Всем привет
Все из вас наверное знаю, что такое фишинг.
А некоторым возможно доводилось им пользоваться или быть жертвой.
Цели фишинга может варьироваться от попытки угнать чей то аккаунт, чтобы узнать какую либо приватную информацию, до нанесения вреда, какой-либо крупной компании. Например, получив учетную профиль какого либо работника компании, злоумышленник сможет уже быть частью компании на равных с сотрудником, который стал жертвой. А чем выше должность этого сотрудника, тем возможно хуже дела у компании.
Одним из основных фишек фишинга - это домен. Все мы ориентируемся по сайтам исходя от домена.
При фишинге - задача состоит не только в том, чтобы сделать страницу авторизации похожей как у социальной сети, но и позаботиться о домене, который привлекает внимание у жертвы. Если вы перейдёте на сайт examlesdw3f23f.ru и там будет форма авторизации например как у vk.com, тут и дураку будет понятно, что это фишинг для мамонта. К сожалению, мамонты ещё существуют, поэтому у такого варианта ещё есть шанс.
Другой случай, когда домен таков: vk-publ.ru
Это уже может внушить доверие, но это база и даже неопытному человеку будет понятно, что это фишинг, но всё вероятность чуть выше, чем у предыдущего.
А если сделаем так: vk-com0.ru или vk-com-0.ru
Теперь мы в названии используем доменную зону com, но вместо точки, черточка. Это выглядит ещё более убедительнее. На сегодня подобные варианты встречаются значительно часто.
Однако есть методы и интереснее.
Например vk.com-publ.ru
Тут мы используем поддомен, чтобы достичь такого же эффекта, как в случае оригинала (vk.com) и это больше похоже на ссылку, что ведет в какой нибудь паблик.
Для этого злоумышленнику придется купить домен, который начинается с доменной зоны. Например com-publ.ru.
Следовательно если добавить к нему поддомен например vk., мы получим vk.com-publ.ru.
Ещё больше до идеала можно довести за счет HTML тега
Если будем иметь и домен vk.com-publ.ru, то это даст предельную реалистичность, что может без проблем ввести в заблуждение даже того, кто начитался о фишинге.
Есть ещё такой вариант: vk.com.publ.ru
Т.е с 2йным поддоменом, но тут уже браузер сам спалит и выдаст алерт, да и выглядит менее симпатично.
Что касается более дедовских методов используя имя пользователя, то я думаю в какой то степени даже на сегодня может быть неплохо рабочим вариантом. Например:
При переходе по ссылке, у нас откроется сайт
Браузеры реагируют на подобное явление, а иногда нет. Например
Если рассматривать в плане того, как преподнести фишинг и некоторые работники компании имеют почты, где они ожидают важную информацию или любой очередной юзер, то даже если грамотно составить домен, в письме лучше использовать базовые html теги. Например тег "<a>". Он позволяет создавать гиперссылки. Пример:
А мы можем сделать так.
Тогда таргет получит ссылку
Немаловажным является этап сбора информации. Имея достаточно информации, будет известно, что может привлечь таргета и подтолкнуть его к тому, чтобы он попался на улов.
Например имея профиль в соц сетях таргета, возможно догадаться, что ему больше нравится. Например по аватарке, подпискам, лайкам, комментарии, чаты и т.д
А если профиль закрыт, иногда помогает вариант с кэшом поисковиков и не только по официальным страницам, но и по сайтам, которые чекают популярные соц сети (информация у них может быть старее или свежее, чем в кэше официальной страницы). В случае с Instagram(зврф), это так не работает, НО есть довольно интересная фича.
Показывать буду на примере этого аккаунта. Очень подходит.
Как видим закрытый профиль. Мы не можем проверить, какие там фото или видео, так же не можем проверить, на кого подписан и кто на неё подписан тоже. А... Нет.. можем)
Если открыть закрытый профиль, выпадает предложка. Как нам известно, предложка показывает то, что может быть нам интересно, а именно исходя от того, что, кого и т.п мы просматриваем. Следовательно, проверяем некоторые аккаунты из этого блока. Если профили открыты, смотрим подписки и подписчиков. Можно даже для разнообразия заходить с других аккаунтов, ждать обновлять и так далее. Результаты будут примерно такими.
Не буду показывать все скрины, т.к получится сплошная галерея и пару примеров хватает. И так мне удалось найти почти все её подписки и почти всех подписчиков(с открытым профилем). Получается есть обходной путь, чтобы раскрыть часть скрытой информации.
