Для фишинга, нет необходимости делать копию какого либо сайта или иного приложения для получения конкретных данных, особенно если можно поставить жертву перед фактом и обратить внимание на его/её невнимательность.
Одна из недопроблем которая мне не нравится - это домен для фишинга чего то определенного (социальной сети или какого нибудь веб приложения). Поэтому предпочитаю в зависимости от ситуации придумывать фейковые конторы, сервисы, которые на первый взгляд являются безобидными.
Для примера буду расчехлять один из кейсов.
Это мобильная версия сайта косметики. На самом деле этот магазин фактически существует, а вот сайт у них отсутствует. Точнее отсутствовал, теперь он есть и я его хозяин. Как мне рассказали, она очень любит косметику и у неё есть любимый магазин, где она всегда покупает там косметику.
Исходя из этих данных, было решение создать для её акцию с пробной косметикой. У такого варианта фишинга очень много преимуществ. Он практически не палится, хороший домен без всяких халтур с буквами и цифрами, привлекает целевую аудиторию.
Кейс был из Кыргызстана, поэтому были некоторые непонятки в процессе угона, но об этом позже.
Тут в целом ничего интересного, как и в любом сайте где необходимо сделать регистрацию. Но что если каждый сайт где необходимо сделать регистрацию на самом деле фишинг? Это уже паранойя, но иногда можно быть и так.
Регистрация делиться на несколько этапов.
1. Номер телефона, пароль и повтор пароля.
2. Повтор пароля очень важен, не для того, чтобы пользователь не забыл свой пароль и не для того, чтобы нам убедиться что он его запомнил, а для того, чтобы жертва ввела пароль, который ей легко запомнить. Обычно это его/её любимый пароль.
Чтобы нельзя было указать что то из серии qwerty123 или 123456, я создал лист подобных простых паролей, а так же стандартную проверку на сложность и минимальная длина пароля 6 символов.
Даже если соблюдать эти правила, появится ошибка о том, что пароль слишком простой, поэтому необходимо указать такой парень, который жертва сможет запомнить.
А она помнит свои любимые пароли.
Это повышает шанс на получения актуального пароля.
3. На этом не всё. Следующая ошибка, это ошибка о том, что такой пароль находится в утечках(что уже является правдой), поэтому просит ввести пользователя другой пароль.
Следовательно получаем 2й актуальный пароль жертвы и номер телефона.
4. И на этом тоже не всё. Далее жертву просят ввести код из sms.
Как я заметил... Многие, даже немного опытные пользователи, когда ожидают уведомление с кодом, кладут хрен на то, от кого это уведомление, главное что там есть этот чертов код, который они ждут.
В этот момент можно использовать номер телефона как для тг, так и для соц сетей, например для восстановления доступа.
В этом кейсе удалось не только получить ТГ аккаунт, но и найти и войти в почту и в Инстаграм жертвы. А в сумме из нескольких паролей, получилось комбинировать около 9 актуальных паролей, что и позволило захватить последующие аккаунты, восстановления доступа и обход 2фа через почту. А сложности с номером была моей проблемой и с кодом страны.
Вот так вот, простенький сайт косметики расширил возможности.
Этот нестандартный вариант фишинга применялся и до этого кейса. Например при атаке ewil tween/evil hostpot
Чтобы воспользоваться бесплатным wifi, необходимо быстро пройти регистрацию, где получал СМС код.
GitHub: https://github.com/nullsquirtle/VenomZeroEsp8266
Это не повод быть параноиком, но и не повод доверять даже знакомому ресурсу.
Одна из недопроблем которая мне не нравится - это домен для фишинга чего то определенного (социальной сети или какого нибудь веб приложения). Поэтому предпочитаю в зависимости от ситуации придумывать фейковые конторы, сервисы, которые на первый взгляд являются безобидными.
Для примера буду расчехлять один из кейсов.
Это мобильная версия сайта косметики. На самом деле этот магазин фактически существует, а вот сайт у них отсутствует. Точнее отсутствовал, теперь он есть и я его хозяин. Как мне рассказали, она очень любит косметику и у неё есть любимый магазин, где она всегда покупает там косметику.
Исходя из этих данных, было решение создать для её акцию с пробной косметикой. У такого варианта фишинга очень много преимуществ. Он практически не палится, хороший домен без всяких халтур с буквами и цифрами, привлекает целевую аудиторию.
Самое интересное начинается в процессе регистрации на этом сайте.
Кейс был из Кыргызстана, поэтому были некоторые непонятки в процессе угона, но об этом позже.
Тут в целом ничего интересного, как и в любом сайте где необходимо сделать регистрацию. Но что если каждый сайт где необходимо сделать регистрацию на самом деле фишинг? Это уже паранойя, но иногда можно быть и так.
Регистрация делиться на несколько этапов.
1. Номер телефона, пароль и повтор пароля.
2. Повтор пароля очень важен, не для того, чтобы пользователь не забыл свой пароль и не для того, чтобы нам убедиться что он его запомнил, а для того, чтобы жертва ввела пароль, который ей легко запомнить. Обычно это его/её любимый пароль.
Чтобы нельзя было указать что то из серии qwerty123 или 123456, я создал лист подобных простых паролей, а так же стандартную проверку на сложность и минимальная длина пароля 6 символов.
Даже если соблюдать эти правила, появится ошибка о том, что пароль слишком простой, поэтому необходимо указать такой парень, который жертва сможет запомнить.
А она помнит свои любимые пароли.
Это повышает шанс на получения актуального пароля.
3. На этом не всё. Следующая ошибка, это ошибка о том, что такой пароль находится в утечках(что уже является правдой), поэтому просит ввести пользователя другой пароль.
Следовательно получаем 2й актуальный пароль жертвы и номер телефона.
4. И на этом тоже не всё. Далее жертву просят ввести код из sms.
Как я заметил... Многие, даже немного опытные пользователи, когда ожидают уведомление с кодом, кладут хрен на то, от кого это уведомление, главное что там есть этот чертов код, который они ждут.
В этот момент можно использовать номер телефона как для тг, так и для соц сетей, например для восстановления доступа.
В этом кейсе удалось не только получить ТГ аккаунт, но и найти и войти в почту и в Инстаграм жертвы. А в сумме из нескольких паролей, получилось комбинировать около 9 актуальных паролей, что и позволило захватить последующие аккаунты, восстановления доступа и обход 2фа через почту. А сложности с номером была моей проблемой и с кодом страны.
Вот так вот, простенький сайт косметики расширил возможности.
Этот нестандартный вариант фишинга применялся и до этого кейса. Например при атаке ewil tween/evil hostpot
Чтобы воспользоваться бесплатным wifi, необходимо быстро пройти регистрацию, где получал СМС код.
GitHub: https://github.com/nullsquirtle/VenomZeroEsp8266
Это не повод быть параноиком, но и не повод доверять даже знакомому ресурсу.
Последнее редактирование:
