maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-methodologies-and-resources/phishing-methodolog

Browse Source
This commit is contained in:
Translator 2025-08-05 03:15:24 +00:00
parent df074506ba
commit ae2ee2d51c
1 changed files with 105 additions and 17 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

122
src/generic-methodologies-and-resources/phishing-methodology/README.md
View File

@ -77,7 +77,7 @@ homograph-attacks.md
- [https://hunter.io/](https://hunter.io)
- [https://anymailfinder.com/](https://anymailfinder.com)
Για να **ανακαλύψετε περισσότερες** έγκυρες διευθύνσεις email ή **να επαληθεύσετε αυτές που έχετε ήδη ανακαλύψει** μπορείτε να ελέγξετε αν μπορείτε να κάνετε brute-force στους smtp servers του θύματος. [Μάθετε πώς να επαληθεύσετε/ανακαλύψετε διεύθυνση email εδώ](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\
Για να **ανακαλύψετε περισσότερες** έγκυρες διευθύνσεις email ή **να επιβεβαιώσετε αυτές που** έχετε ήδη ανακαλύψει μπορείτε να ελέγξετε αν μπορείτε να κάνετε brute-force στους smtp servers του θύματος. [Μάθετε πώς να επιβεβαιώσετε/ανακαλύψετε διεύθυνση email εδώ](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\
Επιπλέον, μην ξεχνάτε ότι αν οι χρήστες χρησιμοποιούν **οποιαδήποτε διαδικτυακή πύλη για να αποκτήσουν πρόσβαση στα emails τους**, μπορείτε να ελέγξετε αν είναι ευάλωτη σε **brute force ονόματος χρήστη**, και να εκμεταλλευτείτε την ευπάθεια αν είναι δυνατόν.
## Configuring GoPhish
@ -111,7 +111,7 @@ mkdir /opt/gophish/ssl_keys
cp "/etc/letsencrypt/live/$DOMAIN/privkey.pem" /opt/gophish/ssl_keys/key.pem
cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt
```
**Ρύθμιση ταχυδρομείου**
**Διαμόρφωση ταχυδρομείου**
Αρχίστε την εγκατάσταση: `apt-get install postfix`
@ -225,9 +225,9 @@ service gophish stop
```
## Ρύθμιση διακομιστή αλληλογραφίας και τομέα
### Περιμένετε & να είστε νόμιμοι
### Περίμενε & να είσαι νόμιμος
Όσο παλαιότερος είναι ένας τομέας, τόσο λιγότερο πιθανό είναι να πιαστεί ως spam. Έτσι, θα πρέπει να περιμένετε όσο το δυνατόν περισσότερο (τουλάχιστον 1 εβδομάδα) πριν από την αξιολόγηση phishing. Επιπλέον, αν δημιουργήσετε μια σελίδα σχετικά με έναν τομέα φήμης, η φήμη που θα αποκτήσετε θα είναι καλύτερη.
Όσο παλαιότερος είναι ένας τομέας, τόσο λιγότερο πιθανό είναι να πιαστεί ως spam. Έτσι, θα πρέπει να περιμένετε όσο το δυνατόν περισσότερο (τουλάχιστον 1 εβδομάδα) πριν από την αξιολόγηση phishing. Επιπλέον, αν δημιουργήσετε μια σελίδα σχετικά με έναν τομέα φήμης, η φήμη που θα αποκτηθεί θα είναι καλύτερη.
Σημειώστε ότι ακόμη και αν πρέπει να περιμένετε μια εβδομάδα, μπορείτε να ολοκληρώσετε τη ρύθμιση όλων τώρα.
@ -307,7 +307,7 @@ dkim=pass header.i=@example.com;
- Ορίστε κάποιο **όνομα για να αναγνωρίσετε** το προφίλ αποστολέα
- Αποφασίστε από ποιον λογαριασμό θα στείλετε τα phishing emails. Προτάσεις: _noreply, support, servicedesk, salesforce..._
- Μπορείτε να αφήσετε κενό το όνομα χρήστη και τον κωδικό πρόσβασης, αλλά βεβαιωθείτε ότι έχετε ελέγξει την επιλογή Αγνόηση Σφαλμάτων Πιστοποιητικού
- Μπορείτε να αφήσετε κενά το όνομα χρήστη και τον κωδικό πρόσβασης, αλλά βεβαιωθείτε ότι έχετε ελέγξει την επιλογή Αγνόηση Σφαλμάτων Πιστοποιητικού
![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)
@ -369,26 +369,26 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
### Users & Groups
- Ορίστε ένα όνομα
- **Εισάγετε τα δεδομένα** (σημειώστε ότι για να χρησιμοποιήσετε το πρότυπο για το παράδειγμα χρειάζεστε το όνομα, το επώνυμο και τη διεύθυνση email κάθε χρήστη)
- **Εισάγετε τα δεδομένα** (σημειώστε ότι για να χρησιμοποιήσετε το template για το παράδειγμα χρειάζεστε το όνομα, το επώνυμο και τη διεύθυνση email κάθε χρήστη)
![](<../../images/image (163).png>)
### Campaign
Τέλος, δημιουργήστε μια καμπάνια επιλέγοντας ένα όνομα, το email template, τη landing page, το URL, το προφίλ αποστολής και την ομάδα. Σημειώστε ότι το URL θα είναι ο σύνδεσμος που θα σταλεί στα θύματα.
Τέλος, δημιουργήστε μια καμπάνια επιλέγοντας ένα όνομα, το email template, τη landing page, το URL, το sending profile και την ομάδα. Σημειώστε ότι το URL θα είναι ο σύνδεσμος που θα σταλεί στα θύματα.
Σημειώστε ότι το **Sending Profile επιτρέπει να στείλετε ένα δοκιμαστικό email για να δείτε πώς θα φαίνεται το τελικό phishing email**:
![](<../../images/image (192).png>)
> [!TIP]
> Θα συνιστούσα να **στείλετε τα δοκιμαστικά emails σε διευθύνσεις 10min mails** για να αποφύγετε να μπείτε σε μαύρη λίστα κάνοντας δοκιμές.
> Θα συνιστούσα να **στείλετε τα δοκιμαστικά emails σε διευθύνσεις 10min mails** για να αποφύγετε να μπείτε σε μαύρη λίστα κατά τη διάρκεια των δοκιμών.
Μόλις είναι όλα έτοιμα, απλά εκκινήστε την καμπάνια!
Μόλις είναι όλα έτοιμα, απλά ξεκινήστε την καμπάνια!
## Website Cloning
Αν για οποιονδήποτε λόγο θέλετε να κλωνοποιήσετε την ιστοσελίδα ελέγξτε την παρακάτω σελίδα:
Αν για οποιονδήποτε λόγο θέλετε να κλωνοποιήσετε την ιστοσελίδα, ελέγξτε την παρακάτω σελίδα:
{{#ref}}
clone-a-website.md
@ -407,23 +407,23 @@ phishing-documents.md
### Via Proxy MitM
Η προηγούμενη επίθεση είναι αρκετά έξυπνη καθώς προσποιείστε μια πραγματική ιστοσελίδα και συγκεντρώνετε τις πληροφορίες που εισάγει ο χρήστης. Δυστυχώς, αν ο χρήστης δεν εισάγει τον σωστό κωδικό ή αν η εφαρμογή που προσποιείστε είναι ρυθμισμένη με 2FA, **αυτές οι πληροφορίες δεν θα σας επιτρέψουν να προσποιηθείτε τον παραπλανημένο χρήστη**.
Η προηγούμενη επίθεση είναι αρκετά έξυπνη καθώς προσποιείστε μια πραγματική ιστοσελίδα και συγκεντρώνετε τις πληροφορίες που εισάγει ο χρήστης. Δυστυχώς, αν ο χρήστης δεν έχει βάλει τον σωστό κωδικό ή αν η εφαρμογή που προσποιείστε είναι ρυθμισμένη με 2FA, **αυτές οι πληροφορίες δεν θα σας επιτρέψουν να προσποιηθείτε τον παραπλανημένο χρήστη**.
Εδώ είναι που εργαλεία όπως [**evilginx2**](https://github.com/kgretzky/evilginx2)**,** [**CredSniper**](https://github.com/ustayready/CredSniper) και [**muraena**](https://github.com/muraenateam/muraena) είναι χρήσιμα. Αυτό το εργαλείο θα σας επιτρέψει να δημιουργήσετε μια επίθεση τύπου MitM. Βασικά, οι επιθέσεις λειτουργούν ως εξής:
1. Εσείς **προσποιείστε τη φόρμα σύνδεσης** της πραγματικής ιστοσελίδας.
2. Ο χρήστης **στέλνει** τα **διαπιστευτήριά** του στη ψεύτικη σελίδα σας και το εργαλείο στέλνει αυτά στη πραγματική ιστοσελίδα, **ελέγχοντας αν τα διαπιστευτήρια λειτουργούν**.
