Translated ['src/generic-methodologies-and-resources/phishing-methodolog

src/SUMMARY.md

@@ -32,6 +32,7 @@
   - [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md)
   - [Detecting Phishing](generic-methodologies-and-resources/phishing-methodology/detecting-phising.md)
   - [Discord Invite Hijacking](generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md)
+  - [Homograph Attacks](generic-methodologies-and-resources/phishing-methodology/homograph-attacks.md)
   - [Mobile Phishing Malicious Apps](generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md)
   - [Phishing Files & Documents](generic-methodologies-and-resources/phishing-methodology/phishing-documents.md)
 - [Basic Forensic Methodology](generic-methodologies-and-resources/basic-forensic-methodology/README.md)

src/generic-methodologies-and-resources/phishing-methodology/README.md

@@ -22,9 +22,13 @@
 ### Техніки варіації доменних імен
 
 - **Ключове слово**: Доменне ім'я **містить** важливе **ключове слово** оригінального домену (наприклад, zelster.com-management.com).
-- **Гіпенований піддомен**: Змініть **крапку на дефіс** піддомену (наприклад, www-zelster.com).
+- **гіпеніований піддомен**: Змініть **крапку на дефіс** піддомену (наприклад, www-zelster.com).
 - **Новий TLD**: Той самий домен з використанням **нового TLD** (наприклад, zelster.org)
 - **Гомогліф**: Він **замінює** літеру в доменному імені на **літери, які виглядають подібно** (наприклад, zelfser.com).
+
+{{#ref}}
+homograph-attacks.md
+{{#endref}}
 - **Транспозиція:** Він **міняє місцями дві літери** в доменному імені (наприклад, zelsetr.com).
 - **Сингуларизація/Плюралізація**: Додає або видаляє “s” в кінці доменного імені (наприклад, zeltsers.com).
 - **Виключення**: Він **видаляє одну** з літер з доменного імені (наприклад, zelser.com).
@@ -51,9 +55,9 @@
 
 Коли цей концепт **застосовується до DNS-запитів**, можливо, що **домен, отриманий DNS-сервером**, не є тим самим доменом, який спочатку запитувався.
 
-Наприклад, одна зміна біта в домені "windows.com" може змінити його на "windnws.com."
+Наприклад, одне бітове модифікація в домені "windows.com" може змінити його на "windnws.com."
 
-Зловмисники можуть **використовувати це, реєструючи кілька доменів з битфліпом**, які схожі на домен жертви. Їх намір - перенаправити легітимних користувачів на свою інфраструктуру.
+Зловмисники можуть **використовувати це, реєструючи кілька доменів з битовими змінами**, які схожі на домен жертви. Їх намір - перенаправити легітимних користувачів на свою інфраструктуру.
 
 Для отримання додаткової інформації читайте [https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/)
 
@@ -74,7 +78,7 @@
 - [https://anymailfinder.com/](https://anymailfinder.com)
 
 Щоб **виявити більше** дійсних електронних адрес або **перевірити ті, які** ви вже виявили, ви можете перевірити, чи можете ви брутфорсити їх SMTP-сервери жертви. [Дізнайтеся, як перевірити/виявити електронну адресу тут](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\
-Крім того, не забувайте, що якщо користувачі використовують **будь-який веб-портал для доступу до своїх електронних листів**, ви можете перевірити, чи він вразливий до **брутфорсу імені користувача**, і експлуатувати вразливість, якщо це можливо.
+Більше того, не забувайте, що якщо користувачі використовують **будь-який веб-портал для доступу до своїх електронних листів**, ви можете перевірити, чи він вразливий до **брутфорсу імені користувача**, і експлуатувати вразливість, якщо це можливо.
 
 ## Налаштування GoPhish
 
@@ -83,7 +87,7 @@
 Ви можете завантажити його з [https://github.com/gophish/gophish/releases/tag/v0.11.0](https://github.com/gophish/gophish/releases/tag/v0.11.0)
 
 Завантажте та розпакуйте його в `/opt/gophish` і виконайте `/opt/gophish/gophish`\
-Вам буде надано пароль для адміністратора на порту 3333 виводу. Тому отримайте доступ до цього порту та використовуйте ці облікові дані, щоб змінити пароль адміністратора. Вам може знадобитися тунелювати цей порт на локальний:
+Вам буде надано пароль для адміністратора на порту 3333 виводу. Тому отримайте доступ до цього порту та використовуйте ці облікові дані, щоб змінити пароль адміністратора. Вам може знадобитися тунелювати цей порт до локального:
 ```bash
 ssh -L 3333:127.0.0.1:3333 <user>@<ip>
 ```
@@ -225,9 +229,9 @@ service gophish stop
 
 Чим старіший домен, тим менше ймовірно, що його сприймуть як спам. Тому вам слід чекати якомога довше (принаймні 1 тиждень) перед оцінкою фішингу. Більше того, якщо ви створите сторінку про репутаційний сектор, отримана репутація буде кращою.
 
-Зверніть увагу, що навіть якщо вам потрібно чекати тиждень, ви можете закінчити налаштування всього зараз.
+Зверніть увагу, що навіть якщо вам потрібно почекати тиждень, ви можете закінчити налаштування всього зараз.
 
-### Налаштування зворотного DNS (rDNS) запису
+### Налаштування запису зворотного DNS (rDNS)
 
 Встановіть запис rDNS (PTR), який перетворює IP-адресу VPS на доменне ім'я.
 
@@ -239,7 +243,7 @@ service gophish stop
 
 ![](<../../images/image (1037).png>)
 
-Це вміст, який потрібно встановити в TXT записі всередині домену:
+Це вміст, який потрібно встановити в TXT-записі всередині домену:
 ```bash
 v=spf1 mx a ip4:ip.ip.ip.ip ?all
 ```
@@ -264,7 +268,7 @@ v=DMARC1; p=none
 > v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB
 > ```
 
-### Test your email configuration score
+### Перевірте свій бал конфігурації електронної пошти
 
 Ви можете зробити це, використовуючи [https://www.mail-tester.com/](https://www.mail-tester.com)\
 Просто перейдіть на сторінку та надішліть електронний лист на адресу, яку вони вам нададуть:
@@ -305,7 +309,7 @@ dkim=pass header.i=@example.com;
 - Вирішіть, з якого облікового запису ви будете надсилати фішингові електронні листи. Пропозиції: _noreply, support, servicedesk, salesforce..._
 - Ви можете залишити ім'я користувача та пароль порожніми, але обов'язково перевірте "Ігнорувати помилки сертифіката"
 
-![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)
+![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)
 
 > [!TIP]
 > Рекомендується використовувати функцію "**Надіслати тестовий електронний лист**", щоб перевірити, чи все працює.\
@@ -339,7 +343,7 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
 
 - Відправте електронний лист на **неіснуючу адресу** та перевірте, чи є у відповіді якась підпис.
 - Шукайте **публічні електронні адреси** такі як info@ex.com або press@ex.com або public@ex.com і надішліть їм електронний лист, а потім чекайте на відповідь.
-- Спробуйте зв'язатися з **якою-небудь дійсною виявленою** електронною адресою і чекайте на відповідь.
+- Спробуйте зв'язатися з **якою-небудь дійсною виявленою** електронною адресою та чекайте на відповідь.
 
 ![](<../../images/image (80).png>)
 
@@ -356,11 +360,11 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
 ![](<../../images/image (826).png>)
 
 > [!TIP]
-> Зазвичай вам потрібно буде змінити HTML код сторінки та провести деякі тести локально (можливо, використовуючи якийсь Apache сервер) **поки вам не сподобаються результати.** Потім напишіть цей HTML код у вікні.\
+> Зазвичай вам потрібно буде змінити HTML код сторінки та провести деякі тести локально (можливо, використовуючи якийсь Apache сервер) **поки вам не сподобаються результати.** Потім напишіть цей HTML код у вікно.\
 > Зверніть увагу, що якщо вам потрібно **використовувати деякі статичні ресурси** для HTML (можливо, деякі CSS та JS сторінки), ви можете зберегти їх у _**/opt/gophish/static/endpoint**_ і потім отримати до них доступ з _**/static/\<filename>**_
 
 > [!TIP]
-> Для перенаправлення ви можете **перенаправити користувачів на легітимну основну веб-сторінку** жертви або перенаправити їх на _/static/migration.html_, наприклад, поставити **крутильне колесо** (**[**https://loading.io/**](https://loading.io)**) на 5 секунд, а потім вказати, що процес був успішним**.
+> Для перенаправлення ви можете **перенаправити користувачів на легітимну основну веб-сторінку** жертви або перенаправити їх на _/static/migration.html_, наприклад, поставити **крутильне колесо (**[**https://loading.io/**](https://loading.io)**) на 5 секунд, а потім вказати, що процес був успішним**.
 
