не совсем по теме, но все же, что скажете о книге "Социальная инженерия и этичный хакинг на практике"
стоит читать или это совсем не актуально
стоит читать или это совсем не актуально
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Консультации по Фишингу
- Автор темы Big Black Cat
- Дата начала
- Автор темы
- Добавить закладку
- #22
Это всегда будет актуальным. Конечно читай
Всегда всё упиралось в траффик разве кроме гугл адс и т.д нету больше альтернативе хорошего трафика?
На данный момент, это просто скорее просто один из самых доступных вариантов с нормальным процентом отстука и качества, я бы так сказал
Потому что можно и через спам запускаться, но сейчас очень много фильтров и всяких блоков + среди компаний стали популярными обучения по фишу на почты и т. п. Гугл адс в этом плане относительно проще, как по мне, а там дальше можно переводить на другие подтемы СИ, в том числе и траф на звонки создавать, чтобы лучше выхлоп обеспечить, к примеру
- Автор темы
- Добавить закладку
- #25
Всегда есть альтернативы. Посмотри откуда и как льют арбитражники на партнерки
как ты начал свой путь фишинга? и на каких площадках есть рега?
Да единственное смотрю льют с гугла и фб.
это у меня спрашиваешь?
Вот такой вопрос назрел, и я считаю он возникает у многих начинающих кодеров. Выбор направления, а именно в разработке. Как ты считаешь куда стоит лезть новичку(дарк кодеру)- веб(фишинг) или ПО(типо троянов и мальвари). Понятно что идти стоит куда душа лежит, но что бы все попробовать можно 30 раз умереть и родится.
И второй вопрос:
Если это веб: стек go/javascript пойдет или что то менять нужно+ sql
За ним третий: если это ПО, достаточно ли знать с++?
на сколько я понял логику: Фиш легко проливается относительного того стиллера и дешевле, но отстук больше все таки за вредоносным ПО
Заранее благодарю автора и других комментаторов за ответ
И второй вопрос:
Если это веб: стек go/javascript пойдет или что то менять нужно+ sql
За ним третий: если это ПО, достаточно ли знать с++?
на сколько я понял логику: Фиш легко проливается относительного того стиллера и дешевле, но отстук больше все таки за вредоносным ПО
Заранее благодарю автора и других комментаторов за ответ
great. dont forget to share your TG group.
thank you
Классические фиши шлют всё в телегу. Хочу сделать фишы на чем-то защищенном, что можете посоветовать вместо телеги, чтобы было норм API для ловли текста, ОТР и картинок?
Так чтобы ничего не терялось по дороге и отсутствовали блокировки, лимиты и т.п.
Возможно ли заменить телегу на tox, jabber и т.п. в плане фише-приемки?
Так чтобы ничего не терялось по дороге и отсутствовали блокировки, лимиты и т.п.
Возможно ли заменить телегу на tox, jabber и т.п. в плане фише-приемки?
- Автор темы
- Добавить закладку
- #32
есть
По вебу копай в голанг+джс + не будет лишним пхп, как ни крути (пусть первым в меня кинет камень тот, кто не без греха)
Добавлю сюда оказание консультаций по реверс прокси. Если у кого есть вопросы по изучению фишлетов evilginx, либо по созданию своих связок по типу nginx+golang, с радостью подскажу где могут быть подводные камни
В ближайшее время создам ТГ канал с офферами и полезными статьями по сабжу
куча тизерок и рекламных сетей, к примеру есть. Если правильно найти офер, можно построить хорошую, рабочую и долгоживущую связку, которая будет приносить на постоянной основе. Надо всегда избегать главной мысли, что все льют гугл, пойду лить гугл, закажу офер шопа электроники и буду счастлив. Поскольку чем очевиднее и популярнее связка, тем больше в ней подводных камней будет
По вредоносам особо не работал, не смогу дать сравнительную характеристику результатов. Выбор направления всегда должен зависеть от того, насколько потом хватит ума и сил это монетизировать. Если интересует коммерческая сторона, конечно.
По вебу копай в голанг+джс + не будет лишним пхп, как ни крути (пусть первым в меня кинет камень тот, кто не без греха)
Спасибо за апы темы, Энигма) Обучи по гугл трафу это всегда было на вес золота)
Добавлю сюда оказание консультаций по реверс прокси. Если у кого есть вопросы по изучению фишлетов evilginx, либо по созданию своих связок по типу nginx+golang, с радостью подскажу где могут быть подводные камни
В ближайшее время создам ТГ канал с офферами и полезными статьями по сабжу
Къде да разберете как да крадете карти и банкови регистрационни файлове онлайн.
- Автор темы
- Добавить закладку
- #34
про регистрационные файлы не особо понял
This is a mature industrial chain
Big Black Cat , меня как ни странно всегда интересовало где брать домен+хостинг под фиш сайт (скопировать+поправить - это как раз не проблема) чтобы не прикрыли через буквально 5 минут?
Допустим мне надо закопировать гугл докс авторизацию (цель - корпоративные юзеры) и фишинговым письмом (отдельная непростая задача - отправитель, на него смотрят в корпорате) как-то заманить жертву открыть "важный документ", там жертве будет предложено допустим авторизоваться (что у меня бы уже вызвало подозрение - ведь буквально минуту назад я допустим открывал другие документы и ничего не спрашивало) и далее уже можно редиректить на реальный гугл док какой-нибудь.
Но как видно тут дофига деталей где жертва может легко "заподозрить неладное". Видимо корпоративный фишинг действует ну разве что на "корпоративных менеджеров чистоты" (уборщиц тётя-Клав, условно) так как невооружённым взглядом обычно видно что отправитель левый у письма или потом что домен какой-то подозрительный. У нас безопасники регулярно шлют тестовый фишинг, который в моих глазах не вдерживает никакой критики - слишком явно видно что "это точно не Амазон", вот я и думаю они или "сачкуют" плохо работают либо фишинг это лотерея 1 из 1000 клюёт на это.
Ну либо у меня "психологическая проблема" и я (открывающий подозрительные письма через Ctrl+U и смотрящий RFC-заголовки и исходник даже иногда) всех других людей считаю автоматом такими же дофига прошареными как я сам, а на самом деле большинство "тыкает мышкой везде не думая"
Допустим мне надо закопировать гугл докс авторизацию (цель - корпоративные юзеры) и фишинговым письмом (отдельная непростая задача - отправитель, на него смотрят в корпорате) как-то заманить жертву открыть "важный документ", там жертве будет предложено допустим авторизоваться (что у меня бы уже вызвало подозрение - ведь буквально минуту назад я допустим открывал другие документы и ничего не спрашивало) и далее уже можно редиректить на реальный гугл док какой-нибудь.
Но как видно тут дофига деталей где жертва может легко "заподозрить неладное". Видимо корпоративный фишинг действует ну разве что на "корпоративных менеджеров чистоты" (уборщиц тётя-Клав, условно) так как невооружённым взглядом обычно видно что отправитель левый у письма или потом что домен какой-то подозрительный. У нас безопасники регулярно шлют тестовый фишинг, который в моих глазах не вдерживает никакой критики - слишком явно видно что "это точно не Амазон", вот я и думаю они или "сачкуют" плохо работают либо фишинг это лотерея 1 из 1000 клюёт на это.
Ну либо у меня "психологическая проблема" и я (открывающий подозрительные письма через Ctrl+U и смотрящий RFC-заголовки и исходник даже иногда) всех других людей считаю автоматом такими же дофига прошареными как я сам, а на самом деле большинство "тыкает мышкой везде не думая"
- Автор темы
- Добавить закладку
- #37
Тобой упомянутый последний пункт это 99% ответа. Большинство совершенно не думают и ничего не подозреваютBig Black Cat , меня как ни странно всегда интересовало где брать домен+хостинг под фиш сайт (скопировать+поправить - это как раз не проблема) чтобы не прикрыли через буквально 5 минут?
Допустим мне надо закопировать гугл докс авторизацию (цель - корпоративные юзеры) и фишинговым письмом (отдельная непростая задача - отправитель, на него смотрят в корпорате) как-то заманить жертву открыть "важный документ", там жертве будет предложено допустим авторизоваться (что у меня бы уже вызвало подозрение - ведь буквально минуту назад я допустим открывал другие документы и ничего не спрашивало) и далее уже можно редиректить на реальный гугл док какой-нибудь.
Но как видно тут дофига деталей где жертва может легко "заподозрить неладное". Видимо корпоративный фишинг действует ну разве что на "корпоративных менеджеров чистоты" (уборщиц тётя-Клав, условно) так как невооружённым взглядом обычно видно что отправитель левый у письма или потом что домен какой-то подозрительный. У нас безопасники регулярно шлют тестовый фишинг, который в моих глазах не вдерживает никакой критики - слишком явно видно что "это точно не Амазон", вот я и думаю они или "сачкуют" плохо работают либо фишинг это лотерея 1 из 1000 клюёт на это.
Ну либо у меня "психологическая проблема" и я (открывающий подозрительные письма через Ctrl+U и смотрящий RFC-заголовки и исходник даже иногда) всех других людей считаю автоматом такими же дофига прошареными как я сам, а на самом деле большинство "тыкает мышкой везде не думая"
А чтобы через 5 минут не прикрыли нужно как минимум чистить свой фиш. Это поможет от краулер ботов, но он юзер репортов не поможет. Можешь на форуме посмотреть тут абузоустойчивые сервисы, но и они не панацея. Тут только опытным путем
спасибо!
вот так живу-живу годиков уже за 40, себя дураком считаю и "недостаточно знаний", а по факту получается и я и народ на форуме по сравнению со среднестатистическим юзером чуть ли не Эйнштейны
как-то в голове даже не укладывается...у меня опыт фишинга первый и последний был году 2000-каком-то примерно, друган попросил его лбюимую женщину проверить для чего ему нужен был её VK, ну я сделал побыстрому "типа VK" (прям вручную сверстал) и он ей типа "глянь прикол какой" со своего мыла отправил ссылку, она пароль то свой и ввела, даже не поняла ничего, правда у истори хэппиенд - они уже много лет счастливы в браке, так что вот он "хак во благо". но я тогда это списал на "женщины-глупышки, чего с них взять, инернетами не умеют пользоваться", а явление то походу массовое...
я видал поинтереснее схемы - типа с одних IP (плюс ещё параметры типа юзерагента) сайт фишит, а с других - ну "сайт как чайт", как A/B тестирование в маркетинге, но там случайно, а тут специально. это я заморочился и менял юзерагента и IP разными (страны разные) заходил на сайт, не все так будут делать.
Даже прошареный юзер, может стать жертвой фишинга.Big Black Cat , меня как ни странно всегда интересовало где брать домен+хостинг под фиш сайт (скопировать+поправить - это как раз не проблема) чтобы не прикрыли через буквально 5 минут?
Допустим мне надо закопировать гугл докс авторизацию (цель - корпоративные юзеры) и фишинговым письмом (отдельная непростая задача - отправитель, на него смотрят в корпорате) как-то заманить жертву открыть "важный документ", там жертве будет предложено допустим авторизоваться (что у меня бы уже вызвало подозрение - ведь буквально минуту назад я допустим открывал другие документы и ничего не спрашивало) и далее уже можно редиректить на реальный гугл док какой-нибудь.
Но как видно тут дофига деталей где жертва может легко "заподозрить неладное". Видимо корпоративный фишинг действует ну разве что на "корпоративных менеджеров чистоты" (уборщиц тётя-Клав, условно) так как невооружённым взглядом обычно видно что отправитель левый у письма или потом что домен какой-то подозрительный. У нас безопасники регулярно шлют тестовый фишинг, который в моих глазах не вдерживает никакой критики - слишком явно видно что "это точно не Амазон", вот я и думаю они или "сачкуют" плохо работают либо фишинг это лотерея 1 из 1000 клюёт на это.
Ну либо у меня "психологическая проблема" и я (открывающий подозрительные письма через Ctrl+U и смотрящий RFC-заголовки и исходник даже иногда) всех других людей считаю автоматом такими же дофига прошареными как я сам, а на самом деле большинство "тыкает мышкой везде не думая"
От внешнего вида и легенды зависит - 90% успеха.
10% успеха - внешние факторы, на которые ты повлиять не можешь. ( жертва не выспалась, проснулась посередине ночи, выполняет заданное действие в торопях, стресс, с похмелья, и.т.д. )
По моему опыту % пробития увеличивается в выходные и праздничные дни, но фишинг действительно похож на лотерею.