3. Αν ο λογαριασμός είναι ρυθμισμένος με **2FA**, η σελίδα MitM θα ζητήσει αυτό και μόλις ο **χρήστης το εισάγει** το εργαλείο θα το στείλει στη πραγματική ιστοσελίδα.
4. Μόλις ο χρήστης αυθεντικοποιηθεί εσείς (ως επιτιθέμενος) θα έχετε **συλλάβει τα διαπιστευτήρια, το 2FA, το cookie και οποιαδήποτε πληροφορία** από κάθε αλληλεπίδραση σας ενώ το εργαλείο εκτελεί μια MitM.
2. Ο χρήστης **στέλνει** τα **διαπιστευτήριά** του στη ψεύτικη σελίδα σας και το εργαλείο τα στέλνει στην πραγματική ιστοσελίδα, **ελέγχοντας αν τα διαπιστευτήρια λειτουργούν**.
3. Αν ο λογαριασμός είναι ρυθμισμένος με **2FA**, η σελίδα MitM θα ζητήσει αυτό και μόλις ο **χρήστης το εισάγει**, το εργαλείο θα το στείλει στην πραγματική ιστοσελίδα.
4. Μόλις ο χρήστης είναι αυθεντικοποιημένος, εσείς (ως επιτιθέμενος) θα έχετε **συλλάβει τα διαπιστευτήρια, το 2FA, το cookie και οποιαδήποτε πληροφορία** από κάθε αλληλεπίδραση σας ενώ το εργαλείο εκτελεί μια MitM.
### Via VNC
Τι θα γινόταν αν αντί να **στείλετε το θύμα σε μια κακόβουλη σελίδα** με την ίδια εμφάνιση όπως η αρχική, το στείλετε σε μια **συνεδρία VNC με έναν περιηγητή συνδεδεμένο στην πραγματική ιστοσελίδα**; Θα μπορείτε να δείτε τι κάνει, να κλέψετε τον κωδικό, το MFA που χρησιμοποιείται, τα cookies...\
Τι θα γινόταν αν αντί να **στείλετε το θύμα σε μια κακόβουλη σελίδα** που μοιάζει με την αρχική, το στείλετε σε μια **VNC συνεδρία με έναν περιηγητή συνδεδεμένο στην πραγματική ιστοσελίδα**; Θα μπορείτε να δείτε τι κάνει, να κλέψετε τον κωδικό, το MFA που χρησιμοποιείται, τα cookies...\
Μπορείτε να το κάνετε αυτό με [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC)
## Detecting the detection
Προφανώς ένας από τους καλύτερους τρόπους για να ξέρετε αν έχετε ανακαλυφθεί είναι να **αναζητήσετε το domain σας μέσα σε μαύρες λίστες**. Αν εμφανίζεται καταχωρημένο, με κάποιο τρόπο το domain σας ανιχνεύθηκε ως ύποπτο.\
Προφανώς, ένας από τους καλύτερους τρόπους για να ξέρετε αν έχετε εντοπιστεί είναι να **αναζητήσετε το domain σας μέσα σε μαύρες λίστες**. Αν εμφανίζεται καταχωρημένο, με κάποιο τρόπο το domain σας εντοπίστηκε ως ύποπτο.\
Ένας εύκολος τρόπος για να ελέγξετε αν το domain σας εμφανίζεται σε οποιαδήποτε μαύρη λίστα είναι να χρησιμοποιήσετε [https://malwareworld.com/](https://malwareworld.com)
Ωστόσο, υπάρχουν και άλλοι τρόποι για να ξέρετε αν το θύμα **αναζητά ενεργά ύποπτη phishing δραστηριότητα στον κόσμο** όπως εξηγείται σε:
@ -438,9 +438,96 @@ detecting-phising.md
Χρησιμοποιήστε [**Phishious** ](https://github.com/Rices/Phishious) για να αξιολογήσετε αν το email σας θα καταλήξει στο φάκελο spam ή αν θα μπλοκαριστεί ή θα είναι επιτυχές.
## High-Touch Identity Compromise (Help-Desk MFA Reset)
Οι σύγχρονες επιθέσεις παρακάμπτουν ολοένα και περισσότερο τις παγίδες email και **στοχεύουν άμεσα τη διαδικασία service-desk / identity-recovery** για να παρακάμψουν το MFA. Η επίθεση είναι πλήρως "living-off-the-land": μόλις ο χειριστής αποκτήσει έγκυρα διαπιστευτήρια, προχωρά με τα ενσωματωμένα εργαλεία διαχείρισης δεν απαιτείται κακόβουλο λογισμικό.
### Attack flow
1. Recon the victim
* Συλλέξτε προσωπικές & εταιρικές λεπτομέρειες από LinkedIn, παραβιάσεις δεδομένων, δημόσιο GitHub, κ.λπ.
* Εντοπίστε ταυτότητες υψηλής αξίας (εκτελεστικά στελέχη, IT, χρηματοοικονομικά) και καταγράψτε τη **συγκεκριμένη διαδικασία help-desk** για επαναφορά κωδικού / MFA.
2. Real-time social engineering
* Καλέστε, χρησιμοποιήστε Teams ή συνομιλήστε με το help-desk προσποιούμενοι τον στόχο (συχνά με **spoofed caller-ID** ή **κλωνοποιημένη φωνή**).
* Παρέχετε τα προηγουμένως συλλεγμένα PII για να περάσετε την επαλήθευση βάσει γνώσεων.
* Πείστε τον πράκτορα να **επαναφέρει το μυστικό MFA** ή να εκτελέσει μια **SIM-swap** σε έναν καταχωρημένο αριθμό κινητού.
3. Άμεσες ενέργειες μετά την πρόσβαση (≤60 λεπτά σε πραγματικές περιπτώσεις)
* Δημιουργήστε μια βάση μέσω οποιασδήποτε πύλης SSO ιστού.
* Καταγράψτε AD / AzureAD με ενσωματωμένα (χωρίς να ρίξετε δυαδικά αρχεία):
```powershell
# list directory groups & privileged roles
Get-ADGroup -Filter * -Properties Members | ?{$_.Members -match $env:USERNAME}
# AzureAD / Graph list directory roles
Get-MgDirectoryRole | ft DisplayName,Id
# Enumerate devices the account can login to
Get-MgUserRegisteredDevice -UserId <user@corp.local>
```
* Πλευρική κίνηση με **WMI**, **PsExec**, ή νόμιμους **RMM** πράκτορες που είναι ήδη λευκοί στη λίστα στο περιβάλλον.
### Detection & Mitigation
* Αντιμετωπίστε την ανάκτηση ταυτότητας help-desk ως **προνομιακή λειτουργία** απαιτήστε step-up auth & έγκριση διευθυντή.
* Αναπτύξτε κανόνες **Identity Threat Detection & Response (ITDR)** / **UEBA** που ειδοποιούν για:
* Μέθοδος MFA που άλλαξε + αυθεντικοποίηση από νέα συσκευή / γεωγραφία.
* Άμεση αναβάθμιση του ίδιου προσώπου (χρήστης-→-διαχειριστής).
* Καταγράψτε τις κλήσεις help-desk και επιβάλετε μια **επιστροφή κλήσης σε ήδη καταχωρημένο αριθμό** πριν από οποιαδήποτε επαναφορά.
* Εφαρμόστε **Just-In-Time (JIT) / Privileged Access** ώστε οι νεοεπαναρυθμισμένοι λογαριασμοί να **μην** κληρονομούν αυτόματα υψηλής προνομιακής πρόσβασης tokens.
---
## At-Scale Deception SEO Poisoning & “ClickFix” Campaigns
Οι ομάδες εμπορικών επιθέσεων αντισταθμίζουν το κόστος των υψηλών επαφών με μαζικές επιθέσεις που μετατρέπουν **τις μηχανές αναζήτησης & τα δίκτυα διαφημίσεων σε κανάλι παράδοσης**.
1. **SEO poisoning / malvertising** προωθεί ένα ψεύτικο αποτέλεσμα όπως το `chromium-update[.]site` στην κορυφή των διαφημίσεων αναζήτησης.
2. Το θύμα κατεβάζει έναν μικρό **loader πρώτης φάσης** (συχνά JS/HTA/ISO). Παραδείγματα που είδαν οι Unit 42:
* `RedLine stealer`
* `Lumma stealer`
* `Lampion Trojan`
3. Ο loader εξάγει cookies περιηγητή + βάσεις δεδομένων διαπιστευτηρίων, στη συνέχεια τραβά έναν **σιωπηλό loader** που αποφασίζει *σε πραγματικό χρόνο* αν θα αναπτύξει:
* RAT (π.χ. AsyncRAT, RustDesk)
* ransomware / wiper
* συστατικό επιμονής (κλειδί Run μητρώου + προγραμματισμένο έργο)
### Hardening tips
* Εμποδίστε τα νεοκαταχωρημένα domains & επιβάλετε **Advanced DNS / URL Filtering** σε *search-ads* καθώς και σε email.
* Περιορίστε την εγκατάσταση λογισμικού σε υπογεγραμμένα πακέτα MSI / Store, αρνηθείτε την εκτέλεση `HTA`, `ISO`, `VBS` με πολιτική.
* Παρακολουθήστε για διαδικασίες παιδιών περιηγητών που ανοίγουν εγκαταστάτες:
```yaml
- parent_image: /Program Files/Google/Chrome/*
and child_image: *\\*.exe
```
* Κυνηγήστε για LOLBins που συχνά κακοποιούνται από loaders πρώτης φάσης (π.χ. `regsvr32`, `curl`, `mshta`).
---
## AI-Enhanced Phishing Operations
Οι επιτιθέμενοι τώρα αλυσσοδένονται **LLM & voice-clone APIs** για πλήρως εξατομικευμένες παγίδες και αλληλεπίδραση σε πραγματικό χρόνο.
| Layer | Example use by threat actor |
|-------|-----------------------------|
|Automation|Δημιουργία & αποστολή >100 k emails / SMS με τυχαία διατύπωση & συνδέσμους παρακολούθησης.|
|Generative AI|Παραγωγή *one-off* emails που αναφέρονται σε δημόσιες M&A, εσωτερικά αστεία από τα κοινωνικά μέσα; βαθιά ψεύτικη φωνή CEO σε απάτη επιστροφής κλήσης.|
|Agentic AI|Αυτονομία στην καταχώρηση domains, συλλογή ανοιχτών πηγών πληροφοριών, δημιουργία επόμενης φάσης emails όταν ένα θύμα κάνει κλικ αλλά δεν υποβάλλει διαπιστευτήρια.|
**Άμυνα:**
• Προσθέστε **δυναμικές διαφημίσεις** που επισημαίνουν μηνύματα που αποστέλλονται από μη αξιόπιστη αυτοματοποίηση (μέσω ανωμαλιών ARC/DKIM).
• Αναπτύξτε **φωνητικές προκλήσεις βιομετρικών φράσεων** για αιτήματα τηλεφώνου υψηλού κινδύνου.
• Συνεχώς προσομοιώστε AI-generated παγίδες σε προγράμματα ευαισθητοποίησης στατικά templates είναι παρωχημένα.
---
## MFA Fatigue / Push Bombing Variant Forced Reset
Εκτός από την κλασική μέθοδο push-bombing, οι χειριστές απλά **αναγκάζουν μια νέα εγγραφή MFA** κατά τη διάρκεια της κλήσης help-desk, μηδενίζοντας το υπάρχον token του χρήστη. Οποιαδήποτε επόμενη προτροπή σύνδεσης φαίνεται νόμιμη για το θύμα.
```text
[Attacker] → Help-Desk: “I lost my phone while travelling, can you unenrol it so I can add a new authenticator?”
[Help-Desk] → AzureAD: Delete existing methods → sends registration e-mail
[Attacker] → Completes new TOTP enrolment on their own device
```
Παρακολουθήστε για γεγονότα AzureAD/AWS/Okta όπου **`deleteMFA` + `addMFA`** συμβαίνουν **εντός λεπτών από την ίδια IP**.
## Clipboard Hijacking / Pastejacking
Οι επιτιθέμενοι μπορούν σιωπηλά να αντιγράψουν κακόβουλες εντολές στο clipboard του θύματος από μια συμβιβασμένη ή typosquatted ιστοσελίδα και στη συνέχεια να εξαπατήσουν τον χρήστη να τις επικολλήσει μέσα σε **Win + R**, **Win + X** ή ένα παράθυρο τερματικού, εκτελώντας αυθαίρετο κώδικα χωρίς καμία λήψη ή επισύναψη.
Οι επιτιθέμενοι μπορούν σιωπηλά να αντιγράψουν κακόβουλες εντολές στο πρόχειρο του θύματος από μια συμβιβασμένη ή typosquatted ιστοσελίδα και στη συνέχεια να παρασύρουν τον χρήστη να τις επικολλήσει μέσα σε **Win + R**, **Win + X** ή ένα παράθυρο τερματικού, εκτελώντας αυθαίρετο κώδικα χωρίς καμία λήψη ή συνημμένο.
{{#ref}}
clipboard-hijacking.md
@ -458,5 +545,6 @@ mobile-phishing-malicious-apps.md
- [https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/)
- [https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/](https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/)
- [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)
- [2025 Unit 42 Global Incident Response Report Social Engineering Edition](https://unit42.paloaltonetworks.com/2025-unit-42-global-incident-response-report-social-engineering-edition/)
{{#include ../../banners/hacktricks-training.md}}