Translated ['src/generic-methodologies-and-resources/phishing-methodolog

2025-10-10 18:36:50 +00:00 · 2025-07-24 14:14:51 +00:00 · 2025-07-24 14:14:51 +00:00 · 396fbc63ab
commit 396fbc63ab
parent e6a06c5b07
3 changed files with 131 additions and 30 deletions
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@ -32,6 +32,7 @@
  - [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md)
  - [Detecting Phishing](generic-methodologies-and-resources/phishing-methodology/detecting-phising.md)
  - [Discord Invite Hijacking](generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md)
+  - [Mobile Phishing Malicious Apps](generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md)
  - [Phishing Files & Documents](generic-methodologies-and-resources/phishing-methodology/phishing-documents.md)
 - [Basic Forensic Methodology](generic-methodologies-and-resources/basic-forensic-methodology/README.md)
  - [Baseline Monitoring](generic-methodologies-and-resources/basic-forensic-methodology/file-integrity-monitoring.md)
--- a/src/generic-methodologies-and-resources/phishing-methodology/README.md
+++ b/src/generic-methodologies-and-resources/phishing-methodology/README.md
@ -14,7 +14,7 @@
 3. **gophish** के साथ VPS को कॉन्फ़िगर करें
 3. अभियान तैयार करें
 1. **ईमेल टेम्पलेट** तैयार करें
-2. क्रेडेंशियल चुराने के लिए **वेब पेज** तैयार करें
+2. क्रेडेंशियल्स चुराने के लिए **वेब पेज** तैयार करें
 4. अभियान शुरू करें!

 ## समान डोमेन नाम उत्पन्न करें या एक विश्वसनीय डोमेन खरीदें
@ -47,7 +47,7 @@

 ### बिटफ्लिपिंग

-यहां **संभवना है कि कुछ बिट्स जो संग्रहीत हैं या संचार में हैं, विभिन्न कारकों के कारण स्वचालित रूप से पलट सकते हैं** जैसे सौर ज्वालाएं, ब्रह्मांडीय किरणें, या हार्डवेयर त्रुटियां।
+यहां **संभावना है कि कुछ बिट्स जो संग्रहीत हैं या संचार में हैं, विभिन्न कारकों के कारण स्वचालित रूप से पलट सकते हैं** जैसे सौर ज्वालाएं, ब्रह्मांडीय किरणें, या हार्डवेयर त्रुटियां।

 जब इस अवधारणा को **DNS अनुरोधों पर लागू किया जाता है**, तो यह संभव है कि **DNS सर्वर द्वारा प्राप्त डोमेन** वही न हो जो प्रारंभ में अनुरोध किया गया था।

@ -60,7 +60,7 @@
 ### एक विश्वसनीय डोमेन खरीदें

 आप [https://www.expireddomains.net/](https://www.expireddomains.net) पर एक समाप्त डोमेन खोज सकते हैं जिसका आप उपयोग कर सकते हैं।\
-यह सुनिश्चित करने के लिए कि आप जो समाप्त डोमेन खरीदने जा रहे हैं **उसका पहले से अच्छा SEO है**, आप देख सकते हैं कि यह कैसे वर्गीकृत है:
+यह सुनिश्चित करने के लिए कि आप जो समाप्त डोमेन खरीदने जा रहे हैं, **पहले से ही एक अच्छा SEO** है, आप देख सकते हैं कि यह कैसे वर्गीकृत है:

 - [http://www.fortiguard.com/webfilter](http://www.fortiguard.com/webfilter)
 - [https://urlfiltering.paloaltonetworks.com/query/](https://urlfiltering.paloaltonetworks.com/query/)
@ -74,7 +74,7 @@
 - [https://anymailfinder.com/](https://anymailfinder.com)

 **अधिक** मान्य ईमेल पते खोजने या **पहले से खोजे गए** पते की पुष्टि करने के लिए आप देख सकते हैं कि क्या आप शिकार के smtp सर्वरों को ब्रूट-फोर्स कर सकते हैं। [यहां ईमेल पते की पुष्टि/खोजने के तरीके के बारे में जानें](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\
-इसके अलावा, यह न भूलें कि यदि उपयोगकर्ता **अपने मेल तक पहुंचने के लिए किसी भी वेब पोर्टल का उपयोग करते हैं**, तो आप देख सकते हैं कि क्या यह **यूजरनेम ब्रूट फोर्स** के लिए संवेदनशील है, और यदि संभव हो तो इस कमजोरी का लाभ उठाएं।
+इसके अलावा, यह न भूलें कि यदि उपयोगकर्ता **अपने मेल तक पहुंचने के लिए कोई वेब पोर्टल** का उपयोग करते हैं, तो आप देख सकते हैं कि क्या यह **यूजरनेम ब्रूट फोर्स** के लिए संवेदनशील है, और यदि संभव हो तो इस कमजोरी का लाभ उठाएं।

