Доброго времени суток,ищу слив статьи клик(не реклама) заголовок - "ChatGPT на рыбалке. Выманиваем пароль при помощи QR-кода и чат-бота"
Отблагодарю репой за слив в лс или под хайд
Отблагодарю репой за слив в лс или под хайд
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Ищу слив статьи с журнала "хакер"
- Автор темы r3dix0r
- Дата начала
Вот тут все можно найти - линка на тг.
линк выше на журналы, статьи сливают тут https://t.me/hacker_frei/
На канале пока нет этой статьи увы
Ловите. Читаемо?
Да все хорошо спасибо, но думаю надо распознать текст чтобы было удобнее его копировать из файла ну или залить как статью на xss?
Последнее редактирование:
ChatGPT сейчас разве что в котлеты не кладут. В этой статье мы расскажем, как в проекте по социальной инженерии с помощью форка библиотеки для Gophish рассылать QR-коды вместо обычных ссылок, чтобы вытащить сотрудников из защищенного рабочего окружения на личные девайсы. В качестве catchy-сценария рассылки мы рассмотрим «Telegram-бот IT-поддержки с ChatGPT» и на самом деле используем эту нейросеть для генерации кода бота, а также подключим интеграцию с API OpenAI для общения с пользователями.
Известно, что у сотрудников заказчика корпоративный Outlook, антиспам и Chrome как дефолтный браузер. А также повышенный уровень социальной ответственности и боевой готовности — как у ИБ‑подразделения, так и у рядовых служащих.
Из привычных инструментов будем использовать опенсорсный фреймворк Gophish. Попытаемся вытянуть пользователя по ссылке на внешний ресурс с доменом, похожим на корпоративный, и формой логина, а потом попросить ввести учетные данные.
Но как уйти от внешней ссылки на форму в письме и внезапной паранойи браузера?
Тут мы, кажется, убиваем сразу двух зайцев: и антиспам немного расслабится, так как у него нет понижающего score фактора с внешними ссылками в письме, и браузер на личном телефоне не склонен, в отличие от десктопной версии Chrome, так паниковать при виде нового домена.
Но как вставить QR в письмо? Это же тоже картинка, и корпоративный Outlook пожрет ее в сообщениях от внешнего отправителя так же, как картинку Gophish.
Тот же Яндекс рассылает QR-ссылки на чеки, сверстанные при помощи слоев (div).
Попробуем затащить в Gophish оба варианта и посмотрим, что будет лучше выглядеть в Outlook.
Для этого сначала принесем в библиотеку go-qrcode, которая часто используется для работы с QR в Go, два новых метода для генерации QR в Unicode и HTML.
Дальше в Gophish добавим генерацию QR-ссылки в переменную для почтового шаблона.
В ходе пусконаладочных испытаний мы выявили, что для Outlook корректней отображение в Unicode, а для веб‑клиентов (Gmail, Mail.ru, Yandex) и мобильных клиентов лучше выглядит HTML QR.
В рассылке можно поддержать сразу оба варианта через следующую конструкцию.
Мы получили рабочий способ пробросить QR со ссылкой в письмо. Смартфон без вопросов его читает и открывает нам веб‑форму авторизации Gophish без намеков на беспокойство. Ура!
Нам нужен правдоподобный предлог для пользователя, чтобы у него возникло желание сканировать QR-код со смартфона и там же ввести свои учетные данные.
Когда мы работали над проектом, из каждого утюга рассказывали о все новых нишах для применения ChatGPT. Почему бы не обыграть его и у нас? Так родился сценарий проверки сотрудников «Новый Telegram-бот IT-поддержки сотрудников с ChatGPT».
Письмо также содержало примеры работы с ботом (выбрали реальные ответы ChatGPT) и сообщение о подарках для первых зарегистрировавшихся.
И раз уж мы используем в сценарии ChatGPT, почему бы сам код с логикой для бота не написать именно ему? За пару часов, десяток запросов и уточнений мы получили вполне рабочий код бота.
Он принимает пользователя по ссылке из письма с RID-меткой и просит авторизоваться по ссылке на форму.
После перехода на веб‑форму авторизации сотруднику предлагалось ввести свою корпоративную почту и пароль.
После ввода реквизитов пользователь возвращается к боту. Собранные реквизиты сотрудников сохранялись на нашем сервере.
После авторизации (и только после) бот ловил callback от формы Gophish и оставался общаться с пользователем в заданной нами роли бота IT-поддержки организации.
API OpenAI корректно воспринял заданный стартовый ввод («Ты веселый бот IT-поддержки сотрудников банка Х, расположенного в Y») и дальше выдавал вполне релевантные ответы попавшимся на рассылку сотрудникам.
ВЫВОДЫ
Итак, мы научили Gophish формировать текстовые QR-ссылки с помощью Unicode-символов и элементов div, выяснили, что для корпоративного Outlook лучше всего подошли именно QR-коды в Unicode.
Далее, чтобы объяснить необходимость перейти со смартфона по QR-ссылке, мы выбрали сценарий «Telegram-бот IT-поддержки с ChatGPT» и с помощью этой же нейросети написали полнофункционального бота IT-поддержки, использовав API OpenAI. Задав боту минимальный стартовый контекст об организации, мы научили его давать релевантные ответы об адресах и телефонах офисов, а подняв боту уровень юмора, смогли добиться вирусного эффекта. Такой бот может привлечь даже сотрудников, не включенных в рассылку.
Наш клиент получил новый инструмент для обучения сотрудников бдительности, что должно помочь защитить их от набирающих популярность фишинговых атак в мессенджерах. Отдельный челлендж для клиента — разработать механизмы обнаружения сценариев, при которых сотрудники переключаются на личные устройства.
ЗАДАЧА
На входе задача — сделать проект по социальной инженерии в крупной финансовой организации с целью повышения осведомленности сотрудников в области информационной безопасности.Известно, что у сотрудников заказчика корпоративный Outlook, антиспам и Chrome как дефолтный браузер. А также повышенный уровень социальной ответственности и боевой готовности — как у ИБ‑подразделения, так и у рядовых служащих.
Из привычных инструментов будем использовать опенсорсный фреймворк Gophish. Попытаемся вытянуть пользователя по ссылке на внешний ресурс с доменом, похожим на корпоративный, и формой логина, а потом попросить ввести учетные данные.
ПРОБЛЕМЫ
Что может пойти не так с рассылкой:- Антиспам может срезать письмам баллы за некачественно настроенный почтовый домен (DKIM, Dmark, вот это всё), недавно зарегистрированный домен, подозрительные хедеры (привет, дефолтный X-Mailer: gophish) и обилие ссылок в письме (ссылка на форму авторизации с RID-меткой и ссылка на картинку в письме, по числу загрузок которой измеряется процент открытия писем).
- Chrome на рабочих хостах пользователей при переходе по ссылкам из писем на свежий домен может с большой вероятностью показать красную простыню, что явно уменьшит конверсию из перешедших по ссылкам в тех, кто ввел пароль.
Но как уйти от внешней ссылки на форму в письме и внезапной паранойи браузера?
РЕШЕНИЕ
Почему бы нам не увести пользователя из защищенного рабочего окружения на фишинговый ресурс, открытый на личном девайсе, предложив ему в письме QR-код?Тут мы, кажется, убиваем сразу двух зайцев: и антиспам немного расслабится, так как у него нет понижающего score фактора с внешними ссылками в письме, и браузер на личном телефоне не склонен, в отличие от десктопной версии Chrome, так паниковать при виде нового домена.
Но как вставить QR в письмо? Это же тоже картинка, и корпоративный Outlook пожрет ее в сообщениях от внешнего отправителя так же, как картинку Gophish.
Тот же Яндекс рассылает QR-ссылки на чеки, сверстанные при помощи слоев (div).
Попробуем затащить в Gophish оба варианта и посмотрим, что будет лучше выглядеть в Outlook.
Для этого сначала принесем в библиотеку go-qrcode, которая часто используется для работы с QR в Go, два новых метода для генерации QR в Unicode и HTML.
Дальше в Gophish добавим генерацию QR-ссылки в переменную для почтового шаблона.
В ходе пусконаладочных испытаний мы выявили, что для Outlook корректней отображение в Unicode, а для веб‑клиентов (Gmail, Mail.ru, Yandex) и мобильных клиентов лучше выглядит HTML QR.
В рассылке можно поддержать сразу оба варианта через следующую конструкцию.
Мы получили рабочий способ пробросить QR со ссылкой в письмо. Смартфон без вопросов его читает и открывает нам веб‑форму авторизации Gophish без намеков на беспокойство. Ура!
