• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья Social Attacker: автоматический фишинг в социальных сетях

1_sLSPEtO_cTUaXBHmuFGgdg.png



Злоумышленники продолжают обращатса к социальным сетям. Только за последние 2 года количество фишинговых атак в социальных сетях возросло в 10 раз. Как мы, как тестеры на проникновение и Red Teamers, можем быть в курсе новых тенденций и эффективно эмулировать методы атакующих.

Представляем Социального Атакующего ; открытая, многосайтовая автоматизированная фишинговая платформа для социальных сетей. Social Attacker позволяет автоматизировать фишинг пользователей социальных сетей в массовом масштабе, обрабатывая подключение и обмен сообщениями с целями.

Social Attacker в настоящее время поддерживает следующие платформы социальных сетей:

  • LinkedIn
  • facebook
  • щебет
  • В Контакте
Однако, с некоторыми незначительными изменениями, можно также отредактировать Social Mapper для запуска в любых внутренних частных социальных сетях, которые вы можете иметь в своих организациях.

Social Attacker в первую очередь предназначен для тех, кто хочет провести тестирование осведомленности в социальных сетях. Они будут использовать его для фишинга целевых профилей в социальных сетях. Вы можете выбрать свою кампанию и предлог, но вот несколько идей для начала:

  • Создайте подробный HTML-отчет, показывающий, как сотрудники вашей организации реагируют на случайную учетную запись, добавляя их и отправляя им ссылку для перехода на различные платформы социальных сетей.
  • «Друг» и подключайтесь к своим целям, чтобы вы могли направлять им ссылки на имплантаты или макродокументы. Последние статистические данные показывают, что пользователи социальных сетей более чем в два раза чаще нажимают на ссылки и открывают документы по сравнению с теми, которые доставляются по электронной почте.
  • Создавайте индивидуальные фишинговые кампании для каждого сайта социальной сети. Перенаправьте их на страницу сбора учетных данных с помощью официальной формы входа в систему или на сайт под вашим контролем, на котором размещен эксплойт или браузер Metasploits, автоматически запускаемый.
  • Обманывают пользователей в раскрытии их электронных писем и телефонных номеров с поддельными ваучерами и предложениями превращать фишки в фишинг, мошенничество или смех.
Социальный атакующий - это инструмент python3, который работает в 6 основных этапах, два из которых являются необязательными. Основной обзорный поток можно суммировать следующим образом:

  • [НЕОБЯЗАТЕЛЬНО] Настройка сервера журналов. На этом дополнительном этапе настраивается настраиваемый веб-сервер, включенный в Social Attacker, который обслуживает файлы или веб-страницы и создает журналы, которые можно направлять в Social Attacker для создания окончательного отчета, показывающего клики.
  • Синтаксический анализ. На этом этапе инструмент извлекает профили из CSV-файла в выходном формате Social Mapper .
  • Подключение: на этом этапе инструмент использует селен для настройки веб-браузера, входа в социальные сети и подключения к целям с помощью различных форм запроса о дружбе.
  • [ДОПОЛНИТЕЛЬНО] Очистка и создание пользовательских сообщений: на этом дополнительном этапе страница профиля целей очищается, собирает сообщения, твиты и понравившиеся действия, чтобы попытаться создать «сообщение о заинтересованности» для цели. Это приводит к предложению, к которому добавляется фишинговая ссылка, которая формирует пользовательский предлог для цели.
  • Фишинг: на этом этапе инструмент проверяет, был ли запрос на соединение успешным и был ли он принят целью. Если это произошло, то отправляет указанное фишинговое сообщение или сгенерированное пользователем целевое сообщение.
  • Отчетность: на этом заключительном этапе создаются отчеты CSV, показывающие текущее состояние и соответствующую информацию о целях фишинг-кампании. С ранее созданными журналами с веб-сервера, в которых записываются идентификаторы отслеживания, также можно создать полный HTML-отчет, показывающий, на каких пользователях щелкнули и когда, какое сообщение было отправлено, на IP-адрес, с которого они нажали, и на пользовательский агент их. браузер.
Итак, позвольте мне показать вам, как это работает на практике. Настроить сервер регистрации очень просто, просто выполните следующую команду. Вы можете заставить определенный файл всегда обслуживаться с помощью команды «- file», или изменить порт по умолчанию с 433 с помощью «- port». Также стоит отметить, что в папке, где находится sa_server.py, находятся инструкции о том, как создать бесплатный SSL-сертификат. Если он назван правильно, он автоматически используется.

1_MIQeQoh51WwuIOiriJKidQ.png



Далее мы сосредоточимся на запуске самого инструмента. Социальная атака может быть запущена по одному модулю одновременно с командами добавления, проверки, генерации и фишинга. В качестве альтернативы, все это можно запустить за один раз, используя модуль addphish, где вы предоставляете время ожидания, чтобы дать целям возможность принимать запросы.

Вы предоставляете фишинговое сообщение и ссылку, используя флаг '-m / - message', файл, полный целей в формате Social Mapper (-i), и указываете, на какие сайты социальных сетей нужно ориентироваться (-a, -fb, -li, - ТВт, -vk). Кроме того, в фишинговом сообщении вы можете ввести имена целей и пользовательский идентификатор отслеживания в URL-адрес фишинговой ссылки, чтобы вы могли записать, какие пользователи нажимают на ссылку.

1_brcRW3nNEyB0DV_Z-MOphQ.png


После того, как инструмент завершил работу, и мы подождали несколько часов или дней, чтобы дать пользователям возможность взаимодействовать, последний шаг - использовать файл файла social_attacker_server.log файла блогов и объединить его с результатами csv фишинга, чтобы создать HTML-отчет. Этот отчет показывает разбивку фишинговой кампании гораздо более полно, чем CSV. Вы можете быстро просмотреть информацию о проверке сообщений, которые были отправлены каждой цели, и на какой платформе, какие цели щелкнули по ссылке, IP-адрес, с которого был получен щелчок, время щелчка и пользовательский агент браузера кликеров.

1_VIguDXggDs9Qpe5m6keYXQ.png


1_vu38ybY8rFq2y-kL4LyCvQ.png



Все это означает, что вы можете запускать свои собственные фишинговые тесты в социальных сетях на своих сотрудников или от имени своих клиентов.

Я, однако, теперь закончу коротким отказом от ответственности. Этот инструмент, скорее всего, нарушает условия использования сайтов социальных сетей, а это означает, что используемые вами учетные записи могут быть заблокированы. Кроме того, в некоторых юрисдикциях и странах фишинг ваших сотрудников социальные сети могут быть нелегальными. Пожалуйста, проконсультируйтесь с юристами вашей компании, прежде чем приступать к такому типу тестирования, поскольку я не несу ответственности за ваши действия с этим инструментом с открытым исходным кодом.

Social Attacker стремится предоставить концепцию того, что возможно в области автоматизации фишинга в социальных сетях, и спровоцировать дискуссию о том, как мы используем социальные сети и средства защиты (или их отсутствие), которые предоставляют нам сайты.

Тем не менее, я надеюсь, что вы найдете инструмент полезным и будете использовать его новыми и инновационными способами. Вы можете найти больше информации о запуске инструмента на странице GitHub . Пожалуйста, сообщайте о любых найденных вами ошибках и не стесняйтесь добавлять некоторые запросы на новые функции, если у вас есть идеи по улучшению. И, конечно же, пишите мне в Твиттере @Jacob_Wilkin с любыми историями успеха, которые у вас есть, используя Social Attacker!

Источник:
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!