 ## GoPhish कॉन्फ़िगर करना

@ -82,7 +82,7 @@

 आप इसे [https://github.com/gophish/gophish/releases/tag/v0.11.0](https://github.com/gophish/gophish/releases/tag/v0.11.0) से डाउनलोड कर सकते हैं

-इसे `/opt/gophish` के अंदर डाउनलोड और डिकंप्रेस करें और `/opt/gophish/gophish` चलाएं।\
+इसे `/opt/gophish` के अंदर डाउनलोड और अनज़िप करें और `/opt/gophish/gophish` चलाएं।\
 आपको आउटपुट में पोर्ट 3333 पर व्यवस्थापक उपयोगकर्ता के लिए एक पासवर्ड दिया जाएगा। इसलिए, उस पोर्ट तक पहुंचें और व्यवस्थापक पासवर्ड बदलने के लिए उन क्रेडेंशियल्स का उपयोग करें। आपको उस पोर्ट को स्थानीय पर टनल करने की आवश्यकता हो सकती है:
 ```bash
 ssh -L 3333:127.0.0.1:3333 <user>@<ip>
@ -124,7 +124,7 @@ cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt

 अंत में फ़ाइलों **`/etc/hostname`** और **`/etc/mailname`** को अपने डोमेन नाम में संशोधित करें और **अपने VPS को पुनः प्रारंभ करें।**

-अब, एक **DNS A रिकॉर्ड** बनाएं `mail.<domain>` का जो VPS के **ip address** की ओर इशारा करता है और एक **DNS MX** रिकॉर्ड जो `mail.<domain>` की ओर इशारा करता है।
+अब, एक **DNS A रिकॉर्ड** बनाएं `mail.<domain>` का जो **VPS के ip address** की ओर इशारा करता है और एक **DNS MX** रिकॉर्ड जो `mail.<domain>` की ओर इशारा करता है।

 अब चलिए एक ईमेल भेजने का परीक्षण करते हैं:
 ```bash
@ -221,7 +221,7 @@ service gophish stop
 ```
 ## मेल सर्वर और डोमेन कॉन्फ़िगर करना

-### प्रतीक्षा करें और वैध रहें
+### प्रतीक्षा करें और वैध बनें

 जितना पुराना एक डोमेन होगा, उतना ही कम संभावना है कि इसे स्पैम के रूप में पकड़ा जाएगा। इसलिए आपको फ़िशिंग मूल्यांकन से पहले जितना संभव हो सके (कम से कम 1 सप्ताह) प्रतीक्षा करनी चाहिए। इसके अलावा, यदि आप किसी प्रतिष्ठित क्षेत्र के बारे में एक पृष्ठ डालते हैं, तो प्राप्त प्रतिष्ठा बेहतर होगी।

@ -245,7 +245,7 @@ v=spf1 mx a ip4:ip.ip.ip.ip ?all
 ```
 ### Domain-based Message Authentication, Reporting & Conformance (DMARC) Record

-आपको **नए डोमेन के लिए DMARC रिकॉर्ड कॉन्फ़िगर करना होगा**। यदि आप नहीं जानते कि DMARC रिकॉर्ड क्या है तो [**इस पृष्ठ को पढ़ें**](../../network-services-pentesting/pentesting-smtp/index.html#dmarc)।
+आपको **नए डोमेन के लिए DMARC रिकॉर्ड कॉन्फ़िगर करना होगा**। यदि आप नहीं जानते कि DMARC रिकॉर्ड क्या है [**इस पृष्ठ को पढ़ें**](../../network-services-pentesting/pentesting-smtp/index.html#dmarc)।