 ### Користувачі та Групи
 
@@ -392,7 +396,7 @@ clone-a-website.md
 
 ## Документи та файли з бекдором
 
-У деяких фішингових оцінках (в основному для Red Teams) ви також захочете **надсилати файли, що містять якийсь бекдор** (можливо, C2 або просто щось, що викликає аутентифікацію).\
+У деяких фішингових оцінках (в основному для Red Teams) ви також захочете **надсилати файли, що містять якийсь вид бекдору** (можливо, C2 або просто щось, що викликає аутентифікацію).\
 Перегляньте наступну сторінку для деяких прикладів:
 
 {{#ref}}
@@ -410,7 +414,7 @@ phishing-documents.md
 1. Ви **підробляєте форму входу** реальної веб-сторінки.
 2. Користувач **надсилає** свої **облікові дані** на вашу підроблену сторінку, а інструмент надсилає їх на реальну веб-сторінку, **перевіряючи, чи працюють облікові дані**.
 3. Якщо обліковий запис налаштований на **2FA**, сторінка MitM запитає про це, і як тільки **користувач введе** його, інструмент надішле його на реальну веб-сторінку.
-4. Як тільки користувач аутентифікований, ви (як атакуючий) отримаєте **захоплені облікові дані, 2FA, куки та будь-яку інформацію** про кожну взаємодію, поки інструмент виконує MitM.
+4. Як тільки користувач аутентифікований, ви (як зловмисник) отримаєте **захоплені облікові дані, 2FA, куки та будь-яку інформацію** про кожну взаємодію, поки інструмент виконує MitM.
 
 ### Через VNC
 
@@ -436,7 +440,7 @@ detecting-phising.md
 
 ## Перехоплення буфера обміну / Pastejacking
 
-Атакуючі можуть безшумно копіювати шкідливі команди в буфер обміну жертви з компрометованої або неправильно написаної веб-сторінки, а потім обманом змусити користувача вставити їх у **Win + R**, **Win + X** або вікно терміналу, виконуючи довільний код без будь-якого завантаження або вкладення.
+Зловмисники можуть безшумно копіювати шкідливі команди в буфер обміну жертви з компрометованої або неправильно написаної веб-сторінки, а потім обманути користувача вставити їх у **Win + R**, **Win + X** або вікно терміналу, виконуючи довільний код без будь-якого завантаження або вкладення.
 
 {{#ref}}
 clipboard-hijacking.md

src/generic-methodologies-and-resources/phishing-methodology/homograph-attacks.md