Исходя из этого нам доступны ещё 2-3 варианта, чтобы узнать ещё больше информации.
1. Раз найденные профили открыты, значит мы можем глянуть какие там есть фотография и среди них найти фото, того кого ищем. Тут 2 варианта. В лучшем случае, если нашу цель отметили, будет отлично. Если нет, но у нас есть другая фотография или мини версия с авы, попробовать найти по ним, наиболее похожего человека из публикаций других профилей.
2. Проверить, кто отмечал тех, что мы нашли. Среди них могут быть фотографии от нашей цели. Отметив пользователя с открытым профилем, цель особо не осознаёт, что она может быть доступна и для других, несмотря на приватность своего аккаунта.
3. Читать комментарии из тех профилей, которые мы нашли. В поисках комментариев от цели, в найденных профилях, мы можем получить историю его имени. Т.е. Если у него ник @psevdoanon.777, то где то в упоминаниях может быть например @pavel.dyrovsky
Негативные факторы, обычно оказывают большее влияние на человека(особенно на ж пол), чем та информация, которая окружает его 24/7.
В качестве примера если взять авто любителей.
Поэтому при создании фишинга, необязательно стараться клонировать страницу. Иногда достаточно и простой формой регистрации, чтобы получить достаточно информации для авторизации. Это происходит за счёт любимого пароля. В лучшем случае, если это будет в 2-3 этапа в одной форме.
1. придумать новый пароль и повторить пароль. [return]-> упс. ошибка. пароль слишком простой
2. пароль должен иметь минимум 8 символов(
3. ещё попытка - [return]-> упс. неизвестная ошибка. Попробуйте позже.
А так же рабочая форма авторизации. Вдруг подумает что у него уже есть аккаунт и попробует ввести уже имеющиеся в голове данные)
К примеру если взять автолюбителей. Я сам являюсь таковым, следовательно могу сказать, что достаточно многих может заинтересовать автомобиль в хорошем состоянии, недавним года выпуска и выгодной ценой. Естественно нужен и аргумент на такую цену. Например: срочно нужны деньги. Сложно отказываться от просмотра такого авто, даже если нет в планах купить её. Если таргет из подобного рода, фишинг с объявлением авто, будет хорошим вариантом. В качестве опоры можно взять авито, авто или придумать что то своё.
Самую корявую и простую в реализации фишинг, можно сделать просто скопируя код страницы, слегка отредачив по плану и уже с готовым модальным окном и с размытыми изображениями.
Добиться размытие изображений, можно с помощью атрибута style, для тега с изображением и
Например
А самым простым вариантом мониторить запросы, можно используя лог файл, а записывать данные можно с помощью файла .htaccess
Для более качественного варианта, придется попотеть, да и публикация растянется.
Преподнести его таргету можно различными вариантами, например обратившись за консультацией, публикацией в сообществе/чате, упомянув таргет или например устроив срач во время переписки, указывая в качестве аргумента или доказательства фишинговую страницу.
Это был лишь пример с автолюбителями, а такое возможно провернуть с кем угодно.
Каждого работника компании, возможно рассматривать как отдельную цель, а став жертвой фишинга, есть вероятность, что она может повлиять на безопасность остальных и привлечь более негативные последствия. А практика с пробными атаками, способна увеличить безопасность внутри компании и минимизировать возможные проблемы и утечки при реальной угрозе.
Все из вас наверное знаю, что такое фишинг.
А некоторым возможно доводилось им пользоваться или быть жертвой.
Цели фишинга может варьироваться от попытки угнать чей то аккаунт, чтобы узнать какую либо приватную информацию, до нанесения вреда, какой-либо крупной компании. Например, получив учетную профиль какого либо работника компании, злоумышленник сможет уже быть частью компании на равных с сотрудником, который стал жертвой. А чем выше должность этого сотрудника, тем возможно хуже дела у компании.
Одним из основных фишек фишинга - это домен. Все мы ориентируемся по сайтам исходя от домена.
При фишинге - задача состоит не только в том, чтобы сделать страницу авторизации похожей как у социальной сети, но и позаботиться о домене, который привлекает внимание у жертвы. Если вы перейдёте на сайт examlesdw3f23f.ru и там будет форма авторизации например как у vk.com, тут и дураку будет понятно, что это фишинг для мамонта. К сожалению, мамонты ещё существуют, поэтому у такого варианта ещё есть шанс.