 आपको एक नया DNS TXT रिकॉर्ड बनाना होगा जो होस्टनाम `_dmarc.<domain>` की ओर इंगित करता है जिसमें निम्नलिखित सामग्री हो:
 ```bash
@ -266,13 +266,13 @@ v=DMARC1; p=none

 ### अपने ईमेल कॉन्फ़िगरेशन स्कोर का परीक्षण करें

-आप [https://www.mail-tester.com/](https://www.mail-tester.com) का उपयोग करके ऐसा कर सकते हैं।\
-बस पृष्ठ पर जाएं और आपको दिए गए पते पर एक ईमेल भेजें:
+आप [https://www.mail-tester.com/](https://www.mail-tester.com) का उपयोग करके ऐसा कर सकते हैं\
+बस पृष्ठ पर जाएं और उस पते पर एक ईमेल भेजें जो वे आपको देते हैं:
 ```bash
 echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com
 ```
-आप अपने **ईमेल कॉन्फ़िगरेशन** की भी जांच कर सकते हैं `check-auth@verifier.port25.com` को ईमेल भेजकर और **प्रतिक्रिया पढ़कर** (इसके लिए आपको **पोर्ट 25** खोलने की आवश्यकता होगी और यदि आप ईमेल को रूट के रूप में भेजते हैं तो फ़ाइल _/var/mail/root_ में प्रतिक्रिया देखें)।\
-सुनिश्चित करें कि आप सभी परीक्षणों में पास करते हैं:
+आप अपने **ईमेल कॉन्फ़िगरेशन** की भी जांच कर सकते हैं `check-auth@verifier.port25.com` को ईमेल भेजकर और **प्रतिक्रिया पढ़कर** (इसके लिए आपको **पोर्ट** **25** खोलने की आवश्यकता होगी और यदि आप ईमेल को रूट के रूप में भेजते हैं तो फ़ाइल _/var/mail/root_ में प्रतिक्रिया देखें)।\
+जांचें कि आप सभी परीक्षणों में पास होते हैं:
 ```bash
 ==========================================================
 Summary of Results
@ -291,7 +291,7 @@ dkim=pass header.i=@example.com;
 ```
 ### Spamhouse ब्लैकलिस्ट से हटाना

-पृष्ठ [www.mail-tester.com](https://www.mail-tester.com) आपको बता सकता है कि क्या आपका डोमेन स्पैमहाउस द्वारा ब्लॉक किया गया है। आप अपने डोमेन/IP को हटाने के लिए अनुरोध कर सकते हैं: [https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/)
+पृष्ठ [www.mail-tester.com](https://www.mail-tester.com) आपको बता सकता है कि क्या आपका डोमेन spamhouse द्वारा ब्लॉक किया गया है। आप अपने डोमेन/IP को हटाने के लिए अनुरोध कर सकते हैं: [https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/)

 ### Microsoft ब्लैकलिस्ट से हटाना

@ -302,14 +302,14 @@ dkim=pass header.i=@example.com;
 ### भेजने की प्रोफ़ाइल

 - प्रेषक प्रोफ़ाइल को पहचानने के लिए कुछ **नाम सेट करें**
- तय करें कि आप फ़िशिंग ईमेल किस खाते से भेजने जा रहे हैं। सुझाव: _noreply, support, servicedesk, salesforce..._
+- तय करें कि आप किस खाते से फ़िशिंग ईमेल भेजने जा रहे हैं। सुझाव: _noreply, support, servicedesk, salesforce..._
 - आप उपयोगकर्ता नाम और पासवर्ड को खाली छोड़ सकते हैं, लेकिन सुनिश्चित करें कि Ignore Certificate Errors को चेक करें

-![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)
+![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)

 > [!TIP]
-> यह अनुशंसा की जाती है कि आप "**Send Test Email**" कार्यक्षमता का उपयोग करें यह परीक्षण करने के लिए कि सब कुछ काम कर रहा है।\
-> मैं अनुशंसा करूंगा कि **परीक्षण ईमेल 10 मिनट मेल पते पर भेजें** ताकि परीक्षण करते समय ब्लैकलिस्ट में न जाएं।
+> यह अनुशंसित है कि आप "**Send Test Email**" कार्यक्षमता का उपयोग करें यह परीक्षण करने के लिए कि सब कुछ काम कर रहा है।\
+> मैं अनुशंसा करूंगा कि **10 मिनट के मेल पते पर परीक्षण ईमेल भेजें** ताकि परीक्षण करते समय ब्लैकलिस्ट में न जाएं।

 ### ईमेल टेम्पलेट

@ -344,7 +344,7 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
 ![](<../../images/image (80).png>)

 > [!TIP]
-> ईमेल टेम्पलेट में **भेजने के लिए फ़ाइलें संलग्न करने** की भी अनुमति है। यदि आप कुछ विशेष रूप से तैयार की गई फ़ाइलों/दस्तावेज़ों का उपयोग करके NTLM चुनौतियों को चुराना चाहते हैं [इस पृष्ठ को पढ़ें](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md)।
+> ईमेल टेम्पलेट भी **भेजने के लिए फ़ाइलें संलग्न** करने की अनुमति देता है। यदि आप कुछ विशेष रूप से तैयार की गई फ़ाइलों/दस्तावेज़ों का उपयोग करके NTLM चुनौतियों को चुराना चाहते हैं [इस पृष्ठ को पढ़ें](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md)।

 ### लैंडिंग पृष्ठ

@ -360,7 +360,7 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
 > ध्यान दें कि यदि आपको HTML के लिए **कुछ स्थिर संसाधनों** का उपयोग करने की आवश्यकता है (शायद कुछ CSS और JS पृष्ठ) तो आप उन्हें _**/opt/gophish/static/endpoint**_ में सहेज सकते हैं और फिर _**/static/\<filename>**_ से उन तक पहुंच सकते हैं।

 > [!TIP]
-> रीडायरेक्शन के लिए आप **शिकार के वास्तविक मुख्य वेब पृष्ठ पर उपयोगकर्ताओं को रीडायरेक्ट कर सकते हैं**, या उदाहरण के लिए _/static/migration.html_ पर रीडायरेक्ट कर सकते हैं, कुछ **स्पिनिंग व्हील** (**[**https://loading.io/**](https://loading.io)**) 5 सेकंड के लिए और फिर संकेत दें कि प्रक्रिया सफल रही।**
+> रीडायरेक्शन के लिए आप **उपयोगकर्ताओं को पीड़ित के वैध मुख्य वेब पृष्ठ पर रीडायरेक्ट कर सकते हैं**, या उदाहरण के लिए _/static/migration.html_ पर रीडायरेक्ट कर सकते हैं, कुछ **स्पिनिंग व्हील** (**[**https://loading.io/**](https://loading.io)**) 5 सेकंड के लिए और फिर संकेत दें कि प्रक्रिया सफल रही।**

 ### उपयोगकर्ता और समूह

@ -373,7 +373,7 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY

 अंत में, एक अभियान बनाएं जिसमें एक नाम, ईमेल टेम्पलेट, लैंडिंग पृष्ठ, URL, भेजने की प्रोफ़ाइल और समूह का चयन करें। ध्यान दें कि URL वह लिंक होगा जो पीड़ितों को भेजा जाएगा।

-ध्यान दें कि **भेजने की प्रोफ़ाइल आपको परीक्षण ईमेल भेजने की अनुमति देती है ताकि यह देखा जा सके कि अंतिम फ़िशिंग ईमेल कैसा दिखेगा**:
+ध्यान दें कि **भेजने की प्रोफ़ाइल परीक्षण ईमेल भेजने की अनुमति देती है ताकि यह देखा जा सके कि अंतिम फ़िशिंग ईमेल कैसा दिखेगा**:

 ![](<../../images/image (192).png>)

@ -384,7 +384,7 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY

 ## वेबसाइट क्लोनिंग

-यदि किसी कारणवश आप वेबसाइट को क्लोन करना चाहते हैं तो निम्नलिखित पृष्ठ देखें:
+यदि किसी कारणवश आप वेबसाइट को क्लोन करना चाहते हैं तो निम्नलिखित पृष्ठ की जांच करें:

 {{#ref}}
 clone-a-website.md
@ -393,7 +393,7 @@ clone-a-website.md
 ## बैकडोर वाले दस्तावेज़ और फ़ाइलें

 कुछ फ़िशिंग आकलनों (मुख्य रूप से रेड टीमों के लिए) में आप **कुछ प्रकार के बैकडोर वाली फ़ाइलें भेजना** भी चाहेंगे (शायद एक C2 या शायद कुछ ऐसा जो प्रमाणीकरण को ट्रिगर करेगा)।\
-कुछ उदाहरणों के लिए निम्नलिखित पृष्ठ देखें:
+कुछ उदाहरणों के लिए निम्नलिखित पृष्ठ की जांच करें:

 {{#ref}}
 phishing-documents.md
@ -403,24 +403,24 @@ phishing-documents.md

 ### प्रॉक्सी MitM के माध्यम से

-पिछला हमला काफी चालाक है क्योंकि आप एक वास्तविक वेबसाइट का अनुकरण कर रहे हैं और उपयोगकर्ता द्वारा सेट की गई जानकारी एकत्र कर रहे हैं। दुर्भाग्यवश, यदि उपयोगकर्ता ने सही पासवर्ड नहीं डाला या यदि आप जिस एप्लिकेशन का अनुकरण कर रहे हैं वह 2FA के साथ कॉन्फ़िगर किया गया है, तो **यह जानकारी आपको धोखे में पड़े उपयोगकर्ता का अनुकरण करने की अनुमति नहीं देगी**।
+पिछला हमला काफी चालाक है क्योंकि आप एक असली वेबसाइट का अनुकरण कर रहे हैं और उपयोगकर्ता द्वारा सेट की गई जानकारी एकत्र कर रहे हैं। दुर्भाग्यवश, यदि उपयोगकर्ता ने सही पासवर्ड नहीं डाला या यदि आप जिस एप्लिकेशन का अनुकरण कर रहे हैं वह 2FA के साथ कॉन्फ़िगर किया गया है, तो **यह जानकारी आपको धोखे में पड़े उपयोगकर्ता का अनुकरण करने की अनुमति नहीं देगी**।

 यहां ऐसे उपकरण हैं जैसे [**evilginx2**](https://github.com/kgretzky/evilginx2)**,** [**CredSniper**](https://github.com/ustayready/CredSniper) और [**muraena**](https://github.com/muraenateam/muraena) उपयोगी हैं। यह उपकरण आपको एक MitM जैसे हमले को उत्पन्न करने की अनुमति देगा। मूल रूप से, हमले का काम करने का तरीका इस प्रकार है:

-1. आप वास्तविक वेबपृष्ठ के लॉगिन फ़ॉर्म का **अनुकरण** करते हैं।
-2. उपयोगकर्ता अपनी **क्रेडेंशियल्स** को आपके फ़र्ज़ी पृष्ठ पर **भेजता है** और उपकरण उन्हें वास्तविक वेबपृष्ठ पर भेजता है, **जांचता है कि क्या क्रेडेंशियल्स काम करते हैं**।
-3. यदि खाता **2FA** के साथ कॉन्फ़िगर किया गया है, तो MitM पृष्ठ इसके लिए पूछेगा और एक बार जब **उपयोगकर्ता इसे प्रस्तुत करता है**, तो उपकरण इसे वास्तविक वेब पृष्ठ पर भेज देगा।
+1. आप असली वेबपृष्ठ के लॉगिन फ़ॉर्म का **अनुकरण** करते हैं।
+2. उपयोगकर्ता अपनी **क्रेडेंशियल्स** को आपके फ़र्ज़ी पृष्ठ पर **भेजता है** और उपकरण उन्हें असली वेबपृष्ठ पर भेजता है, **जांचता है कि क्या क्रेडेंशियल्स काम करते हैं**।
+3. यदि खाता **2FA** के साथ कॉन्फ़िगर किया गया है, तो MitM पृष्ठ इसके लिए पूछेगा और एक बार जब **उपयोगकर्ता इसे प्रस्तुत करता है**, तो उपकरण इसे असली वेब पृष्ठ पर भेज देगा।
 4. एक बार जब उपयोगकर्ता प्रमाणित हो जाता है, तो आप (हमलावर के रूप में) **क्रेडेंशियल्स, 2FA, कुकी और आपके द्वारा किए गए हर इंटरैक्शन की कोई भी जानकारी** कैप्चर कर लेंगे जबकि उपकरण एक MitM प्रदर्शन कर रहा है।

 ### VNC के माध्यम से

-क्या होगा यदि आप **पीड़ित को एक दुर्भावनापूर्ण पृष्ठ पर भेजने के बजाय** उसे एक **VNC सत्र में भेजते हैं जिसमें वास्तविक वेब पृष्ठ से जुड़ा ब्राउज़र हो**? आप देख सकेंगे कि वह क्या करता है, पासवर्ड, उपयोग किए गए MFA, कुकीज़ चुराने में सक्षम होंगे...\
+क्या होगा यदि आप **पीड़ित को एक दुर्भावनापूर्ण पृष्ठ पर भेजने के बजाय** एक **VNC सत्र में भेजते हैं जिसमें असली वेब पृष्ठ से जुड़ा एक ब्राउज़र है**? आप देख सकेंगे कि वह क्या करता है, पासवर्ड, उपयोग किए गए MFA, कुकीज़ चुराने में सक्षम होंगे...\
 आप इसे [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC) के साथ कर सकते हैं।

 ## पहचानने की पहचान

 स्पष्ट रूप से, यह जानने के सबसे अच्छे तरीकों में से एक है कि क्या आपको पकड़ा गया है, **अपने डोमेन को ब्लैकलिस्ट में खोजना**। यदि यह सूचीबद्ध है, तो किसी न किसी तरह आपका डोमेन संदिग्ध के रूप में पहचाना गया।\
-यह जांचने का एक आसान तरीका है कि क्या आपका डोमेन किसी भी ब्लैकलिस्ट में दिखाई देता है, [https://malwareworld.com/](https://malwareworld.com) का उपयोग करना।
+यह जांचने का एक आसान तरीका है कि क्या आपका डोमेन किसी भी ब्लैकलिस्ट में दिखाई देता है [https://malwareworld.com/](https://malwareworld.com) का उपयोग करना।

 हालांकि, यह जानने के अन्य तरीके हैं कि क्या पीड़ित **संदिग्ध फ़िशिंग गतिविधियों की सक्रिय रूप से खोज कर रहा है** जैसा कि समझाया गया है:

@ -428,7 +428,7 @@ phishing-documents.md
 detecting-phising.md
 {{#endref}}

-आप **पीड़ित के डोमेन के बहुत समान नाम वाला एक डोमेन खरीद सकते हैं** **और/या एक प्रमाणपत्र उत्पन्न कर सकते हैं** एक **उपडोमेन** के लिए जो आपके द्वारा नियंत्रित डोमेन का **कीवर्ड** शामिल करता है। यदि **पीड़ित** उनके साथ किसी प्रकार की **DNS या HTTP इंटरैक्शन** करता है, तो आप जानेंगे कि **वह सक्रिय रूप से देख रहा है** संदिग्ध डोमेन और आपको बहुत सतर्क रहने की आवश्यकता होगी।
+आप **पीड़ित के डोमेन के बहुत समान नाम वाला एक डोमेन खरीद सकते हैं** **और/या एक प्रमाणपत्र उत्पन्न कर सकते हैं** एक **उपडोमेन** के लिए जो आपके द्वारा नियंत्रित एक डोमेन का **कीवर्ड** पीड़ित के डोमेन को **समाहित करता है**। यदि **पीड़ित** उनके साथ किसी प्रकार की **DNS या HTTP इंटरैक्शन** करता है, तो आप जानेंगे कि **वह सक्रिय रूप से** संदिग्ध डोमेन की खोज कर रहा है और आपको बहुत सतर्क रहने की आवश्यकता होगी।

 ### फ़िशिंग का मूल्यांकन करें

@ -436,12 +436,18 @@ detecting-phising.md

 ## क्लिपबोर्ड हाइजैकिंग / पेस्टजैकिंग

-हमलावर चुपचाप एक समझौता किए गए या टाइपस्क्वाटेड वेब पृष्ठ से पीड़ित के क्लिपबोर्ड में दुर्भावनापूर्ण कमांड कॉपी कर सकते हैं और फिर उपयोगकर्ता को उन्हें **Win + R**, **Win + X** या एक टर्मिनल विंडो के अंदर पेस्ट करने के लिए धोखा दे सकते हैं, बिना किसी डाउनलोड या अटैचमेंट के मनमाने कोड को निष्पादित करते हैं।
+हमलावर चुपचाप एक समझौता किए गए या टाइपस्क्वाटेड वेब पृष्ठ से पीड़ित के क्लिपबोर्ड में दुर्भावनापूर्ण कमांड कॉपी कर सकते हैं और फिर उपयोगकर्ता को उन्हें **Win + R**, **Win + X** या एक टर्मिनल विंडो के अंदर पेस्ट करने के लिए धोखा दे सकते हैं, बिना किसी डाउनलोड या अटैचमेंट के मनमाने कोड को निष्पादित कर सकते हैं।

 {{#ref}}
 clipboard-hijacking.md
 {{#endref}}

+## मोबाइल फ़िशिंग और दुर्भावनापूर्ण ऐप वितरण (Android और iOS)
+
+{{#ref}}
+mobile-phishing-malicious-apps.md
+{{#endref}}
+
 ## संदर्भ

 - [https://zeltser.com/domain-name-variations-in-phishing/](https://zeltser.com/domain-name-variations-in-phishing/)
--- a/src/generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md
+++ b/src/generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md
@ -0,0 +1,94 @@
+# मोबाइल फ़िशिंग और दुर्भावनापूर्ण ऐप वितरण (Android और iOS)
+
+{{#include ../../banners/hacktricks-training.md}}
+
+> [!INFO]
+> यह पृष्ठ उन तकनीकों को कवर करता है जो खतरे के अभिनेताओं द्वारा **दुर्भावनापूर्ण Android APKs** और **iOS मोबाइल-कॉन्फ़िगरेशन प्रोफाइल** को फ़िशिंग (SEO, सोशल इंजीनियरिंग, फर्जी स्टोर, डेटिंग ऐप्स, आदि) के माध्यम से वितरित करने के लिए उपयोग की जाती हैं।
+> सामग्री को Zimperium zLabs (2025) द्वारा उजागर किए गए SarangTrap अभियान और अन्य सार्वजनिक अनुसंधान से अनुकूलित किया गया है।
+
+## हमले का प्रवाह
+
+1. **SEO/फ़िशिंग अवसंरचना**
+* दर्जनों समान दिखने वाले डोमेन (डेटिंग, क्लाउड शेयर, कार सेवा…) को पंजीकृत करें।
+– Google में रैंक करने के लिए `<title>` तत्व में स्थानीय भाषा के कीवर्ड और इमोजी का उपयोग करें।
+– *दोनों* Android (`.apk`) और iOS इंस्टॉलेशन निर्देशों को एक ही लैंडिंग पृष्ठ पर होस्ट करें।
+2. **पहला चरण डाउनलोड**
+* Android: *unsigned* या "तीसरे पक्ष के स्टोर" APK के लिए सीधा लिंक।
+* iOS: `itms-services://` या दुर्भावनापूर्ण **mobileconfig** प्रोफाइल के लिए सामान्य HTTPS लिंक (नीचे देखें)।
+3. **पोस्ट-इंस्टॉल सोशल इंजीनियरिंग**
+* पहले रन पर ऐप **आमंत्रण / सत्यापन कोड** (विशेष पहुंच का भ्रम) के लिए पूछता है।
+* कोड **HTTP के माध्यम से POST** किया जाता है Command-and-Control (C2) पर।
+* C2 जवाब देता है `{"success":true}` ➜ मैलवेयर जारी रहता है।
+* सैंडबॉक्स / AV डायनामिक विश्लेषण जो कभी भी एक मान्य कोड प्रस्तुत नहीं करता है, **कोई दुर्भावनापूर्ण व्यवहार नहीं देखता** (निष्कासन)।
+4. **रनटाइम अनुमति दुरुपयोग** (Android)
+* खतरनाक अनुमतियाँ केवल **सकारात्मक C2 प्रतिक्रिया के बाद** मांगी जाती हैं:
+```xml
+<uses-permission android:name="android.permission.READ_CONTACTS"/>
+<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>
+<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
+<!-- पुराने निर्माणों ने भी SMS अनुमतियों के लिए पूछा -->
+```
+* हाल के संस्करण **`AndroidManifest.xml` से SMS के लिए `<uses-permission>` हटा देते हैं** लेकिन उस Java/Kotlin कोड पथ को छोड़ देते हैं जो परावर्तन के माध्यम से SMS पढ़ता है ⇒ स्थिर स्कोर को कम करता है जबकि उन उपकरणों पर अभी भी कार्यात्मक है जो `AppOps` दुरुपयोग या पुराने लक्ष्यों के माध्यम से अनुमति देते हैं।
+5. **फसाद UI और पृष्ठभूमि संग्रहण**
+* ऐप हानिरहित दृश्य (SMS व्यूअर, गैलरी पिकर) दिखाता है जो स्थानीय रूप से लागू होते हैं।
+* इस बीच यह एक्सफिल्ट्रेट करता है:
+- IMEI / IMSI, फोन नंबर
+- पूर्ण `ContactsContract` डंप (JSON एरे)
+- `/sdcard/DCIM` से JPEG/PNG को आकार कम करने के लिए [Luban](https://github.com/Curzibn/Luban) के साथ संकुचित किया गया
+- वैकल्पिक SMS सामग्री (`content://sms`)
+पेलोड्स **बैच-ज़िप** किए जाते हैं और `HTTP POST /upload.php` के माध्यम से भेजे जाते हैं।
+6. **iOS वितरण तकनीक**
+* एकल **mobile-configuration प्रोफाइल** `PayloadType=com.apple.sharedlicenses`, `com.apple.managedConfiguration` आदि का अनुरोध कर सकता है ताकि डिवाइस को "MDM"-जैसी पर्यवेक्षण में नामांकित किया जा सके।
+* सोशल-इंजीनियरिंग निर्देश:
+1. सेटिंग्स खोलें ➜ *प्रोफ़ाइल डाउनलोड किया गया*।
+2. *इंस्टॉल* पर तीन बार टैप करें (फ़िशिंग पृष्ठ पर स्क्रीनशॉट)।
+3. बिना हस्ताक्षर वाले प्रोफ़ाइल पर भरोसा करें ➜ हमलावर *संपर्क* और *फोटो* अधिकार प्राप्त करता है बिना ऐप स्टोर समीक्षा के।
+7. **नेटवर्क परत**
+* सामान्य HTTP, अक्सर पोर्ट 80 पर HOST हेडर के साथ जैसे `api.<phishingdomain>.com`।
+* `User-Agent: Dalvik/2.1.0 (Linux; U; Android 13; Pixel 6 Build/TQ3A.230805.001)` (कोई TLS → पहचानना आसान)।
+
+## रक्षा परीक्षण / रेड-टीम सुझाव
+
+* **डायनामिक विश्लेषण बायपास** – मैलवेयर मूल्यांकन के दौरान, निमंत्रण कोड चरण को Frida/Objection के साथ स्वचालित करें ताकि दुर्भावनापूर्ण शाखा तक पहुंच सकें।
+* **Manifest बनाम रनटाइम डिफ़** – `aapt dump permissions` की तुलना करें रनटाइम `PackageManager#getRequestedPermissions()` के साथ; खतरनाक अनुमतियों का गायब होना एक लाल झंडा है।
+* **नेटवर्क कैनरी** – कोड प्रविष्टि के बाद असंगत POST बर्स्ट का पता लगाने के लिए `iptables -p tcp --dport 80 -j NFQUEUE` कॉन्फ़िगर करें।
+* **mobileconfig निरीक्षण** – `security cms -D -i profile.mobileconfig` का उपयोग करें macOS पर `PayloadContent` को सूचीबद्ध करने और अत्यधिक अधिकारों को पहचानने के लिए।
+
+## ब्लू-टीम पहचान विचार
+
+* **सर्टिफिकेट पारदर्शिता / DNS विश्लेषण** अचानक कीवर्ड-समृद्ध डोमेन के बर्स्ट को पकड़ने के लिए।
+* **User-Agent और पथ Regex**: `(?i)POST\s+/(check|upload)\.php` Dalvik क्लाइंट से Google Play के बाहर।
+* **आमंत्रण-कोड टेलीमेट्री** – APK इंस्टॉल के तुरंत बाद 6–8 अंकों के संख्यात्मक कोड का POST स्टेजिंग का संकेत दे सकता है।
+* **MobileConfig साइनिंग** – बिना हस्ताक्षर वाले कॉन्फ़िगरेशन प्रोफाइल को MDM नीति के माध्यम से अवरुद्ध करें।
+
+## उपयोगी Frida स्निपेट: ऑटो-बायपास निमंत्रण कोड
+```python
+# frida -U -f com.badapp.android -l bypass.js --no-pause
+# Hook HttpURLConnection write to always return success
+Java.perform(function() {
+var URL = Java.use('java.net.URL');
+URL.openConnection.implementation = function() {
+var conn = this.openConnection();
+var HttpURLConnection = Java.use('java.net.HttpURLConnection');
+if (Java.cast(conn, HttpURLConnection)) {
+conn.getResponseCode.implementation = function(){ return 200; };
+conn.getInputStream.implementation = function(){
+return Java.use('java.io.ByteArrayInputStream').$new("{\"success\":true}".getBytes());
+};
+}
+return conn;
+};
+});
+```
+## संकेत (सामान्य)
+```
+/req/checkCode.php        # invite code validation
+/upload.php               # batched ZIP exfiltration
+LubanCompress 1.1.8       # "Luban" string inside classes.dex
+```
+## संदर्भ
+
+- [रोमांस का अंधेरा पक्ष: सरंगट्रैप जबरन वसूली अभियान](https://zimperium.com/blog/the-dark-side-of-romance-sarangtrap-extortion-campaign)
+- [लुबान – एंड्रॉइड इमेज संकुचन पुस्तकालय](https://github.com/Curzibn/Luban)
+
+{{#include ../../banners/hacktricks-training.md}}