@@ -0,0 +1,104 @@
+# Homograph / Homoglyph Attacks in Phishing
+
+{{#include ../../banners/hacktricks-training.md}}
+
+## Огляд
+
+Атака гомографів (також відома як атака гомогліфів) використовує той факт, що багато **кодів Unicode з нелатинських скриптів візуально ідентичні або надзвичайно схожі на ASCII-символи**. Замінюючи один або кілька латинських символів на їх візуально схожі аналоги, зловмисник може створити:
+
+* Імена відправників, теми або тіла повідомлень, які виглядають легітимно для людського ока, але обходять виявлення на основі ключових слів.
+* Доменні імена, піддомени або URL-адреси, які обманюють жертв, змушуючи їх вірити, що вони відвідують надійний сайт.
+
+Оскільки кожен гліф ідентифікується внутрішньо за його **кодом Unicode**, однієї заміни символу достатньо, щоб обійти наївні порівняння рядків (наприклад, `"Παypal.com"` проти `"Paypal.com"`).
+
+## Типовий робочий процес фішингу
+
+1. **Створити вміст повідомлення** – Замінити конкретні латинські літери в підробленому бренді / ключовому слові на візуально нерозрізнені символи з іншого скрипту (грецький, кирилиця, вірменський, черокі, тощо).
+2. **Зареєструвати підтримуючу інфраструктуру** – За бажанням зареєструвати домен гомогліфів і отримати сертифікат TLS (більшість ЦП не проводить перевірок візуальної схожості).
+3. **Відправити електронну пошту / SMS** – Повідомлення містить гомогліфи в одному або кількох з наступних місць:
+* Ім'я відправника (наприклад, `Ηеlрdеѕk`)
+* Тема (`Urgеnt Аctіon Rеquіrеd`)
+* Текст гіперпосилання або повністю кваліфіковане доменне ім'я
+4. **Ланцюг перенаправлень** – Жертва проходить через, здавалося б, безпечні веб-сайти або скорочувачі URL перед тим, як потрапити на шкідливий хост, який збирає облікові дані / доставляє шкідливе ПЗ.
+
+## Діапазони Unicode, які часто зловживають
+
+| Скрипт | Діапазон | Приклад гліфа | Схоже на |
+|--------|-------|---------------|------------|
+| Грецький  | U+0370-03FF | `Η` (U+0397) | Латинське `H` |
+| Грецький  | U+0370-03FF | `ρ` (U+03C1) | Латинське `p` |
+| Кирилиця | U+0400-04FF | `а` (U+0430) | Латинське `a` |
+| Кирилиця | U+0400-04FF | `е` (U+0435) | Латинське `e` |
+| Вірменський | U+0530-058F | `օ` (U+0585) | Латинське `o` |
+| Черокі | U+13A0-13FF | `Ꭲ` (U+13A2) | Латинське `T` |
+
+> Порада: Повні таблиці Unicode доступні на [unicode.org](https://home.unicode.org/).
+
+## Техніки виявлення
+
+### 1. Перевірка змішаних скриптів
+
+Фішингові електронні листи, спрямовані на англомовну організацію, рідко повинні змішувати символи з кількох скриптів. Простий, але ефективний евристичний метод полягає в тому, щоб:
+
+1. Перебрати кожен символ перевіряємого рядка.
+2. Відобразити код символу на його блок Unicode.
+3. Підняти тривогу, якщо присутні більше ніж один скрипт **або** якщо нелатинські скрипти з'являються там, де їх не очікують (ім'я відправника, домен, тема, URL тощо).
+
+Python proof-of-concept:
+```python
+import unicodedata as ud
+from collections import defaultdict
+
+SUSPECT_FIELDS = {
+"display_name": "Ηоmоgraph Illusion",     # example data
+"subject": "Finаnꮯiаl Տtatеmеnt",
+"url": "https://xn--messageconnecton-2kb.blob.core.windows.net"  # punycode
+}
+
+for field, value in SUSPECT_FIELDS.items():
+blocks = defaultdict(int)
+for ch in value:
+if ch.isascii():
+blocks['Latin'] += 1
+else:
+name = ud.name(ch, 'UNKNOWN')
+block = name.split(' ')[0]     # e.g., 'CYRILLIC'
+blocks[block] += 1
+if len(blocks) > 1:
+print(f"[!] Mixed scripts in {field}: {dict(blocks)} -> {value}")
+```
+### 2. Нормалізація Punycode (Домени)
+
+Міжнародні доменні імена (IDN) кодуються за допомогою **punycode** (`xn--`). Перетворення кожного імені хоста в punycode, а потім назад в Unicode дозволяє порівнювати з білою списком або виконувати перевірки на схожість (наприклад, відстань Левенштейна) **після** того, як рядок був нормалізований.
+```python
+import idna
+hostname = "Ρаypal.com"   # Greek Rho + Cyrillic a
+puny = idna.encode(hostname).decode()
+print(puny)  # xn--yl8hpyal.com
+```
+### 3. Гомогліфні словники / Алгоритми
+
+Tools such as **dnstwist** (`--homoglyph`) or **urlcrazy** can enumerate visually-similar domain permutations and are useful for proactive takedown / monitoring.
+
+## Запобігання та пом'якшення
+
+* Enforce strict DMARC/DKIM/SPF policies – prevent spoofing from unauthorised domains.
+* Implement the detection logic above in **Secure Email Gateways** and **SIEM/XSOAR** playbooks.
+* Flag or quarantine messages where display name domain ≠ sender domain.
+* Educate users: copy-paste suspicious text into a Unicode inspector, hover links, never trust URL shorteners.
+
+## Реальні приклади
+
+* Display name: `Сonfidеntiаl Ꭲiꮯkеt` (Cyrillic `С`, `е`, `а`; Cherokee `Ꭲ`; Latin small capital `ꮯ`).
+* Domain chain: `bestseoservices.com` ➜ municipal `/templates` directory ➜ `kig.skyvaulyt.ru` ➜ fake Microsoft login at `mlcorsftpsswddprotcct.approaches.it.com` protected by custom OTP CAPTCHA.
+* Spotify impersonation: `Sρօtifւ` sender with link hidden behind `redirects.ca`.
+
+These samples originate from Unit 42 research (July 2025) and illustrate how homograph abuse is combined with URL redirection and CAPTCHA evasion to bypass automated analysis.
+
+## Посилання
+
+- [The Homograph Illusion: Not Everything Is As It Seems](https://unit42.paloaltonetworks.com/homograph-attacks/)
+- [Unicode Character Database](https://home.unicode.org/)
+- [dnstwist – domain permutation engine](https://github.com/elceef/dnstwist)
+
+{{#include ../../banners/hacktricks-training.md}}