать.

Поиск веб-сайта для клонирования

Возможно, это самый важный компонент создания фишингового веб-сайта. При выборе веб-сайта для клонирования вам необходимо выбрать тот, который используется вашей целью (целями). Это может быть глобальная служба, такая как Microsoft 365 или Gmail, которую использует большинство компаний по всему миру, или что-то более персонализированное, например диспетчер паролей, банк или другая служба, которую могут использовать цели.

Клонирование веб-сайта

Шаг 1. Найдите страницу входа. Перейдите на веб-сайт, который вы решили клонировать, и найдите страницу входа. В этом блоге мы сосредоточимся на клонировании диспетчера паролей.

Шаг 2. Просмотрите веб-страницу. Проверьте исходный код веб-страницы и убедитесь, что внешние изображения, функции CSS и JavaScript включают относительные пути или жестко закодированы. Например. внешние ссылки этого диспетчера паролей в основном жестко закодированы. Также проверьте, не выглядит ли источник веб-страницы пустым. Например. содержит ли он много HTML-элементов, которые вы ожидаете увидеть на загруженной странице? Если нет, то это может означать, что веб-страница динамически загружается с помощью различных функций JavaScript.

Шаг 3. Загрузите исходный код веб-страницы. В зависимости от того, загружается ли веб-страница статически или динамически, что определяется как часть шага 2, вам необходимо изменить свой подход к загрузке веб-страницы.

  • Если веб-страница загружается статически.

    Загрузите веб-страницу, щелкнув правой кнопкой мыши в любом месте страницы и выбрав «Сохранить как».

    Сохранить как «Веб-страница, полная» в предпочитаемой вами папке.

  • Если веб-страница загружается динамически.

    Скопируйте HTML-код веб-страницы в буфер обмена, щелкнув правой кнопкой мыши в любом месте веб-страницы и выбрав «Проверить».

    Под заголовком «Элементы» в инструментах разработчика браузера прокрутите вверх и щелкните правой кнопкой мыши объект HTML «». Выберите заголовок «Копировать», а затем «Копировать элемент 9».0003

    Откройте ваш любимый текстовый редактор или IDE и скопируйте HTML-содержимое на пустую страницу. Затем сохраните эту страницу как файл типа .html (например, Password-Manager-Login.html).

Шаг 4. Загрузите копию веб-страницы. Загрузите только что сохраненную копию страницы входа в браузер и проверьте, загружается ли страница. Если веб-страница не загружается или через несколько секунд выдает какое-либо сообщение об ошибке, это указывает на то, что может быть функция JavaScript, вызывающая сбой страницы. Это может быть метод, реализованный службой для предотвращения клонирования, но во многих случаях это просто непреднамеренный побочный эффект клонирования. В случае с этой страницей диспетчера паролей есть функция JavaScript, вызывающая сбой страницы через несколько секунд после открытия.

Шаг 5. Удалите все JavaScript! Начните с редактирования необработанного HTML-кода веб-страницы, чтобы удалить все ссылки и сценарии JavaScript. Постепенно удаляйте JavaScript и продолжайте обновлять страницу, чтобы убедиться, что страница загружается должным образом. Если удаление определенной функции JavaScript приводит к сбою загрузки страницы, отмените изменение и перейдите к следующей функции или сценарию. Причина, по которой мы удаляем JavaScript, заключается в том, что он может выполнять код, передающий информацию обратно на исходный веб-сайт. Это может включать в себя отслеживание таких действий, как клонирование веб-страниц, или другое отслеживание, которое мы не хотим выполнять (например, отслеживание Google Analytics и т.  д.). Вместо того, чтобы просматривать каждый скрипт и функцию построчно, проще всего просто удалить их все вместе.

Шаг 6. Убедитесь, что веб-страница загружается. После удаления необходимых функций JavaScript и подтверждения загрузки страницы проверьте, не загружаются ли какие-либо изображения, CSS или другие объекты. Все это указывает на то, что определенные объекты страницы могут иметь относительные пути к файлам в соответствующих элементах HTML, которые необходимо заменить. В случае с этим менеджером паролей не удалось загрузить панель в правой части страницы. При повторной проверке исходного веб-сайта это происходит потому, что правая панель загружается из HTML-элемента iFrame.

  • Если на веб-странице есть iFrame.

    HTML iFrame обычно загружается из внешнего источника. В процессе клонирования это обычно приводит к сбою элементов iFrame из-за проблем, связанных с общим доступом к ресурсам между источниками (CORS).

    Чтобы устранить подобную проблему, нам нужно перейти к источнику iFrame, а затем скопировать необработанный HTML-код с этой страницы и сохранить его как другую HTML-страницу, на которую мы затем будем ссылаться в этом источнике. В этом процессе нам нужно выполнить большую часть тех же шагов, которые мы выполняли ранее. Нам нужно проверить относительные ссылки, заменить их жестко заданными ссылками и убедиться, что страница загружается, как задумано.

Шаг 7. Замена ссылок на элементы HTML. После того, как страница загружается, как и предполагалось, с отображением всех изображений и стилей. Просмотрите все упомянутые файлы .CSS и изображений и убедитесь, что они загружены на ваш локальный рабочий стол. После загрузки загрузите эти образы в общедоступное облачное хранилище (например, Amazon S3, Azure Blob, службу CDN и т. д.), а затем обновите ссылки для них, чтобы они указывали на вашу копию этих файлов. Причина этого в том, что поставщики услуг, такие как 1Password, часто обновляют или удаляют изображения и файлы .CSS, что негативно влияет на наши размещенные фишинговые веб-сайты, если мы по-прежнему указываем на эти места для загрузки ресурса.

Шаг 8. Вставьте свои собственные функции захвата. Поскольку CanIPhish обеспечивает имитацию фишинга, нам необходимо отслеживать действия пользователей, такие как события загрузки страницы и активность на странице. Для этого мы вставляем функцию JavaScript, которая выполняется как при загрузке страницы, так и при вводе любого ввода в поля пароля или конфиденциальных данных. Обычно это лучше всего обрабатывать с помощью прослушивателя событий onkeydown. В случае с CanIPhish в тот момент, когда мы отслеживаем взаимодействие с полями конфиденциальных данных, мы немедленно перенаправляем пользователя на образовательный веб-сайт. Непосредственно перед этим перенаправлением мы направляем действия пользователя в API, используемый для целей отслеживания кампании.

Шаг 9. Замените гиперссылки! В качестве последнего шага загрузите веб-страницу и убедитесь, что все гиперссылки на законный веб-сайт заменены или удалены, чтобы предотвратить непреднамеренный выход цели с фишингового веб-сайта до того, как взаимодействие будет зафиксировано.

Шаг 10. Готово! Теперь ваш фишинговый сайт работает. Все, что вам нужно сделать сейчас, это выбрать хостинг-провайдера, и вы можете начать проводить симулированные фишинговые атаки.

Завершение

Научиться создавать фишинговые веб-сайты может оказаться непростой задачей. Одна из причин, по которой наши клиенты используют CanIPhish, заключается в том, что мы предоставляем более 30 размещенных фишинговых веб-сайтов, которые можно использовать в любое время.

Чтобы использовать платформу моделирования фишинга, предоставляемую CanIPhish, просто создайте бесплатную учетную запись и начните фишинг! Если у вас есть какие-либо вопросы, не стесняйтесь обращаться к команде CanIPhish.