maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-methodologies-and-resources/phishing-methodolog

Browse Source
This commit is contained in:
Translator 2025-08-05 03:14:50 +00:00
parent da7ec14b95
commit 3ad368b013
1 changed files with 113 additions and 25 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

138
src/generic-methodologies-and-resources/phishing-methodology/README.md
View File

@ -6,7 +6,7 @@
1. Розвідка жертви
1. Виберіть **домен жертви**.
2. Виконайте базову веб-енумерацію **в пошуках порталів для входу**, які використовує жертва, і **вирішіть**, який з них ви будете **імітувати**.
2. Виконайте базову веб-інвентаризацію **в пошуках порталів для входу**, які використовує жертва, і **вирішіть**, який з них ви будете **імітувати**.
3. Використовуйте **OSINT** для **пошуку електронних адрес**.
2. Підготуйте середовище
1. **Купіть домен**, який ви будете використовувати для фішингової оцінки
@ -22,7 +22,7 @@
### Техніки варіації доменних імен
- **Ключове слово**: Доменне ім'я **містить** важливе **ключове слово** оригінального домену (наприклад, zelster.com-management.com).
- **гіпеніований піддомен**: Змініть **крапку на дефіс** піддомену (наприклад, www-zelster.com).
- **гіпеніфікований піддомен**: Змініть **крапку на дефіс** піддомену (наприклад, www-zelster.com).
- **Новий TLD**: Той самий домен з використанням **нового TLD** (наприклад, zelster.org)
- **Гомогліф**: Він **замінює** літеру в доменному імені на **літери, які виглядають подібно** (наприклад, zelfser.com).
@ -57,7 +57,7 @@ homograph-attacks.md
Наприклад, одне бітове модифікація в домені "windows.com" може змінити його на "windnws.com."
Зловмисники можуть **використовувати це, реєструючи кілька доменів з битовими змінами**, які схожі на домен жертви. Їх намір - перенаправити легітимних користувачів на свою інфраструктуру.
Зловмисники можуть **використовувати це, реєструючи кілька доменів з бітовими змінами**, які схожі на домен жертви. Їх намір - перенаправити легітимних користувачів на свою інфраструктуру.
Для отримання додаткової інформації читайте [https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/)
@ -77,8 +77,8 @@ homograph-attacks.md
- [https://hunter.io/](https://hunter.io)
- [https://anymailfinder.com/](https://anymailfinder.com)
Щоб **виявити більше** дійсних електронних адрес або **перевірити ті, які** ви вже виявили, ви можете перевірити, чи можете ви брутфорсити їх SMTP-сервери жертви. [Дізнайтеся, як перевірити/виявити електронну адресу тут](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\
Більше того, не забувайте, що якщо користувачі використовують **будь-який веб-портал для доступу до своїх електронних листів**, ви можете перевірити, чи він вразливий до **брутфорсу імені користувача**, і експлуатувати вразливість, якщо це можливо.
Щоб **виявити більше** дійсних електронних адрес або **перевірити ті, які** ви вже виявили, ви можете перевірити, чи можете ви брутфорсити їх smtp-сервери жертви. [Дізнайтеся, як перевірити/виявити електронну адресу тут](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\
Крім того, не забувайте, що якщо користувачі використовують **будь-який веб-портал для доступу до своїх електронних листів**, ви можете перевірити, чи він вразливий до **брутфорсу імен користувачів**, і експлуатувати вразливість, якщо це можливо.
## Налаштування GoPhish
@ -87,7 +87,7 @@ homograph-attacks.md
Ви можете завантажити його з [https://github.com/gophish/gophish/releases/tag/v0.11.0](https://github.com/gophish/gophish/releases/tag/v0.11.0)
Завантажте та розпакуйте його в `/opt/gophish` і виконайте `/opt/gophish/gophish`\
Вам буде надано пароль для адміністратора на порту 3333 виводу. Тому отримайте доступ до цього порту та використовуйте ці облікові дані, щоб змінити пароль адміністратора. Вам може знадобитися тунелювати цей порт до локального:
Вам буде надано пароль для адміністратора на порту 3333 виводу. Тому отримайте доступ до цього порту та використовуйте ці облікові дані, щоб змінити пароль адміністратора. Вам може знадобитися тунелювати цей порт на локальний:
```bash
ssh -L 3333:127.0.0.1:3333 <user>@<ip>
```
@ -231,7 +231,7 @@ service gophish stop
Зверніть увагу, що навіть якщо вам потрібно почекати тиждень, ви можете закінчити налаштування всього зараз.
### Налаштування запису зворотного DNS (rDNS)
### Налаштування зворотного DNS (rDNS) запису
Встановіть запис rDNS (PTR), який перетворює IP-адресу VPS на доменне ім'я.
@ -243,7 +243,7 @@ service gophish stop
![](<../../images/image (1037).png>)
Це вміст, який потрібно встановити в TXT-записі всередині домену:
Це вміст, який потрібно встановити в TXT записі всередині домену:
```bash
v=spf1 mx a ip4:ip.ip.ip.ip ?all
```
@ -275,7 +275,7 @@ v=DMARC1; p=none
```bash
echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com
```
Ви також можете **перевірити конфігурацію вашої електронної пошти**, надіславши електронний лист на `check-auth@verifier.port25.com` та **прочитавши відповідь** (для цього вам потрібно буде **відкрити** порт **25** і побачити відповідь у файлі _/var/mail/root_, якщо ви надішлете електронний лист як root).\
Ви також можете **перевірити свою конфігурацію електронної пошти**, надіславши електронний лист на `check-auth@verifier.port25.com` та **прочитавши відповідь** (для цього вам потрібно буде **відкрити** порт **25** і побачити відповідь у файлі _/var/mail/root_, якщо ви надішлете електронний лист як root).\
Перевірте, що ви пройшли всі тести:
```bash
==========================================================
@ -305,11 +305,11 @@ dkim=pass header.i=@example.com;
### Профіль відправника
- Встановіть **ім'я для ідентифікації** профілю відправника
- Встановіть деяке **ім'я для ідентифікації** профілю відправника
- Вирішіть, з якого облікового запису ви будете надсилати фішингові електронні листи. Пропозиції: _noreply, support, servicedesk, salesforce..._
- Ви можете залишити ім'я користувача та пароль порожніми, але обов'язково перевірте "Ігнорувати помилки сертифіката"
![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)
![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)
> [!TIP]
> Рекомендується використовувати функцію "**Надіслати тестовий електронний лист**", щоб перевірити, чи все працює.\
@ -317,7 +317,7 @@ dkim=pass header.i=@example.com;
### Шаблон електронного листа
- Встановіть **ім'я для ідентифікації** шаблону
- Встановіть деяке **ім'я для ідентифікації** шаблону
- Потім напишіть **тему** (нічого дивного, просто щось, що ви могли б очікувати прочитати в звичайному електронному листі)
- Переконайтеся, що ви відмітили "**Додати трекінгове зображення**"
- Напишіть **шаблон електронного листа** (ви можете використовувати змінні, як у наступному прикладі):
@ -348,23 +348,23 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
![](<../../images/image (80).png>)
> [!TIP]
> Шаблон електронного листа також дозволяє **додавати файли для відправки**. Якщо ви також хочете вкрасти NTLM виклики, використовуючи спеціально підготовлені файли/документи [прочитайте цю сторінку](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md).
> Шаблон електронного листа також дозволяє **додавати файли для відправки**. Якщо ви також хочете вкрасти NTLM виклики, використовуючи спеціально підготовлені файли/документи, [прочитайте цю сторінку](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md).
### Лендінг Пейдж
- Напишіть **ім'я**
- **Напишіть HTML код** веб-сторінки. Зверніть увагу, що ви можете **імпортувати** веб-сторінки.
- Позначте **Захопити надіслані дані** та **Захопити паролі**
- Відмітьте **Захопити надіслані дані** та **Захопити паролі**
- Встановіть **перенаправлення**
![](<../../images/image (826).png>)
> [!TIP]
> Зазвичай вам потрібно буде змінити HTML код сторінки та провести деякі тести локально (можливо, використовуючи якийсь Apache сервер) **поки вам не сподобаються результати.** Потім напишіть цей HTML код у вікно.\
> Зазвичай вам потрібно буде змінити HTML код сторінки та провести деякі тести локально (можливо, використовуючи якийсь Apache сервер) **доки вам не сподобаються результати.** Потім напишіть цей HTML код у вікно.\
> Зверніть увагу, що якщо вам потрібно **використовувати деякі статичні ресурси** для HTML (можливо, деякі CSS та JS сторінки), ви можете зберегти їх у _**/opt/gophish/static/endpoint**_ і потім отримати до них доступ з _**/static/\<filename>**_
> [!TIP]
> Для перенаправлення ви можете **перенаправити користувачів на легітимну основну веб-сторінку** жертви або перенаправити їх на _/static/migration.html_, наприклад, поставити **крутильне колесо (**[**https://loading.io/**](https://loading.io)**) на 5 секунд, а потім вказати, що процес був успішним**.
> Для перенаправлення ви можете **перенаправити користувачів на легітимну основну веб-сторінку** жертви або перенаправити їх на _/static/migration.html_, наприклад, поставити **крутильне колесо** ([**https://loading.io/**](https://loading.io)**) на 5 секунд, а потім вказати, що процес був успішним**.
### Користувачі та Групи
@ -396,7 +396,7 @@ clone-a-website.md
## Документи та файли з бекдором
У деяких фішингових оцінках (в основному для Red Teams) ви також захочете **надсилати файли, що містять якийсь вид бекдору** (можливо, C2 або просто щось, що викликає аутентифікацію).\
У деяких фішингових оцінках (в основному для Red Teams) ви також захочете **надіслати файли, що містять якийсь вид бекдору** (можливо, C2 або просто щось, що викликає аутентифікацію).\
Перегляньте наступну сторінку для деяких прикладів:
{{#ref}}
@ -407,18 +407,18 @@ phishing-documents.md
### Через Proxy MitM
Попередня атака досить хитра, оскільки ви підробляєте реальний веб-сайт і збираєте інформацію, введену користувачем. На жаль, якщо користувач не ввів правильний пароль або якщо програма, яку ви підробили, налаштована на 2FA, **ця інформація не дозволить вам видавати себе за обманутого користувача**.
Попередня атака досить хитра, оскільки ви підробляєте реальний веб-сайт і збираєте інформацію, введену користувачем. На жаль, якщо користувач не ввів правильний пароль або якщо програма, яку ви підробили, налаштована з 2FA, **ця інформація не дозволить вам видавати себе за обманутого користувача**.
Ось де корисні інструменти, такі як [**evilginx2**](https://github.com/kgretzky/evilginx2)**,** [**CredSniper**](https://github.com/ustayready/CredSniper) та [**muraena**](https://github.com/muraenateam/muraena). Цей інструмент дозволить вам згенерувати атаку типу MitM. В основному, атака працює наступним чином:
1. Ви **підробляєте форму входу** реальної веб-сторінки.
2. Користувач **надсилає** свої **облікові дані** на вашу підроблену сторінку, а інструмент надсилає їх на реальну веб-сторінку, **перевіряючи, чи працюють облікові дані**.
3. Якщо обліковий запис налаштований на **2FA**, сторінка MitM запитає про це, і як тільки **користувач введе** його, інструмент надішле його на реальну веб-сторінку.
3. Якщо обліковий запис налаштований з **2FA**, сторінка MitM запитає про це, і як тільки **користувач введе** його, інструмент надішле його на реальну веб-сторінку.
4. Як тільки користувач аутентифікований, ви (як зловмисник) отримаєте **захоплені облікові дані, 2FA, куки та будь-яку інформацію** про кожну взаємодію, поки інструмент виконує MitM.
### Через VNC
А що, якщо замість **відправлення жертви на шкідливу сторінку** з таким же виглядом, як у оригіналу, ви відправите його на **сесію VNC з браузером, підключеним до реальної веб-сторінки**? Ви зможете бачити, що він робить, вкрасти пароль, використане MFA, куки...\
Що, якщо замість **відправлення жертви на шкідливу сторінку** з таким же виглядом, як оригінальна, ви відправите його на **сесію VNC з браузером, підключеним до реальної веб-сторінки**? Ви зможете бачити, що він робить, вкрасти пароль, використовувану MFA, куки...\
Ви можете зробити це за допомогою [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC)
## Виявлення виявлення
@ -426,27 +426,114 @@ phishing-documents.md
Очевидно, один з найкращих способів дізнатися, чи вас викрили, це **шукати ваш домен у чорних списках**. Якщо він з'являється в списку, ваш домен був виявлений як підозрілий.\
Один простий спосіб перевірити, чи ваш домен з'являється в будь-якому чорному списку, це використовувати [https://malwareworld.com/](https://malwareworld.com)
Однак є й інші способи дізнатися, чи жертва **активно шукає підозрілу фішингову активність у мережі**, як пояснено в:
Однак є й інші способи дізнатися, чи жертва **активно шукає підозрілу фішингову активність у природі**, як пояснено в:
{{#ref}}
detecting-phising.md
{{#endref}}
Ви можете **придбати домен з дуже схожою назвою** на домен жертви **і/або згенерувати сертифікат** для **субдомену** домену, контрольованого вами, **який містить** **ключове слово** домену жертви. Якщо **жертва** виконає будь-який вид **DNS або HTTP взаємодії** з ними, ви дізнаєтеся, що **він активно шукає** підозрілі домени, і вам потрібно буде бути дуже обережним.
Ви можете **придбати домен з дуже схожим ім'ям** на домен жертви **і/або згенерувати сертифікат** для **піддомену** домену, контрольованого вами, **який містить** **ключове слово** домену жертви. Якщо **жертва** виконує будь-який вид **DNS або HTTP взаємодії** з ними, ви дізнаєтеся, що **він активно шукає** підозрілі домени, і вам потрібно буде бути дуже обережним.
### Оцінка фішингу
Використовуйте [**Phishious** ](https://github.com/Rices/Phishious), щоб оцінити, чи ваш електронний лист потрапить у папку спаму або буде заблокований чи успішним.
Використовуйте [**Phishious**](https://github.com/Rices/Phishious), щоб оцінити, чи ваш електронний лист потрапить у папку спаму або буде заблокований чи успішним.
## Високий ризик компрометації особистості (Скидання MFA служби підтримки)
Сучасні набори вторгнень все частіше обходять електронні приманки і **безпосередньо націлюються на робочий процес служби підтримки/відновлення особистості**, щоб обійти MFA. Атака повністю "живе за рахунок ресурсів": як тільки оператор має дійсні облікові дані, він переходить до вбудованих адміністративних інструментів шкідливе ПЗ не потрібно.
### Потік атаки
1. Розвідка жертви
* Збирайте особисті та корпоративні дані з LinkedIn, витоків даних, публічного GitHub тощо.
* Визначте особи з високою вартістю (керівники, IT, фінанси) та перераховуйте **точний процес служби підтримки** для скидання пароля/MFA.
2. Соціальна інженерія в реальному часі
* Телефонуйте, використовуйте Teams або чат служби підтримки, видаючи себе за ціль (часто з **підробленим номером телефону** або **клонованим голосом**).
* Надайте раніше зібрані PII для проходження перевірки на основі знань.
* Переконайте агента **скинути секрет MFA** або виконати **SIM-заміну** на зареєстрованому мобільному номері.
3. Негайні дії після доступу (≤60 хв у реальних випадках)
* Встановіть контроль через будь-який веб-портал SSO.
* Перераховуйте AD / AzureAD за допомогою вбудованих засобів (без скидання бінарних файлів):
```powershell
# список груп каталогу та привілейованих ролей
Get-ADGroup -Filter * -Properties Members | ?{$_.Members -match $env:USERNAME}
# AzureAD / Graph список ролей каталогу
Get-MgDirectoryRole | ft DisplayName,Id
# Перераховуйте пристрої, до яких обліковий запис може увійти
Get-MgUserRegisteredDevice -UserId <user@corp.local>
```
* Бокове переміщення з **WMI**, **PsExec** або легітимними **RMM** агентами, які вже мають білий список у середовищі.
### Виявлення та пом'якшення
* Розглядайте відновлення особистості служби підтримки як **привілейовану операцію** вимагайте підвищеної аутентифікації та схвалення менеджера.
* Впровадьте правила **Виявлення та реагування на загрози особистості (ITDR)** / **UEBA**, які сповіщають про:
* Змінений метод MFA + аутентифікація з нового пристрою/гео.
* Негайне підвищення того ж принципала (користувач-→-адміністратор).
* Записуйте дзвінки служби підтримки та забезпечте **перезвон на вже зареєстрований номер** перед будь-яким скиданням.
* Впровадьте **Just-In-Time (JIT) / Привілейований доступ**, щоб нові скинуті облікові записи **не** автоматично успадковували токени з високими привілеями.
---
## Масштабна дезінформація SEO отруєння та кампанії “ClickFix”
Комерційні групи компенсують витрати на високі операції масовими атаками, які перетворюють **пошукові системи та рекламні мережі на канал доставки**.
1. **SEO отруєння / малвертизація** просуває фальшивий результат, такий як `chromium-update[.]site`, на верхні пошукові оголошення.
2. Жертва завантажує невеликий **перший етап завантажувача** (часто JS/HTA/ISO). Приклади, які спостерігалися Unit 42:
* `RedLine stealer`
* `Lumma stealer`
* `Lampion Trojan`
3. Завантажувач ексфільтрує куки браузера + бази даних облікових даних, а потім завантажує **тихий завантажувач**, який вирішує *в реальному часі* чи розгорнути:
* RAT (наприклад, AsyncRAT, RustDesk)
* програму-вимагач / знищувач
* компонент постійності (ключ реєстру Run + заплановане завдання)
### Поради щодо зміцнення
* Блокуйте нові зареєстровані домени та впроваджуйте **Розширене DNS / URL Фільтрування** на *пошукових оголошеннях*, а також на електронній пошті.
* Обмежте установку програмного забезпечення до підписаних MSI / Store пакетів, забороніть виконання `HTA`, `ISO`, `VBS` за політикою.
* Моніторте дочірні процеси браузерів, які відкривають установники:
```yaml
- parent_image: /Program Files/Google/Chrome/*
and child_image: *\\*.exe
```
* Полюйте за LOLBins, які часто зловживають першими етапами завантажувачів (наприклад, `regsvr32`, `curl`, `mshta`).
---
## Операції з фішингом, посилені ШІ
Зловмисники тепер поєднують **LLM та API клонування голосу** для повністю персоналізованих приманок та взаємодії в реальному часі.
| Шар | Приклад використання зловмисником |
|-------|-----------------------------|
|Автоматизація|Генерувати та надсилати >100 тис. електронних листів / SMS з випадковими формулюваннями та трекінговими посиланнями.|
|Генеративний ШІ|Виробляти *одиничні* електронні листи, що посилаються на публічні M&A, внутрішні жарти з соціальних мереж; глибокий фейк голосу CEO у шахрайстві з дзвінками.|
|Агентний ШІ|Автономно реєструвати домени, збирати відкриту інформацію, створювати електронні листи наступного етапу, коли жертва натискає, але не надсилає облікові дані.|
**Захист:**
• Додайте **динамічні банери**, які підкреслюють повідомлення, надіслані з ненадійної автоматизації (через аномалії ARC/DKIM).
• Впровадьте **фрази виклику голосової біометрії** для запитів з високим ризиком по телефону.
• Постійно симулюйте приманки, згенеровані ШІ, у програмах підвищення обізнаності статичні шаблони застаріли.
---
## Втома від MFA / Варіант Push Bombing Примусове скидання
Окрім класичного push-bombing, оператори просто **примушують до нової реєстрації MFA** під час дзвінка до служби підтримки, анулюючи існуючий токен користувача. Будь-який наступний запит на вхід виглядає легітимно для жертви.
```text
[Attacker] → Help-Desk: “I lost my phone while travelling, can you unenrol it so I can add a new authenticator?”
[Help-Desk] → AzureAD: Delete existing methods → sends registration e-mail
[Attacker] → Completes new TOTP enrolment on their own device
```
Моніторинг подій AzureAD/AWS/Okta, де **`deleteMFA` + `addMFA`** відбуваються **протягом кількох хвилин з одного й того ж IP**.
## Перехоплення буфера обміну / Pastejacking
Зловмисники можуть безшумно копіювати шкідливі команди в буфер обміну жертви з компрометованої або неправильно написаної веб-сторінки, а потім обманути користувача вставити їх у **Win + R**, **Win + X** або вікно терміналу, виконуючи довільний код без будь-якого завантаження або вкладення.
Зловмисники можуть безшумно копіювати шкідливі команди в буфер обміну жертви з компрометованої або помилково написаної веб-сторінки, а потім обманом змусити користувача вставити їх у **Win + R**, **Win + X** або вікно терміналу, виконуючи довільний код без будь-якого завантаження або вкладення.
{{#ref}}
clipboard-hijacking.md
{{#endref}}
## Мобільний фішинг та розповсюдження шкідливих додатків (Android та iOS)
## Мобільне фішинг та розповсюдження шкідливих додатків (Android та iOS)
{{#ref}}
mobile-phishing-malicious-apps.md
@ -458,5 +545,6 @@ mobile-phishing-malicious-apps.md
- [https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/)
- [https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/](https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/)
- [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)
- [2025 Unit 42 Global Incident Response Report Social Engineering Edition](https://unit42.paloaltonetworks.com/2025-unit-42-global-incident-response-report-social-engineering-edition/)
{{#include ../../banners/hacktricks-training.md}}