СЦЕНАРИЙ РАССЫЛКИ
Итак, у нас есть новый велосипед, куда бы нам на нем поехать?Нам нужен правдоподобный предлог для пользователя, чтобы у него возникло желание сканировать QR-код со смартфона и там же ввести свои учетные данные.
Когда мы работали над проектом, из каждого утюга рассказывали о все новых нишах для применения ChatGPT. Почему бы не обыграть его и у нас? Так родился сценарий проверки сотрудников «Новый Telegram-бот IT-поддержки сотрудников с ChatGPT».
Письмо также содержало примеры работы с ботом (выбрали реальные ответы ChatGPT) и сообщение о подарках для первых зарегистрировавшихся.
И раз уж мы используем в сценарии ChatGPT, почему бы сам код с логикой для бота не написать именно ему? За пару часов, десяток запросов и уточнений мы получили вполне рабочий код бота.
Он принимает пользователя по ссылке из письма с RID-меткой и просит авторизоваться по ссылке на форму.
После перехода на веб‑форму авторизации сотруднику предлагалось ввести свою корпоративную почту и пароль.
После ввода реквизитов пользователь возвращается к боту. Собранные реквизиты сотрудников сохранялись на нашем сервере.
После авторизации (и только после) бот ловил callback от формы Gophish и оставался общаться с пользователем в заданной нами роли бота IT-поддержки организации.
API OpenAI корректно воспринял заданный стартовый ввод («Ты веселый бот IT-поддержки сотрудников банка Х, расположенного в Y») и дальше выдавал вполне релевантные ответы попавшимся на рассылку сотрудникам.
ВЫВОДЫ
Итак, мы научили Gophish формировать текстовые QR-ссылки с помощью Unicode-символов и элементов div, выяснили, что для корпоративного Outlook лучше всего подошли именно QR-коды в Unicode.
Далее, чтобы объяснить необходимость перейти со смартфона по QR-ссылке, мы выбрали сценарий «Telegram-бот IT-поддержки с ChatGPT» и с помощью этой же нейросети написали полнофункционального бота IT-поддержки, использовав API OpenAI. Задав боту минимальный стартовый контекст об организации, мы научили его давать релевантные ответы об адресах и телефонах офисов, а подняв боту уровень юмора, смогли добиться вирусного эффекта. Такой бот может привлечь даже сотрудников, не включенных в рассылку.
Наш клиент получил новый инструмент для обучения сотрудников бдительности, что должно помочь защитить их от набирающих популярность фишинговых атак в мессенджерах. Отдельный челлендж для клиента — разработать механизмы обнаружения сценариев, при которых сотрудники переключаются на личные устройства.
Обычно здесь - https://t.me/hacker_frei
также выкладывают закрытые статьи.
также выкладывают закрытые статьи.
Что то они не особо горят желанием походу вести этот канал, статьи если и выкладывают то с огромным опозданием, многих статей вообще просто нет. А вот мемберов там даже больше чем на официальном канале "Хакера", причём намного больше. Кстати это ведь довольно хорошая бизнес идея открыть подобный канал но обновлять его постоянно как только вышла статья, так же и канал где выкладывают журналы - только спустя месяц выкладывают, можно сыграть на этом и выкладывать всё как только вышло и мемберы наберутся и в итоге с рекламы денег рубить. Может кто займётся...
Серьезно? Настолько нет денег? И даже нет варианта у Вектора вскладчину подписку взять за 300 деревянных?
UPD: А аргументировать свои дизы не бывает?
Последнее редактирование:
цену деньгам знаешь?
А зачем свою карту палить на таком сайте как "Хакер"?
Любой из складчины может перевязать акк в итоге на сайте чисто на себя и всех остальных кинуть, такое себе покупать в складчину... сидеть и вечно дрожжать что сейчас доступ может наебнуться...
Ну, я, когда брал у Вектора, то год нормально читал.
ChatGPT на рыбалке. Выманиваем пароль при помощи QR-кода и чат-бота
ChatGPT сейчас разве что в котлеты не кладут. В этой статье мы расскажем, как в проекте по социальной инженерии с помощью форка библиотеки для Gophish рассылать QR-коды вместо обычных ссылок, чтобы вытащить сотрудников из защищенного рабочего окружения на личные девайсы. В качестве...
telegra.ph