Trixter - очень простой, но мощный инструмент для создания фишинга.
Имеет небольшое количество вариантов фишинга, но довольно оптимальные и на все случаи жизни.
Вариант с почтой, позволяет создать страницу простой регистрации, где необходимо указать почту, придумать пароль и повторить его.
Однако есть некоторые условия. Строка почты, должна соответствовать условиям формата почты. Так же и строками для пароля. То есть, пароли не должно быть простыми, как например 12345678, qwerty и так далее, имеет ограничения в длине(минимум 8 символов).
Поставленные условия могут показаться сложными для фишинга, но это играет только в пользу автора фишинга. По логике, если примитивный пароль не прокатывает, пользователь пытается указать пароль немного сложнее, который всегда прокатывает при подобных ограничениях. При вводе пароля, символы скрываются за звездочки, поэтому для пользователя будет затруднительно переписать в строку для повторного пароля. Чтобы не париться всем этим и не тратить зря время, вполне высокая вероятность того, что пользователь укажет свой любимый пароль. Это нам надо. Но может быть и так, что пароль никуда не подходит. Но ничего страшного, следующий этап нам поможет.
После того как пользователь пройдет первый этап регистрации, начнётся 2й, где необходимо подтвердить почту. Для этого ему должно прийти письмо с кодом. Классика.
После того как атакующий получил как минимум почту, пользователь будет в ожидании письма с кодом для подтверждения. Атакующий может использовать его для регистрации, авторизации или восстановления учётной записи где либо.
После первого этапа регистрации, пользователь ожидает код из смс.
При попытке поиска, страница отправляет точные координаты пользователя, атакующему, через телеграмм бот.
А ты только представь, человек так старательно наводит камеру на объект, жмет "поиск" в ожидании, что щас начнётся поиск информации по биометрии таргета. А тут включается веб-камера и фоткает его хмурое и старательное "не палиться" лицо.
Естественно атакующий получает эту фотку в телеграмм. Еще и в хорошем качестве.
Обязательно необходимо создать бота (если у вас его нет). Для этого необходимо открыть бот: t.me/botfather, создать нового бота, указать его токен в необходимую строку.
На следующей строке необходимо указать свой цифровой ID в telegram и запустить созданного бота.
Жмём enter и инструмент готов. Готово. Запустить можно командой
Имеет небольшое количество вариантов фишинга, но довольно оптимальные и на все случаи жизни.
Type
Trixter имеет 3 варианта фишинга. Для получения изображения с камеры, получения данных с GPS и такие данные как логин, пароль и код из смс или почты. Все данные отправляются в телеграмм бот, который настраивается при установке инструмента.1. Email
Вариант с почтой, позволяет создать страницу простой регистрации, где необходимо указать почту, придумать пароль и повторить его.
Однако есть некоторые условия. Строка почты, должна соответствовать условиям формата почты. Так же и строками для пароля. То есть, пароли не должно быть простыми, как например 12345678, qwerty и так далее, имеет ограничения в длине(минимум 8 символов).
Поставленные условия могут показаться сложными для фишинга, но это играет только в пользу автора фишинга. По логике, если примитивный пароль не прокатывает, пользователь пытается указать пароль немного сложнее, который всегда прокатывает при подобных ограничениях. При вводе пароля, символы скрываются за звездочки, поэтому для пользователя будет затруднительно переписать в строку для повторного пароля. Чтобы не париться всем этим и не тратить зря время, вполне высокая вероятность того, что пользователь укажет свой любимый пароль. Это нам надо. Но может быть и так, что пароль никуда не подходит. Но ничего страшного, следующий этап нам поможет.
После того как пользователь пройдет первый этап регистрации, начнётся 2й, где необходимо подтвердить почту. Для этого ему должно прийти письмо с кодом. Классика.
После того как атакующий получил как минимум почту, пользователь будет в ожидании письма с кодом для подтверждения. Атакующий может использовать его для регистрации, авторизации или восстановления учётной записи где либо.
2. Phone
С телефоном, абсолютно всё так же. Учётом того, что номера телефонов используют чаще для авторизации в более серьезных платформах (например телеграмм, вк и т.п), имеет простое и всем привычное использование, этот вариант вполне может повысить шансы.После первого этапа регистрации, пользователь ожидает код из смс.
3. Люди рядом[telegram]
Телега отключила эту функцию, да и пусть, нам это на руку. Этот вариант позволяет создать страницу, где предлагают найти пользователей в указанном месте или по юзернейму.При попытке поиска, страница отправляет точные координаты пользователя, атакующему, через телеграмм бот.
4. Взлом WiFi
Мечтать не вредно, хоть и существует такая возможность. Однако очередной рядовой не против полакомиться халявным интернетом соседа, особенно когда гигабайты уже на мели или просто хочет проверить что нибудь интересное. В данном случае, появляется страница, где перед атакой необходимо сканировать ближайшие сети. При попытке сканирования, атакующий получается точные координаты пользователя.5. Взломать домофон))
Чтожж... Надо будет доработать эту часть, пока и так пойдет. Страница аналогична с методом "люди рядом telegram" с немного измененной конструкцией. Суть такая же.6. Captcha.
Лайтовая капча, где необходимо подтвердить, что ты не робот. Но с сюрпризом. При подтверждении, что ты пользователь не робот, атакующий получается координаты.7. Майнинг
Какие только способы не предлагает на этот мир, чтобы мы майнили используя чей то продукт. Как например тапалка хомяка. Но тут уже чуть иначе. Когда пользователь начнет майнить несуществующие коины, атакующий получит его координаты.8. Captcha. Type camera
Этот вариант абсолютно соответствует предыдущему варианту с каптчой. Но вместо координат, атакующий получает фотографию с веб-камеры пользователя.9. Мамкин пробиватор Х3000
Поиск по биометрии? Интересная вещь. Направляешь камеру и жмешь найти. Система предлагает поиска не только по социальным сетям, но и по различным системам, например мвд или какой нибудь секретной службы США.А ты только представь, человек так старательно наводит камеру на объект, жмет "поиск" в ожидании, что щас начнётся поиск информации по биометрии таргета. А тут включается веб-камера и фоткает его хмурое и старательное "не палиться" лицо.
Естественно атакующий получает эту фотку в телеграмм. Еще и в хорошем качестве.
Установка
Тут всё очень просто.pkg update
pkg upgrade
pkg install nodejs git
cd trixter
Ждём установки расширений и следуем по инструкцииnode index.js
Обязательно необходимо создать бота (если у вас его нет). Для этого необходимо открыть бот: t.me/botfather, создать нового бота, указать его токен в необходимую строку.
На следующей строке необходимо указать свой цифровой ID в telegram и запустить созданного бота.
Жмём enter и инструмент готов. Готово. Запустить можно командой
Далее необходимо выбрать вариант фишинга, придумать ему название(a-Z). Стоит подождать ~10-15 секунд, чтобы запустился фишинг.node index.js
Последнее редактирование модератором: