Translated ['src/generic-methodologies-and-resources/phishing-methodolog

src/SUMMARY.md

@@ -32,6 +32,7 @@
   - [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md)
   - [Detecting Phishing](generic-methodologies-and-resources/phishing-methodology/detecting-phising.md)
   - [Discord Invite Hijacking](generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md)
+  - [Homograph Attacks](generic-methodologies-and-resources/phishing-methodology/homograph-attacks.md)
   - [Mobile Phishing Malicious Apps](generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md)
   - [Phishing Files & Documents](generic-methodologies-and-resources/phishing-methodology/phishing-documents.md)
 - [Basic Forensic Methodology](generic-methodologies-and-resources/basic-forensic-methodology/README.md)

src/generic-methodologies-and-resources/phishing-methodology/README.md

@@ -6,7 +6,7 @@
 
 1. Recon the victim
 1. Επιλέξτε το **domain του θύματος**.
-2. Εκτελέστε κάποια βασική διαδικτυακή καταμέτρηση **αναζητώντας πύλες σύνδεσης** που χρησιμοποιούνται από το θύμα και **αποφασίστε** ποια θα **μιμηθείτε**.
+2. Εκτελέστε κάποια βασική διαδικτυακή καταμέτρηση **αναζητώντας πύλες σύνδεσης** που χρησιμοποιούνται από το θύμα και **αποφασίστε** ποια θα **παραστήσετε**.
 3. Χρησιμοποιήστε κάποια **OSINT** για να **βρείτε emails**.
 2. Prepare the environment
 1. **Αγοράστε το domain** που θα χρησιμοποιήσετε για την αξιολόγηση phishing
@@ -24,13 +24,17 @@
 - **Keyword**: Το domain name **περιέχει** μια σημαντική **λέξη-κλειδί** του αρχικού domain (π.χ., zelster.com-management.com).
 - **hypened subdomain**: Αλλάξτε την **τελεία σε παύλα** ενός υποτομέα (π.χ., www-zelster.com).
 - **New TLD**: Ίδιο domain χρησιμοποιώντας ένα **νέο TLD** (π.χ., zelster.org)
-- **Homoglyph**: **Αντικαθιστά** ένα γράμμα στο domain name με **γράμματα που μοιάζουν** (π.χ., zelfser.com).
-- **Transposition:** **Ανταλλάσσει δύο γράμματα** μέσα στο domain name (π.χ., zelsetr.com).
+- **Homoglyph**: Αντικαθιστά ένα γράμμα στο domain name με **γράμματα που μοιάζουν** (π.χ., zelfser.com).
+
+{{#ref}}
+homograph-attacks.md
+{{#endref}}
+- **Transposition:** Ανταλλάσσει **δύο γράμματα** μέσα στο domain name (π.χ., zelsetr.com).
 - **Singularization/Pluralization**: Προσθέτει ή αφαιρεί “s” στο τέλος του domain name (π.χ., zeltsers.com).
 - **Omission**: **Αφαιρεί ένα** από τα γράμματα του domain name (π.χ., zelser.com).
 - **Repetition:** **Επαναλαμβάνει ένα** από τα γράμματα στο domain name (π.χ., zeltsser.com).
 - **Replacement**: Όπως το homoglyph αλλά λιγότερο διακριτικό. Αντικαθιστά ένα από τα γράμματα στο domain name, ίσως με ένα γράμμα κοντά στο αρχικό γράμμα στο πληκτρολόγιο (π.χ., zektser.com).
-- **Subdomained**: Εισάγετε μια **τελεία** μέσα στο domain name (π.χ., ze.lster.com).
+- **Subdomained**: Εισάγει μια **τελεία** μέσα στο domain name (π.χ., ze.lster.com).
 - **Insertion**: **Εισάγει ένα γράμμα** στο domain name (π.χ., zerltser.com).
 - **Missing dot**: Προσθέστε το TLD στο domain name. (π.χ., zelstercom.com)
 
@@ -83,7 +87,7 @@
 Μπορείτε να το κατεβάσετε από [https://github.com/gophish/gophish/releases/tag/v0.11.0](https://github.com/gophish/gophish/releases/tag/v0.11.0)
 
 Κατεβάστε και αποσυμπιέστε το μέσα στο `/opt/gophish` και εκτελέστε το `/opt/gophish/gophish`\
-Θα σας δοθεί ένας κωδικός για τον χρήστη διαχειριστή στην πόρτα 3333 στην έξοδο. Επομένως, αποκτήστε πρόσβαση σε αυτήν την πόρτα και χρησιμοποιήστε αυτά τα διαπιστευτήρια για να αλλάξετε τον κωδικό διαχειριστή. Ίσως χρειαστεί να στείλετε αυτήν την πόρτα τοπικά:
+Θα σας δοθεί ένας κωδικός για τον διαχειριστή στη θύρα 3333 στην έξοδο. Επομένως, αποκτήστε πρόσβαση σε αυτή τη θύρα και χρησιμοποιήστε αυτά τα διαπιστευτήρια για να αλλάξετε τον κωδικό διαχειριστή. Ίσως χρειαστεί να στείλετε αυτή τη θύρα τοπικά:
 ```bash
 ssh -L 3333:127.0.0.1:3333 <user>@<ip>
 ```
@@ -91,7 +95,7 @@ ssh -L 3333:127.0.0.1:3333 <user>@<ip>
 
 **Ρύθμιση πιστοποιητικού TLS**
 
-Πριν από αυτό το βήμα θα πρέπει να έχετε **αγοράσει ήδη το domain** που θα χρησιμοποιήσετε και πρέπει να **δείχνει** στη **διεύθυνση IP του VPS** όπου ρυθμίζετε το **gophish**.
+Πριν από αυτό το βήμα θα πρέπει να έχετε **αγοράσει ήδη το domain** που πρόκειται να χρησιμοποιήσετε και πρέπει να **δείχνει** στη **διεύθυνση IP του VPS** όπου ρυθμίζετε το **gophish**.
 ```bash
 DOMAIN="<domain>"
 wget https://dl.eff.org/certbot-auto
@@ -107,7 +111,7 @@ mkdir /opt/gophish/ssl_keys
 cp "/etc/letsencrypt/live/$DOMAIN/privkey.pem" /opt/gophish/ssl_keys/key.pem
 cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt​
 ```
-**Διαμόρφωση ταχυδρομείου**
+**Ρύθμιση ταχυδρομείου**
 
 Αρχίστε την εγκατάσταση: `apt-get install postfix`
 
@@ -161,7 +165,7 @@ echo "This is the body of the email" | mail -s "This is the subject line" test@e
 ```
 **Ρύθμιση υπηρεσίας gophish**
 
-Για να δημιουργήσετε την υπηρεσία gophish ώστε να μπορεί να ξεκινά αυτόματα και να διαχειρίζεται ως υπηρεσία, μπορείτε να δημιουργήσετε το αρχείο `/etc/init.d/gophish` με το παρακάτω περιεχόμενο:
+Για να δημιουργήσετε την υπηρεσία gophish ώστε να μπορεί να ξεκινά αυτόματα και να διαχειρίζεται ως υπηρεσία, μπορείτε να δημιουργήσετε το αρχείο `/etc/init.d/gophish` με το ακόλουθο περιεχόμενο:
 ```bash
 #!/bin/bash
 # /etc/init.d/gophish
@@ -221,7 +225,7 @@ service gophish stop
 ```
 ## Ρύθμιση διακομιστή αλληλογραφίας και τομέα
 
-### Περίμενε & να είσαι νόμιμος
+### Περιμένετε & να είστε νόμιμοι
 
 Όσο παλαιότερος είναι ένας τομέας, τόσο λιγότερο πιθανό είναι να πιαστεί ως spam. Έτσι, θα πρέπει να περιμένετε όσο το δυνατόν περισσότερο (τουλάχιστον 1 εβδομάδα) πριν από την αξιολόγηση phishing. Επιπλέον, αν δημιουργήσετε μια σελίδα σχετικά με έναν τομέα φήμης, η φήμη που θα αποκτήσετε θα είναι καλύτερη.
 
@@ -371,7 +375,7 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
 
 ### Campaign
 
-Τέλος, δημιουργήστε μια καμπάνια επιλέγοντας ένα όνομα, το email template, τη landing page, το URL, το sending profile και την ομάδα. Σημειώστε ότι το URL θα είναι ο σύνδεσμος που θα σταλεί στα θύματα.
+Τέλος, δημιουργήστε μια καμπάνια επιλέγοντας ένα όνομα, το email template, τη landing page, το URL, το προφίλ αποστολής και την ομάδα. Σημειώστε ότι το URL θα είναι ο σύνδεσμος που θα σταλεί στα θύματα.
 
 Σημειώστε ότι το **Sending Profile επιτρέπει να στείλετε ένα δοκιμαστικό email για να δείτε πώς θα φαίνεται το τελικό phishing email**:
 
@@ -384,7 +388,7 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
 
 ## Website Cloning
 
-Αν για οποιονδήποτε λόγο θέλετε να κλωνοποιήσετε την ιστοσελίδα, ελέγξτε την παρακάτω σελίδα:
+Αν για οποιονδήποτε λόγο θέλετε να κλωνοποιήσετε την ιστοσελίδα ελέγξτε την παρακάτω σελίδα:
 
 {{#ref}}
 clone-a-website.md
@@ -409,17 +413,17 @@ phishing-documents.md
 
 1. Εσείς **προσποιείστε τη φόρμα σύνδεσης** της πραγματικής ιστοσελίδας.
 2. Ο χρήστης **στέλνει** τα **διαπιστευτήριά** του στη ψεύτικη σελίδα σας και το εργαλείο στέλνει αυτά στη πραγματική ιστοσελίδα, **ελέγχοντας αν τα διαπιστευτήρια λειτουργούν**.
-3. Αν ο λογαριασμός είναι ρυθμισμένος με **2FA**, η σελίδα MitM θα ζητήσει αυτό και μόλις ο **χρήστης το εισάγει**, το εργαλείο θα το στείλει στη πραγματική ιστοσελίδα.
-4. Μόλις ο χρήστης είναι αυθεντικοποιημένος, εσείς (ως επιτιθέμενος) θα έχετε **συλλάβει τα διαπιστευτήρια, το 2FA, το cookie και οποιαδήποτε πληροφορία** από κάθε αλληλεπίδραση σας ενώ το εργαλείο εκτελεί μια MitM.
+3. Αν ο λογαριασμός είναι ρυθμισμένος με **2FA**, η σελίδα MitM θα ζητήσει αυτό και μόλις ο **χρήστης το εισάγει** το εργαλείο θα το στείλει στη πραγματική ιστοσελίδα.
+4. Μόλις ο χρήστης αυθεντικοποιηθεί εσείς (ως επιτιθέμενος) θα έχετε **συλλάβει τα διαπιστευτήρια, το 2FA, το cookie και οποιαδήποτε πληροφορία** από κάθε αλληλεπίδραση σας ενώ το εργαλείο εκτελεί μια MitM.
 
 ### Via VNC
 
-Τι θα γινόταν αν αντί να **στείλετε το θύμα σε μια κακόβουλη σελίδα** που μοιάζει με την αρχική, το στείλετε σε μια **συνεδρία VNC με έναν περιηγητή συνδεδεμένο στην πραγματική ιστοσελίδα**; Θα μπορείτε να δείτε τι κάνει, να κλέψετε τον κωδικό, το MFA που χρησιμοποιείται, τα cookies...\
+Τι θα γινόταν αν αντί να **στείλετε το θύμα σε μια κακόβουλη σελίδα** με την ίδια εμφάνιση όπως η αρχική, το στείλετε σε μια **συνεδρία VNC με έναν περιηγητή συνδεδεμένο στην πραγματική ιστοσελίδα**; Θα μπορείτε να δείτε τι κάνει, να κλέψετε τον κωδικό, το MFA που χρησιμοποιείται, τα cookies...\
 Μπορείτε να το κάνετε αυτό με [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC)
 
 ## Detecting the detection
 
-Προφανώς, ένας από τους καλύτερους τρόπους για να ξέρετε αν έχετε αποκαλυφθεί είναι να **αναζητήσετε το domain σας μέσα σε μαύρες λίστες**. Αν εμφανίζεται καταχωρημένο, με κάποιο τρόπο το domain σας ανιχνεύθηκε ως ύποπτο.\
+Προφανώς ένας από τους καλύτερους τρόπους για να ξέρετε αν έχετε ανακαλυφθεί είναι να **αναζητήσετε το domain σας μέσα σε μαύρες λίστες**. Αν εμφανίζεται καταχωρημένο, με κάποιο τρόπο το domain σας ανιχνεύθηκε ως ύποπτο.\
 Ένας εύκολος τρόπος για να ελέγξετε αν το domain σας εμφανίζεται σε οποιαδήποτε μαύρη λίστα είναι να χρησιμοποιήσετε [https://malwareworld.com/](https://malwareworld.com)
 
 Ωστόσο, υπάρχουν και άλλοι τρόποι για να ξέρετε αν το θύμα **αναζητά ενεργά ύποπτη phishing δραστηριότητα στον κόσμο** όπως εξηγείται σε:
@@ -428,7 +432,7 @@ phishing-documents.md
 detecting-phising.md
 {{#endref}}
 
-Μπορείτε να **αγοράσετε ένα domain με πολύ παρόμοιο όνομα** με το domain του θύματος **και/ή να δημιουργήσετε ένα πιστοποιητικό** για ένα **subdomain** ενός domain που ελέγχετε **περιέχοντας** τη **λέξη-κλειδί** του domain του θύματος. Αν το **θύμα** εκτελέσει οποιοδήποτε είδος **DNS ή HTTP αλληλεπίδρασης** με αυτά, θα ξέρετε ότι **αναζητά ενεργά** ύποπτα domains και θα χρειαστεί να είστε πολύ διακριτικοί.
+Μπορείτε να **αγοράσετε ένα domain με πολύ παρόμοιο όνομα** με το domain του θύματος **και/ή να δημιουργήσετε ένα πιστοποιητικό** για ένα **subdomain** ενός domain που ελέγχετε **περιέχοντας** τη **λέξη-κλειδί** του domain του θύματος. Αν το **θύμα** εκτελέσει οποιαδήποτε **DNS ή HTTP αλληλεπίδραση** με αυτά, θα ξέρετε ότι **αναζητά ενεργά** ύποπτα domains και θα χρειαστεί να είστε πολύ διακριτικοί.
 
 ### Evaluate the phishing
 

src/generic-methodologies-and-resources/phishing-methodology/homograph-attacks.md

@@ -0,0 +1,104 @@
+# Homograph / Homoglyph Attacks in Phishing
+
+{{#include ../../banners/hacktricks-training.md}}
+
+## Overview
+
+Μια επίθεση homograph (γνωστή και ως homoglyph) εκμεταλλεύεται το γεγονός ότι πολλά **Unicode code points από μη λατινικά σενάρια είναι οπτικά ταυτόσημα ή εξαιρετικά παρόμοια με χαρακτήρες ASCII**. Αντικαθιστώντας έναν ή περισσότερους λατινικούς χαρακτήρες με τους οπτικά παρόμοιους ομολόγους τους, ένας επιτιθέμενος μπορεί να δημιουργήσει:
+
+* Ονόματα εμφάνισης, θέματα ή σώματα μηνυμάτων που φαίνονται νόμιμα στο ανθρώπινο μάτι αλλά παρακάμπτουν τις ανιχνεύσεις βασισμένες σε λέξεις-κλειδιά.
+* Τομείς, υποτομείς ή διαδρομές URL που παραπλανούν τα θύματα να πιστεύουν ότι επισκέπτονται έναν αξιόπιστο ιστότοπο.
+
+Επειδή κάθε γλυφικό αναγνωρίζεται εσωτερικά από το **Unicode code point** του, ένας μόνο αντικατεστημένος χαρακτήρας είναι αρκετός για να νικήσει τις απλές συγκρίσεις συμβολοσειρών (π.χ., `"Παypal.com"` vs. `"Paypal.com"`).
+
+## Typical Phishing Workflow
+
+1. **Craft message content** – Αντικαταστήστε συγκεκριμένα λατινικά γράμματα στην προσποιούμενη μάρκα / λέξη-κλειδί με οπτικά αδιάκριτους χαρακτήρες από άλλο σενάριο (Ελληνικά, Κυριλλικά, Αρμενικά, Τσερόκι, κ.λπ.).
+2. **Register supporting infrastructure** – Προαιρετικά, καταχωρήστε έναν τομέα homoglyph και αποκτήστε ένα πιστοποιητικό TLS (οι περισσότερες CA δεν κάνουν οπτικούς ελέγχους ομοιότητας).
+3. **Send email / SMS** – Το μήνυμα περιέχει homoglyphs σε μία ή περισσότερες από τις παρακάτω τοποθεσίες:
+* Όνομα αποστολέα (π.χ., `Ηеlрdеѕk`)
+* Θέμα (`Urgеnt Аctіon Rеquіrеd`)
+* Κείμενο υπερσύνδεσης ή πλήρως προσδιορισμένο όνομα τομέα
+4. **Redirect chain** – Το θύμα ανακατευθύνεται μέσω φαινομενικά αθώων ιστότοπων ή συντομευτών URL πριν προσγειωθεί στον κακόβουλο διακομιστή που συλλέγει διαπιστευτήρια / παραδίδει κακόβουλο λογισμικό.
+
+## Unicode Ranges Commonly Abused
+
+| Script | Range | Example glyph | Looks like |
+|--------|-------|---------------|------------|
+| Greek  | U+0370-03FF | `Η` (U+0397) | Latin `H` |
+| Greek  | U+0370-03FF | `ρ` (U+03C1) | Latin `p` |
+| Cyrillic | U+0400-04FF | `а` (U+0430) | Latin `a` |
+| Cyrillic | U+0400-04FF | `е` (U+0435) | Latin `e` |
+| Armenian | U+0530-058F | `օ` (U+0585) | Latin `o` |
+| Cherokee | U+13A0-13FF | `Ꭲ` (U+13A2) | Latin `T` |
+
+> Tip: Full Unicode charts are available at [unicode.org](https://home.unicode.org/).
+
+## Detection Techniques
+
+### 1. Mixed-Script Inspection
+
+Τα phishing emails που στοχεύουν σε μια αγγλόφωνη οργάνωση θα πρέπει σπάνια να αναμειγνύουν χαρακτήρες από πολλαπλά σενάρια. Μια απλή αλλά αποτελεσματική ευρετική μέθοδος είναι να:
+
+1. Διατρέξετε κάθε χαρακτήρα της εξεταζόμενης συμβολοσειράς.
+2. Χαρτογραφήστε το code point στο Unicode block του.
+3. Ενεργοποιήστε μια ειδοποίηση αν υπάρχει περισσότερα από ένα σενάριο **ή** αν εμφανίζονται μη λατινικά σενάρια όπου δεν αναμένονται (όνομα εμφάνισης, τομέας, θέμα, URL, κ.λπ.).
+
+Python proof-of-concept:
+```python
+import unicodedata as ud
+from collections import defaultdict
+
+SUSPECT_FIELDS = {
+"display_name": "Ηоmоgraph Illusion",     # example data
+"subject": "Finаnꮯiаl Տtatеmеnt",
+"url": "https://xn--messageconnecton-2kb.blob.core.windows.net"  # punycode
+}
+
+for field, value in SUSPECT_FIELDS.items():
+blocks = defaultdict(int)
+for ch in value:
+if ch.isascii():
+blocks['Latin'] += 1
+else:
+name = ud.name(ch, 'UNKNOWN')
+block = name.split(' ')[0]     # e.g., 'CYRILLIC'
+blocks[block] += 1
+if len(blocks) > 1:
+print(f"[!] Mixed scripts in {field}: {dict(blocks)} -> {value}")
+```
+### 2. Κανονικοποίηση Punycode (Τομείς)
+
+Τα Διεθνοποιημένα Ονόματα Τομέων (IDNs) κωδικοποιούνται με **punycode** (`xn--`). Η μετατροπή κάθε ονόματος υποδομής σε punycode και στη συνέχεια πίσω σε Unicode επιτρέπει την αντιστοίχιση με μια λευκή λίστα ή την εκτέλεση ελέγχων ομοιότητας (π.χ., απόσταση Levenshtein) **μετά** την κανονικοποίηση της συμβολοσειράς.
+```python
+import idna
+hostname = "Ρаypal.com"   # Greek Rho + Cyrillic a
+puny = idna.encode(hostname).decode()
+print(puny)  # xn--yl8hpyal.com
+```
+### 3. Ομογράμματα Λεξικά / Αλγόριθμοι
+
+Εργαλεία όπως το **dnstwist** (`--homoglyph`) ή το **urlcrazy** μπορούν να απαριθμήσουν οπτικά παρόμοιες παραλλαγές τομέων και είναι χρήσιμα για προληπτική κατάργηση / παρακολούθηση.
+
+## Πρόληψη & Ελάφρυνση
+
+* Επιβολή αυστηρών πολιτικών DMARC/DKIM/SPF – αποτροπή παραποίησης από μη εξουσιοδοτημένους τομείς.
+* Υλοποίηση της λογικής ανίχνευσης παραπάνω σε **Secure Email Gateways** και **SIEM/XSOAR** playbooks.
+* Σημείωση ή καραντίνα μηνυμάτων όπου το domain του εμφανιζόμενου ονόματος ≠ το domain του αποστολέα.
+* Εκπαίδευση χρηστών: αντιγραφή-επικόλληση ύποπτου κειμένου σε έναν επιθεωρητή Unicode, αιωρούμενοι σύνδεσμοι, ποτέ μην εμπιστεύεστε τους συντομευτές URL.
+
+## Παραδείγματα από τον Πραγματικό Κόσμο
+
+* Εμφανιζόμενο όνομα: `Сonfidеntiаl Ꭲiꮯkеt` (Κυριλλικό `С`, `е`, `а`; Τσερόκι `Ꭲ`; Λατινικό μικρό κεφαλαίο `ꮯ`).
+* Αλυσίδα τομέα: `bestseoservices.com` ➜ δημοτικός κατάλογος `/templates` ➜ `kig.skyvaulyt.ru` ➜ ψεύτικη είσοδος Microsoft στο `mlcorsftpsswddprotcct.approaches.it.com` προστατευμένη από προσαρμοσμένο OTP CAPTCHA.
+* Υποκλοπή Spotify: αποστολέας `Sρօtifւ` με σύνδεσμο κρυμμένο πίσω από `redirects.ca`.
+
+Αυτά τα δείγματα προέρχονται από την έρευνα της Unit 42 (Ιούλιος 2025) και απεικονίζουν πώς η κακοποίηση ομογραμμάτων συνδυάζεται με ανακατεύθυνση URL και αποφυγή CAPTCHA για να παρακάμψει την αυτοματοποιημένη ανάλυση.
+
+## Αναφορές
+
+- [The Homograph Illusion: Not Everything Is As It Seems](https://unit42.paloaltonetworks.com/homograph-attacks/)
+- [Unicode Character Database](https://home.unicode.org/)
+- [dnstwist – domain permutation engine](https://github.com/elceef/dnstwist)
+
+{{#include ../../banners/hacktricks-training.md}}