Другой случай, когда домен таков: vk-publ.ru
Это уже может внушить доверие, но это база и даже неопытному человеку будет понятно, что это фишинг, но всё вероятность чуть выше, чем у предыдущего.
А если сделаем так: vk-com0.ru или vk-com-0.ru
Теперь мы в названии используем доменную зону com, но вместо точки, черточка. Это выглядит ещё более убедительнее. На сегодня подобные варианты встречаются значительно часто.
Однако есть методы и интереснее.
Например vk.com-publ.ru
Тут мы используем поддомен, чтобы достичь такого же эффекта, как в случае оригинала (vk.com) и это больше похоже на ссылку, что ведет в какой нибудь паблик.
Для этого злоумышленнику придется купить домен, который начинается с доменной зоны. Например com-publ.ru.
Следовательно если добавить к нему поддомен например vk., мы получим vk.com-publ.ru.
Ещё больше до идеала можно довести за счет HTML тега
title
. Если мы укажем туда vk.com, то на вкладке он и отобразится.Если будем иметь и домен vk.com-publ.ru, то это даст предельную реалистичность, что может без проблем ввести в заблуждение даже того, кто начитался о фишинге.
Есть ещё такой вариант: vk.com.publ.ru
Т.е с 2йным поддоменом, но тут уже браузер сам спалит и выдаст алерт, да и выглядит менее симпатично.
Что касается более дедовских методов используя имя пользователя, то я думаю в какой то степени даже на сегодня может быть неплохо рабочим вариантом. Например:
https://vk.com-@example.com
При переходе по ссылке, у нас откроется сайт
example.com
, а юзернейм vk.com-
просто исчезнет.Браузеры реагируют на подобное явление, а иногда нет. Например
Если рассматривать в плане того, как преподнести фишинг и некоторые работники компании имеют почты, где они ожидают важную информацию или любой очередной юзер, то даже если грамотно составить домен, в письме лучше использовать базовые html теги. Например тег "<a>". Он позволяет создавать гиперссылки. Пример:
<a href="https://vk.com">Вконтакте</a>
. В таком случае мы получим кликабельный текст, если нажать на него, нас перекинет на сайт vk.com. Если отправить просто ссылку, то она будет отображаться также, как и текст "Вконтакте" с гиперссылкой.А мы можем сделать так.
<a href="https://vk.com-publ.ru">https://vk.com</a>
Тогда таргет получит ссылку
https://vk.com
, который ведет на сайт злоумышленника vk.com-publ.ru
PHP:
$to = "target.mail@examle.com";
$subject = "Заголовок";
$message = "<center><h1>hello!</h1></center>";
$headers = "From: Examle<user1@examle.com>\r\nContent-type: text/html; charset=utf-8 \r\n";
mail ($to, $subject, $message, $headers);
Немаловажным является этап сбора информации. Имея достаточно информации, будет известно, что может привлечь таргета и подтолкнуть его к тому, чтобы он попался на улов.
- где проживает;
- распространенные имена в округе;
- пол;
- возраст;
- есть ли парень/девушка/муж/жена;
- друзья/подруги/знакомые и т.п;
- образ жизни и понятия;
- что по её/его мнению является ценностью;
- где работает/учится/обитает;
- чем увлекается и чего желает;
- и многое другое.
- то, что человек держит в тайне;
- держит в тайне от определенного человека;
- ошибки прошлого;
- стыд и т.д;
Например имея профиль в соц сетях таргета, возможно догадаться, что ему больше нравится. Например по аватарке, подпискам, лайкам, комментарии, чаты и т.д
А если профиль закрыт, иногда помогает вариант с кэшом поисковиков и не только по официальным страницам, но и по сайтам, которые чекают популярные соц сети (информация у них может быть старее или свежее, чем в кэше официальной страницы). В случае с Instagram(зврф), это так не работает, НО есть довольно интересная фича.
Показывать буду на примере этого аккаунта. Очень подходит.
Как видим закрытый профиль. Мы не можем проверить, какие там фото или видео, так же не можем проверить, на кого подписан и кто на неё подписан тоже. А... Нет.. можем)
Если открыть закрытый профиль, выпадает предложка. Как нам известно, предложка показывает то, что может быть нам интересно, а именно исходя от того, что, кого и т.п мы просматриваем. Следовательно, проверяем некоторые аккаунты из этого блока. Если профили открыты, смотрим подписки и подписчиков. Можно даже для разнообразия заходить с других аккаунтов, ждать обновлять и так далее. Результаты будут примерно такими.
