mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['src/generic-methodologies-and-resources/phishing-methodolog
This commit is contained in:
parent
10d327cd44
commit
6940ba128b
@ -22,7 +22,7 @@
|
|||||||
### Tecniche di Variazione del Nome di Dominio
|
### Tecniche di Variazione del Nome di Dominio
|
||||||
|
|
||||||
- **Parola chiave**: Il nome di dominio **contiene** una **parola chiave** importante del dominio originale (es., zelster.com-management.com).
|
- **Parola chiave**: Il nome di dominio **contiene** una **parola chiave** importante del dominio originale (es., zelster.com-management.com).
|
||||||
- **sottodominio con trattino**: Cambiare il **punto in un trattino** di un sottodominio (es., www-zelster.com).
|
- **sottodominio con trattino**: Cambiare il **punto con un trattino** di un sottodominio (es., www-zelster.com).
|
||||||
- **Nuovo TLD**: Stesso dominio utilizzando un **nuovo TLD** (es., zelster.org)
|
- **Nuovo TLD**: Stesso dominio utilizzando un **nuovo TLD** (es., zelster.org)
|
||||||
- **Omo-glyph**: **sostituisce** una lettera nel nome di dominio con **lettere che sembrano simili** (es., zelfser.com).
|
- **Omo-glyph**: **sostituisce** una lettera nel nome di dominio con **lettere che sembrano simili** (es., zelfser.com).
|
||||||
|
|
||||||
@ -36,7 +36,7 @@ homograph-attacks.md
|
|||||||
- **Sostituzione**: Come l'omo-glyph ma meno furtivo. Sostituisce una delle lettere nel nome di dominio, forse con una lettera vicina alla lettera originale sulla tastiera (es., zektser.com).
|
- **Sostituzione**: Come l'omo-glyph ma meno furtivo. Sostituisce una delle lettere nel nome di dominio, forse con una lettera vicina alla lettera originale sulla tastiera (es., zektser.com).
|
||||||
- **Sottodominio**: Introduce un **punto** all'interno del nome di dominio (es., ze.lster.com).
|
- **Sottodominio**: Introduce un **punto** all'interno del nome di dominio (es., ze.lster.com).
|
||||||
- **Inserimento**: **inserisce una lettera** nel nome di dominio (es., zerltser.com).
|
- **Inserimento**: **inserisce una lettera** nel nome di dominio (es., zerltser.com).
|
||||||
- **Punto mancante**: Aggiungere il TLD al nome di dominio. (es., zelstercom.com)
|
- **Punto mancante**: Aggiunge il TLD al nome di dominio. (es., zelstercom.com)
|
||||||
|
|
||||||
**Strumenti Automatici**
|
**Strumenti Automatici**
|
||||||
|
|
||||||
@ -95,7 +95,7 @@ ssh -L 3333:127.0.0.1:3333 <user>@<ip>
|
|||||||
|
|
||||||
**Configurazione del certificato TLS**
|
**Configurazione del certificato TLS**
|
||||||
|
|
||||||
Prima di questo passaggio, dovresti **aver già acquistato il dominio** che intendi utilizzare e deve **puntare** all'**IP del VPS** dove stai configurando **gophish**.
|
Prima di questo passaggio, dovresti aver **già acquistato il dominio** che intendi utilizzare e deve **puntare** all'**IP del VPS** dove stai configurando **gophish**.
|
||||||
```bash
|
```bash
|
||||||
DOMAIN="<domain>"
|
DOMAIN="<domain>"
|
||||||
wget https://dl.eff.org/certbot-auto
|
wget https://dl.eff.org/certbot-auto
|
||||||
@ -165,7 +165,7 @@ Modifica `/opt/gophish/config.json` come segue (nota l'uso di https):
|
|||||||
```
|
```
|
||||||
**Configura il servizio gophish**
|
**Configura il servizio gophish**
|
||||||
|
|
||||||
Per creare il servizio gophish in modo che possa essere avviato automaticamente e gestito come servizio, puoi creare il file `/etc/init.d/gophish` con il seguente contenuto:
|
Per creare il servizio gophish in modo che possa essere avviato automaticamente e gestito come un servizio, puoi creare il file `/etc/init.d/gophish` con il seguente contenuto:
|
||||||
```bash
|
```bash
|
||||||
#!/bin/bash
|
#!/bin/bash
|
||||||
# /etc/init.d/gophish
|
# /etc/init.d/gophish
|
||||||
@ -259,7 +259,7 @@ v=DMARC1; p=none
|
|||||||
|
|
||||||
Devi **configurare un DKIM per il nuovo dominio**. Se non sai cos'è un record DMARC [**leggi questa pagina**](../../network-services-pentesting/pentesting-smtp/index.html#dkim).
|
Devi **configurare un DKIM per il nuovo dominio**. Se non sai cos'è un record DMARC [**leggi questa pagina**](../../network-services-pentesting/pentesting-smtp/index.html#dkim).
|
||||||
|
|
||||||
Questo tutorial si basa su: [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)
|
Questo tutorial è basato su: [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)
|
||||||
|
|
||||||
> [!TIP]
|
> [!TIP]
|
||||||
> Devi concatenare entrambi i valori B64 che la chiave DKIM genera:
|
> Devi concatenare entrambi i valori B64 che la chiave DKIM genera:
|
||||||
@ -268,7 +268,7 @@ Questo tutorial si basa su: [https://www.digitalocean.com/community/tutorials/ho
|
|||||||
> v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB
|
> v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB
|
||||||
> ```
|
> ```
|
||||||
|
|
||||||
### Testa il punteggio di configurazione della tua email
|
### Testa il punteggio della tua configurazione email
|
||||||
|
|
||||||
Puoi farlo usando [https://www.mail-tester.com/](https://www.mail-tester.com)\
|
Puoi farlo usando [https://www.mail-tester.com/](https://www.mail-tester.com)\
|
||||||
Basta accedere alla pagina e inviare un'email all'indirizzo che ti forniscono:
|
Basta accedere alla pagina e inviare un'email all'indirizzo che ti forniscono:
|
||||||
@ -343,7 +343,7 @@ Nota che **per aumentare la credibilità dell'email**, è consigliato utilizzare
|
|||||||
|
|
||||||
- Invia un'email a un **indirizzo inesistente** e controlla se la risposta ha qualche firma.
|
- Invia un'email a un **indirizzo inesistente** e controlla se la risposta ha qualche firma.
|
||||||
- Cerca **email pubbliche** come info@ex.com o press@ex.com o public@ex.com e invia loro un'email e aspetta la risposta.
|
- Cerca **email pubbliche** come info@ex.com o press@ex.com o public@ex.com e invia loro un'email e aspetta la risposta.
|
||||||
- Prova a contattare **qualche email valida scoperta** e aspetta la risposta.
|
- Prova a contattare **alcune email valide scoperte** e aspetta la risposta.
|
||||||
|
|
||||||
.png>)
|
.png>)
|
||||||
|
|
||||||
@ -364,9 +364,9 @@ Nota che **per aumentare la credibilità dell'email**, è consigliato utilizzare
|
|||||||
> Nota che se hai bisogno di **utilizzare alcune risorse statiche** per l'HTML (magari alcune pagine CSS e JS) puoi salvarle in _**/opt/gophish/static/endpoint**_ e poi accedervi da _**/static/\<filename>**_
|
> Nota che se hai bisogno di **utilizzare alcune risorse statiche** per l'HTML (magari alcune pagine CSS e JS) puoi salvarle in _**/opt/gophish/static/endpoint**_ e poi accedervi da _**/static/\<filename>**_
|
||||||
|
|
||||||
> [!TIP]
|
> [!TIP]
|
||||||
> Per il reindirizzamento potresti **reindirizzare gli utenti alla legittima pagina web principale** della vittima, o reindirizzarli a _/static/migration.html_ per esempio, mettere qualche **ruota che gira (**[**https://loading.io/**](https://loading.io)**) per 5 secondi e poi indicare che il processo è stato completato con successo**.
|
> Per il reindirizzamento potresti **reindirizzare gli utenti alla legittima pagina web principale** della vittima, o reindirizzarli a _/static/migration.html_ per esempio, mettere qualche **ruota che gira** (**[**https://loading.io/**](https://loading.io)**) per 5 secondi e poi indicare che il processo è stato completato con successo**.
|
||||||
|
|
||||||
### Utenti & Gruppi
|
### Utenti e Gruppi
|
||||||
|
|
||||||
- Imposta un nome
|
- Imposta un nome
|
||||||
- **Importa i dati** (nota che per utilizzare il modello per l'esempio hai bisogno del nome, cognome e indirizzo email di ogni utente)
|
- **Importa i dati** (nota che per utilizzare il modello per l'esempio hai bisogno del nome, cognome e indirizzo email di ogni utente)
|
||||||
@ -382,21 +382,21 @@ Nota che il **Profilo di Invio consente di inviare un'email di prova per vedere
|
|||||||
.png>)
|
.png>)
|
||||||
|
|
||||||
> [!TIP]
|
> [!TIP]
|
||||||
> Ti consiglio di **inviare le email di prova a indirizzi di 10min** per evitare di essere inserito in blacklist durante i test.
|
> Ti consiglio di **inviare le email di prova a indirizzi di 10min mail** per evitare di essere inserito in blacklist durante i test.
|
||||||
|
|
||||||
Una volta che tutto è pronto, lancia semplicemente la campagna!
|
Una volta che tutto è pronto, lancia semplicemente la campagna!
|
||||||
|
|
||||||
## Clonazione del Sito Web
|
## Clonazione del Sito Web
|
||||||
|
|
||||||
Se per qualche motivo desideri clonare il sito web controlla la seguente pagina:
|
Se per qualche motivo desideri clonare il sito web, controlla la seguente pagina:
|
||||||
|
|
||||||
{{#ref}}
|
{{#ref}}
|
||||||
clone-a-website.md
|
clone-a-website.md
|
||||||
{{#endref}}
|
{{#endref}}
|
||||||
|
|
||||||
## Documenti & File Backdoor
|
## Documenti e File Backdoor
|
||||||
|
|
||||||
In alcune valutazioni di phishing (principalmente per Red Teams) vorrai anche **inviare file contenenti qualche tipo di backdoor** (magari un C2 o magari solo qualcosa che attivi un'autenticazione).\
|
In alcune valutazioni di phishing (principalmente per Red Teams) vorrai anche **inviare file contenenti qualche tipo di backdoor** (magari un C2 o semplicemente qualcosa che attivi un'autenticazione).\
|
||||||
Controlla la seguente pagina per alcuni esempi:
|
Controlla la seguente pagina per alcuni esempi:
|
||||||
|
|
||||||
{{#ref}}
|
{{#ref}}
|
||||||
@ -407,21 +407,21 @@ phishing-documents.md
|
|||||||
|
|
||||||
### Via Proxy MitM
|
### Via Proxy MitM
|
||||||
|
|
||||||
L'attacco precedente è piuttosto astuto poiché stai simulando un vero sito web e raccogliendo le informazioni fornite dall'utente. Sfortunatamente, se l'utente non ha inserito la password corretta o se l'applicazione che hai simulato è configurata con 2FA, **queste informazioni non ti permetteranno di impersonare l'utente ingannato**.
|
L'attacco precedente è piuttosto astuto poiché stai simulando un sito web reale e raccogliendo le informazioni fornite dall'utente. Sfortunatamente, se l'utente non ha inserito la password corretta o se l'applicazione che hai simulato è configurata con 2FA, **queste informazioni non ti permetteranno di impersonare l'utente ingannato**.
|
||||||
|
|
||||||
Qui è dove strumenti come [**evilginx2**](https://github.com/kgretzky/evilginx2)**,** [**CredSniper**](https://github.com/ustayready/CredSniper) e [**muraena**](https://github.com/muraenateam/muraena) sono utili. Questo strumento ti permetterà di generare un attacco simile a MitM. Fondamentalmente, gli attacchi funzionano nel seguente modo:
|
Qui è dove strumenti come [**evilginx2**](https://github.com/kgretzky/evilginx2)**,** [**CredSniper**](https://github.com/ustayready/CredSniper) e [**muraena**](https://github.com/muraenateam/muraena) sono utili. Questo strumento ti permetterà di generare un attacco simile a MitM. Fondamentalmente, gli attacchi funzionano nel seguente modo:
|
||||||
|
|
||||||
1. Tu **impersoni il modulo di accesso** della vera pagina web.
|
1. Tu **impersoni il modulo di accesso** della pagina web reale.
|
||||||
2. L'utente **invia** le sue **credenziali** alla tua pagina falsa e lo strumento le invia alla vera pagina web, **controllando se le credenziali funzionano**.
|
2. L'utente **invia** le sue **credenziali** alla tua pagina falsa e lo strumento le invia alla pagina web reale, **controllando se le credenziali funzionano**.
|
||||||
3. Se l'account è configurato con **2FA**, la pagina MitM chiederà di inserirlo e una volta che l'**utente lo introduce** lo strumento lo invierà alla vera pagina web.
|
3. Se l'account è configurato con **2FA**, la pagina MitM chiederà di inserirlo e una volta che l'**utente lo introduce**, lo strumento lo invierà alla pagina web reale.
|
||||||
4. Una volta che l'utente è autenticato, tu (come attaccante) avrai **catturato le credenziali, il 2FA, il cookie e qualsiasi informazione** di ogni interazione mentre lo strumento sta eseguendo un MitM.
|
4. Una volta che l'utente è autenticato, tu (come attaccante) avrai **catturato le credenziali, il 2FA, il cookie e qualsiasi informazione** di ogni interazione mentre lo strumento sta eseguendo un MitM.
|
||||||
|
|
||||||
### Via VNC
|
### Via VNC
|
||||||
|
|
||||||
E se invece di **inviare la vittima a una pagina malevola** con lo stesso aspetto di quella originale, lo invii a una **sessione VNC con un browser connesso alla vera pagina web**? Sarai in grado di vedere cosa fa, rubare la password, il MFA utilizzato, i cookie...\
|
E se invece di **inviare la vittima a una pagina malevola** con lo stesso aspetto di quella originale, la invii a una **sessione VNC con un browser connesso alla pagina web reale**? Sarai in grado di vedere cosa fa, rubare la password, il MFA utilizzato, i cookie...\
|
||||||
Puoi fare questo con [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC)
|
Puoi fare questo con [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC)
|
||||||
|
|
||||||
## Rilevare la rilevazione
|
## Rilevamento della rilevazione
|
||||||
|
|
||||||
Ovviamente uno dei migliori modi per sapere se sei stato scoperto è **cercare il tuo dominio all'interno delle blacklist**. Se appare elencato, in qualche modo il tuo dominio è stato rilevato come sospetto.\
|
Ovviamente uno dei migliori modi per sapere se sei stato scoperto è **cercare il tuo dominio all'interno delle blacklist**. Se appare elencato, in qualche modo il tuo dominio è stato rilevato come sospetto.\
|
||||||
Un modo semplice per controllare se il tuo dominio appare in qualche blacklist è utilizzare [https://malwareworld.com/](https://malwareworld.com)
|
Un modo semplice per controllare se il tuo dominio appare in qualche blacklist è utilizzare [https://malwareworld.com/](https://malwareworld.com)
|
||||||
@ -432,21 +432,108 @@ Tuttavia, ci sono altri modi per sapere se la vittima è **attivamente alla rice
|
|||||||
detecting-phising.md
|
detecting-phising.md
|
||||||
{{#endref}}
|
{{#endref}}
|
||||||
|
|
||||||
Puoi **comprare un dominio con un nome molto simile** a quello del dominio della vittima **e/o generare un certificato** per un **sottodominio** di un dominio controllato da te **contenente** la **parola chiave** del dominio della vittima. Se la **vittima** esegue qualche tipo di **interazione DNS o HTTP** con essi, saprai che **sta attivamente cercando** domini sospetti e dovrai essere molto furtivo.
|
Puoi **comprare un dominio con un nome molto simile** a quello del dominio della vittima **e/o generare un certificato** per un **sottodominio** di un dominio controllato da te **contenente** la **parola chiave** del dominio della vittima. Se la **vittima** esegue qualsiasi tipo di **interazione DNS o HTTP** con essi, saprai che **sta attivamente cercando** domini sospetti e dovrai essere molto furtivo.
|
||||||
|
|
||||||
### Valutare il phishing
|
### Valutare il phishing
|
||||||
|
|
||||||
Usa [**Phishious** ](https://github.com/Rices/Phishious) per valutare se la tua email finirà nella cartella spam o se verrà bloccata o avrà successo.
|
Usa [**Phishious** ](https://github.com/Rices/Phishious) per valutare se la tua email finirà nella cartella spam o se verrà bloccata o avrà successo.
|
||||||
|
|
||||||
## Hijacking degli Appunti / Pastejacking
|
## Compromissione dell'Identità ad Alto Contatto (Reset MFA Help-Desk)
|
||||||
|
|
||||||
Gli attaccanti possono silenziosamente copiare comandi malevoli negli appunti della vittima da una pagina web compromessa o typosquatted e poi ingannare l'utente a incollarli dentro **Win + R**, **Win + X** o una finestra del terminale, eseguendo codice arbitrario senza alcun download o allegato.
|
I moderni set di intrusione saltano sempre più spesso le esche email e **mirano direttamente al servizio di assistenza / flusso di recupero identità** per sconfiggere il MFA. L'attacco è completamente "living-off-the-land": una volta che l'operatore possiede credenziali valide, si sposta con strumenti di amministrazione integrati – non è necessario alcun malware.
|
||||||
|
|
||||||
|
### Flusso dell'attacco
|
||||||
|
1. Ricognizione della vittima
|
||||||
|
* Raccogli dettagli personali e aziendali da LinkedIn, violazioni di dati, GitHub pubblici, ecc.
|
||||||
|
* Identifica identità di alto valore (dirigenti, IT, finanza) ed elenca il **processo esatto del help-desk** per il reset della password / MFA.
|
||||||
|
2. Ingegneria sociale in tempo reale
|
||||||
|
* Chiama, usa Teams o chatta con il help-desk impersonando il target (spesso con **ID chiamante falsificato** o **voce clonata**).
|
||||||
|
* Fornisci le PII raccolte in precedenza per superare la verifica basata sulla conoscenza.
|
||||||
|
* Convincere l'agente a **resettare il segreto MFA** o eseguire uno **scambio SIM** su un numero di cellulare registrato.
|
||||||
|
3. Azioni immediate post-accesso (≤60 min in casi reali)
|
||||||
|
* Stabilire una base attraverso qualsiasi portale SSO web.
|
||||||
|
* Enumerare AD / AzureAD con strumenti integrati (nessun binario scaricato):
|
||||||
|
```powershell
|
||||||
|
# elenca gruppi di directory e ruoli privilegiati
|
||||||
|
Get-ADGroup -Filter * -Properties Members | ?{$_.Members -match $env:USERNAME}
|
||||||
|
|
||||||
|
# AzureAD / Graph – elenca ruoli di directory
|
||||||
|
Get-MgDirectoryRole | ft DisplayName,Id
|
||||||
|
|
||||||
|
# Enumera i dispositivi a cui l'account può accedere
|
||||||
|
Get-MgUserRegisteredDevice -UserId <user@corp.local>
|
||||||
|
```
|
||||||
|
* Movimento laterale con **WMI**, **PsExec**, o legittimi agenti **RMM** già autorizzati nell'ambiente.
|
||||||
|
|
||||||
|
### Rilevamento e Mitigazione
|
||||||
|
* Tratta il recupero dell'identità del help-desk come un'**operazione privilegiata** – richiedi autenticazione avanzata e approvazione del manager.
|
||||||
|
* Implementa regole di **Identity Threat Detection & Response (ITDR)** / **UEBA** che avvisano su:
|
||||||
|
* Metodo MFA cambiato + autenticazione da nuovo dispositivo / geo.
|
||||||
|
* Elevazione immediata dello stesso principale (utente-→-admin).
|
||||||
|
* Registra le chiamate del help-desk e imposta un **richiamo a un numero già registrato** prima di qualsiasi reset.
|
||||||
|
* Implementa **Just-In-Time (JIT) / Accesso Privilegiato** in modo che gli account appena resettati non ereditino automaticamente token ad alta privilegio.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Deception su larga scala – SEO Poisoning e campagne “ClickFix”
|
||||||
|
Le squadre di commodity compensano il costo delle operazioni ad alto contatto con attacchi di massa che trasformano **motori di ricerca e reti pubblicitarie in canali di consegna**.
|
||||||
|
|
||||||
|
1. **SEO poisoning / malvertising** spinge un risultato falso come `chromium-update[.]site` in cima agli annunci di ricerca.
|
||||||
|
2. La vittima scarica un piccolo **loader di prima fase** (spesso JS/HTA/ISO). Esempi visti da Unit 42:
|
||||||
|
* `RedLine stealer`
|
||||||
|
* `Lumma stealer`
|
||||||
|
* `Lampion Trojan`
|
||||||
|
3. Il loader esfiltra i cookie del browser + DB delle credenziali, poi tira un **loader silenzioso** che decide – *in tempo reale* – se distribuire:
|
||||||
|
* RAT (es. AsyncRAT, RustDesk)
|
||||||
|
* ransomware / wiper
|
||||||
|
* componente di persistenza (chiave di esecuzione del registro + attività pianificata)
|
||||||
|
|
||||||
|
### Suggerimenti per il rafforzamento
|
||||||
|
* Blocca i domini appena registrati e applica **Advanced DNS / URL Filtering** su *search-ads* così come sulle email.
|
||||||
|
* Limita l'installazione del software a pacchetti MSI / Store firmati, nega l'esecuzione di `HTA`, `ISO`, `VBS` per policy.
|
||||||
|
* Monitora i processi figli dei browser che aprono installer:
|
||||||
|
```yaml
|
||||||
|
- parent_image: /Program Files/Google/Chrome/*
|
||||||
|
and child_image: *\\*.exe
|
||||||
|
```
|
||||||
|
* Caccia i LOLBins frequentemente abusati dai loader di prima fase (es. `regsvr32`, `curl`, `mshta`).
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Operazioni di Phishing Potenziate dall'AI
|
||||||
|
Gli attaccanti ora concatenano **LLM e API di clonazione vocale** per esche completamente personalizzate e interazione in tempo reale.
|
||||||
|
|
||||||
|
| Livello | Esempio di utilizzo da parte dell'attore di minaccia |
|
||||||
|
|-------|-----------------------------|
|
||||||
|
|Automazione|Genera e invia >100 k email / SMS con formulazioni randomizzate e link di tracciamento.|
|
||||||
|
|AI Generativa|Produce email *uniche* che fanno riferimento a M&A pubblici, battute interne dai social media; voce del CEO deep-fake in una truffa di richiamo.|
|
||||||
|
|AI Agente|Registra autonomamente domini, estrae intel open-source, crea email di prossima fase quando una vittima clicca ma non invia credenziali.|
|
||||||
|
|
||||||
|
**Difesa:**
|
||||||
|
• Aggiungi **banner dinamici** che evidenziano messaggi inviati da automazioni non affidabili (tramite anomalie ARC/DKIM).
|
||||||
|
• Implementa **frasi di sfida biometriche vocali** per richieste telefoniche ad alto rischio.
|
||||||
|
• Simula continuamente esche generate dall'AI nei programmi di sensibilizzazione – i modelli statici sono obsoleti.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Fatica da MFA / Variante Push Bombing – Reset Forzato
|
||||||
|
Oltre al classico push-bombing, gli operatori semplicemente **forzano una nuova registrazione MFA** durante la chiamata al help-desk, annullando il token esistente dell'utente. Qualsiasi successivo prompt di accesso appare legittimo per la vittima.
|
||||||
|
```text
|
||||||
|
[Attacker] → Help-Desk: “I lost my phone while travelling, can you unenrol it so I can add a new authenticator?”
|
||||||
|
[Help-Desk] → AzureAD: ‘Delete existing methods’ → sends registration e-mail
|
||||||
|
[Attacker] → Completes new TOTP enrolment on their own device
|
||||||
|
```
|
||||||
|
Monitora gli eventi di AzureAD/AWS/Okta in cui **`deleteMFA` + `addMFA`** si verificano **entro pochi minuti dallo stesso IP**.
|
||||||
|
|
||||||
|
## Clipboard Hijacking / Pastejacking
|
||||||
|
|
||||||
|
Gli attaccanti possono silenziosamente copiare comandi dannosi negli appunti della vittima da una pagina web compromessa o con errore di battitura e poi ingannare l'utente a incollarli all'interno di **Win + R**, **Win + X** o in una finestra del terminale, eseguendo codice arbitrario senza alcun download o allegato.
|
||||||
|
|
||||||
{{#ref}}
|
{{#ref}}
|
||||||
clipboard-hijacking.md
|
clipboard-hijacking.md
|
||||||
{{#endref}}
|
{{#endref}}
|
||||||
|
|
||||||
## Phishing Mobile & Distribuzione di App Malevole (Android & iOS)
|
## Mobile Phishing & Malicious App Distribution (Android & iOS)
|
||||||
|
|
||||||
{{#ref}}
|
{{#ref}}
|
||||||
mobile-phishing-malicious-apps.md
|
mobile-phishing-malicious-apps.md
|
||||||
@ -458,5 +545,6 @@ mobile-phishing-malicious-apps.md
|
|||||||
- [https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/)
|
- [https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/)
|
||||||
- [https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/](https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/)
|
- [https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/](https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/)
|
||||||
- [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)
|
- [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)
|
||||||
|
- [2025 Unit 42 Global Incident Response Report – Social Engineering Edition](https://unit42.paloaltonetworks.com/2025-unit-42-global-incident-response-report-social-engineering-edition/)
|
||||||
|
|
||||||
{{#include ../../banners/hacktricks-training.md}}
|
{{#include ../../banners/hacktricks-training.md}}
|
||||||
|
Loading…
x
Reference in New Issue
Block a user