Не буду показывать все скрины, т.к получится сплошная галерея и пару примеров хватает. И так мне удалось найти почти все её подписки и почти всех подписчиков(с открытым профилем). Получается есть обходной путь, чтобы раскрыть часть скрытой информации.
Исходя из этого нам доступны ещё 2-3 варианта, чтобы узнать ещё больше информации.
1. Раз найденные профили открыты, значит мы можем глянуть какие там есть фотография и среди них найти фото, того кого ищем. Тут 2 варианта. В лучшем случае, если нашу цель отметили, будет отлично. Если нет, но у нас есть другая фотография или мини версия с авы, попробовать найти по ним, наиболее похожего человека из публикаций других профилей.
2. Проверить, кто отмечал тех, что мы нашли. Среди них могут быть фотографии от нашей цели. Отметив пользователя с открытым профилем, цель особо не осознаёт, что она может быть доступна и для других, несмотря на приватность своего аккаунта.
3. Читать комментарии из тех профилей, которые мы нашли. В поисках комментариев от цели, в найденных профилях, мы можем получить историю его имени. Т.е. Если у него ник @psevdoanon.777, то где то в упоминаниях может быть например @pavel.dyrovsky
Негативные факторы, обычно оказывают большее влияние на человека(особенно на ж пол), чем та информация, которая окружает его 24/7.
В качестве примера если взять авто любителей.
Поэтому при создании фишинга, необязательно стараться клонировать страницу. Иногда достаточно и простой формой регистрации, чтобы получить достаточно информации для авторизации. Это происходит за счёт любимого пароля. В лучшем случае, если это будет в 2-3 этапа в одной форме.
1. придумать новый пароль и повторить пароль. [return]-> упс. ошибка. пароль слишком простой
2. пароль должен иметь минимум 8 символов(
[a-zA-Z0-9а-яА-Я]
). [return]-> упс. неизвестная ошибка. Попробуйте ещё.3. ещё попытка - [return]-> упс. неизвестная ошибка. Попробуйте позже.
А так же рабочая форма авторизации. Вдруг подумает что у него уже есть аккаунт и попробует ввести уже имеющиеся в голове данные)
К примеру если взять автолюбителей. Я сам являюсь таковым, следовательно могу сказать, что достаточно многих может заинтересовать автомобиль в хорошем состоянии, недавним года выпуска и выгодной ценой. Естественно нужен и аргумент на такую цену. Например: срочно нужны деньги. Сложно отказываться от просмотра такого авто, даже если нет в планах купить её. Если таргет из подобного рода, фишинг с объявлением авто, будет хорошим вариантом. В качестве опоры можно взять авито, авто или придумать что то своё.
Самую корявую и простую в реализации фишинг, можно сделать просто скопируя код страницы, слегка отредачив по плану и уже с готовым модальным окном и с размытыми изображениями.
Добиться размытие изображений, можно с помощью атрибута style, для тега с изображением и
filter: blur(20px);
Например
<div><!-- карусель --></div>
исправив в <div style="filter: blur(20px);"><!-- карусель --></div>
А самым простым вариантом мониторить запросы, можно используя лог файл, а записывать данные можно с помощью файла .htaccess
Код:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(GET|POST)$
RewriteRule ^(.*)$ /requests.log [L]
Для более качественного варианта, придется попотеть, да и публикация растянется.
Преподнести его таргету можно различными вариантами, например обратившись за консультацией, публикацией в сообществе/чате, упомянув таргет или например устроив срач во время переписки, указывая в качестве аргумента или доказательства фишинговую страницу.
Это был лишь пример с автолюбителями, а такое возможно провернуть с кем угодно.
Статья, которую писал давненько, с демонстрацией того, как минимальная информация может позволить угнать аккаунт: Правильная фишинговая атака на определенную личность. Которая вошла в топ 3 за октябрь 2020. Она доступна в Приватной зоне > Green Section
Каждого работника компании, возможно рассматривать как отдельную цель, а став жертвой фишинга, есть вероятность, что она может повлиять на безопасность остальных и привлечь более негативные последствия. А практика с пробными атаками, способна увеличить безопасность внутри компании и минимизировать возможные проблемы и утечки при реальной угрозе.
Вложения
Последнее редактирование: