maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-methodologies-and-resources/phishing-methodolog

Browse Source
This commit is contained in:
Translator 2025-08-05 03:14:53 +00:00
parent 1d93ecbdd2
commit ea946a59e3
1 changed files with 110 additions and 22 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

132
src/generic-methodologies-and-resources/phishing-methodology/README.md
View File

@ -7,7 +7,7 @@
1. Recon die slagoffer
1. Kies die **slagoffer domein**.
2. Voer 'n paar basiese web-opsomming **soek na aanmeldportale** wat deur die slagoffer gebruik word en **besluit** watter een jy gaan **naboots**.
3. Gebruik 'n bietjie **OSINT** om **e-posse** te **vind**.
3. Gebruik 'n bietjie **OSINT** om **e-posse te vind**.
2. Berei die omgewing voor
1. **Koop die domein** wat jy gaan gebruik vir die phishing assessering
2. **Konfigureer die e-posdiens** verwante rekords (SPF, DMARC, DKIM, rDNS)
@ -36,7 +36,7 @@ homograph-attacks.md
- **Vervanging**: Soos homoglyph maar minder stil. Dit vervang een van die letters in die domeinnaam, dalk met 'n letter naby die oorspronklike letter op die sleutelbord (bv. zektser.com).
- **Subdomein**: Introduceer 'n **punt** binne die domeinnaam (bv. ze.lster.com).
- **Invoeging**: Dit **voeg 'n letter** in die domeinnaam in (bv. zerltser.com).
- **Verlies van punt**: Voeg die TLD by die domeinnaam. (bv. zelstercom.com)
- **Missing dot**: Voeg die TLD by die domeinnaam. (bv. zelstercom.com)
**Outomatiese Gereedskap**
@ -77,8 +77,8 @@ Om seker te maak dat die vervalle domein wat jy gaan koop **alreeds 'n goeie SEO
- [https://hunter.io/](https://hunter.io)
- [https://anymailfinder.com/](https://anymailfinder.com)
Om **meer** geldige e-posadresse te **ontdek** of **diegene** wat jy reeds ontdek het te **verifieer**, kan jy kyk of jy die slagoffer se smtp bedieners kan brute-force. [Leer hoe om e-posadres hier te verifieer/ontdek](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\
Boonop, moenie vergeet dat as die gebruikers **enige webportaal gebruik om toegang tot hul e-posse te verkry**, jy kan kyk of dit kwesbaar is vir **gebruikersnaam brute force**, en die kwesbaarheid indien moontlik benut.
Om **meer** geldige e-pos adresse te **ontdek** of diegene wat jy reeds ontdek het te **verifieer**, kan jy kyk of jy die slagoffer se smtp bedieners kan brute-force. [Leer hoe om e-pos adres hier te verifieer/ontdek](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\
Boonop, moenie vergeet dat as die gebruikers **enige webportaal gebruik om toegang tot hul e-posse te verkry**, jy kan kyk of dit kwesbaar is vir **gebruikersnaam brute force**, en die kwesbaarheid indien moontlik te benut.
## Konfigureer GoPhish
@ -86,8 +86,8 @@ Boonop, moenie vergeet dat as die gebruikers **enige webportaal gebruik om toega
Jy kan dit aflaai van [https://github.com/gophish/gophish/releases/tag/v0.11.0](https://github.com/gophish/gophish/releases/tag/v0.11.0)
Laai dit af en ontbind dit binne `/opt/gophish` en voer `/opt/gophish/gophish` uit.\
Jy sal 'n wagwoord vir die admin gebruiker op poort 3333 in die uitvoer ontvang. Daarom, toegang daartoe en gebruik daardie inligting om die admin wagwoord te verander. Jy mag dalk daardie poort na lokaal moet tonnel.
Laai dit af en ontspan dit binne `/opt/gophish` en voer `/opt/gophish/gophish` uit.\
Jy sal 'n wagwoord vir die admin gebruiker in poort 3333 in die uitvoer ontvang. Daarom, toegang daartoe en gebruik daardie inligting om die admin wagwoord te verander. Jy mag dalk daardie poort na lokaal moet tonnel.
```bash
ssh -L 3333:127.0.0.1:3333 <user>@<ip>
```
@ -111,7 +111,7 @@ mkdir /opt/gophish/ssl_keys
cp "/etc/letsencrypt/live/$DOMAIN/privkey.pem" /opt/gophish/ssl_keys/key.pem
cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt
```
**Poskonfigurasie**
**Pos konfigurasie**
Begin met installasie: `apt-get install postfix`
@ -163,7 +163,7 @@ Wysig `/opt/gophish/config.json` na die volgende (let op die gebruik van https):
}
}
```
**Konfigureer gophish diens**
**Stel gophish diens in**
Om die gophish diens te skep sodat dit outomaties begin kan word en as 'n diens bestuur kan word, kan jy die lêer `/etc/init.d/gophish` met die volgende inhoud skep:
```bash
@ -249,7 +249,7 @@ v=spf1 mx a ip4:ip.ip.ip.ip ?all
```
### Domein-gebaseerde Boodskapoutentiekering, Verslagdoening & Nakoming (DMARC) Rekord
Jy moet **'n DMARC rekord vir die nuwe domein konfigureer**. As jy nie weet wat 'n DMARC rekord is nie [**lees hierdie bladsy**](../../network-services-pentesting/pentesting-smtp/index.html#dmarc).
Jy moet **'n DMARC rekord vir die nuwe domein konfigureer**. As jy nie weet wat 'n DMARC rekord is nie, [**lees hierdie bladsy**](../../network-services-pentesting/pentesting-smtp/index.html#dmarc).
Jy moet 'n nuwe DNS TXT rekord skep wat die gasheernaam `_dmarc.<domain>` met die volgende inhoud aandui:
```bash
@ -257,7 +257,7 @@ v=DMARC1; p=none
```
### DomainKeys Identified Mail (DKIM)
Jy moet **'n DKIM vir die nuwe domein konfigureer**. As jy nie weet wat 'n DMARC-record is nie [**lees hierdie bladsy**](../../network-services-pentesting/pentesting-smtp/index.html#dkim).
Jy moet **'n DKIM vir die nuwe domein konfigureer**. As jy nie weet wat 'n DMARC-record is nie, [**lees hierdie bladsy**](../../network-services-pentesting/pentesting-smtp/index.html#dkim).
Hierdie tutoriaal is gebaseer op: [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)
@ -287,7 +287,7 @@ DKIM check: pass
Sender-ID check: pass
SpamAssassin check: ham
```
Jy kan ook 'n **boodskap na 'n Gmail onder jou beheer** stuur, en die **e-pos se koptekste** in jou Gmail-inboks nagaan, `dkim=pass` moet teenwoordig wees in die `Authentication-Results` koptekstveld.
Jy kan ook 'n **boodskap na 'n Gmail onder jou beheer** stuur, en die **e-pos se koptekste** in jou Gmail-inboks nagaan, `dkim=pass` moet teenwoordig wees in die `Authentication-Results` kopveld.
```
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
@ -309,7 +309,7 @@ Die bladsy [www.mail-tester.com](https://www.mail-tester.com) kan jou aandui of
- Besluit vanaf watter rekening jy die phishing e-posse gaan stuur. Voorstelle: _noreply, support, servicedesk, salesforce..._
- Jy kan die gebruikersnaam en wagwoord leeg laat, maar maak seker om die Ignore Certificate Errors te merk
![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)
![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)
> [!TIP]
> Dit word aanbeveel om die "**Stuur Toets E-pos**" funksionaliteit te gebruik om te toets of alles werk.\
@ -339,7 +339,7 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
</body>
</html>
```
Let daarop dat **om die geloofwaardigheid van die e-pos te verhoog**, dit aanbeveel word om 'n handtekening van 'n e-pos van die kliënt te gebruik. Voorstelle:
Let wel dat **om die geloofwaardigheid van die e-pos te verhoog**, dit aanbeveel word om 'n handtekening van 'n e-pos van die kliënt te gebruik. Voorstelle:
- Stuur 'n e-pos na 'n **nie-bestaande adres** en kyk of die antwoord enige handtekening het.
- Soek na **publieke e-posse** soos info@ex.com of press@ex.com of public@ex.com en stuur hulle 'n e-pos en wag vir die antwoord.
@ -360,11 +360,11 @@ Let daarop dat **om die geloofwaardigheid van die e-pos te verhoog**, dit aanbev
![](<../../images/image (826).png>)
> [!TIP]
> Gewoonlik sal jy die HTML-kode van die bladsy moet wysig en 'n paar toetse in plaaslike omgewing doen (miskien met 'n Apache-bediener) **totdat jy hou van die resultate.** Skryf dan daardie HTML-kode in die boks.\
> Let daarop dat as jy **bepaalde statiese hulpbronne** vir die HTML benodig (miskien 'n paar CSS en JS bladsye) jy dit in _**/opt/gophish/static/endpoint**_ kan stoor en dit dan kan benader vanaf _**/static/\<filename>**_
> Gewoonlik sal jy die HTML-kode van die bladsy moet wysig en 'n paar toetse in plaaslike omgewing doen (miskien met 'n Apache-bediener) **tot jy hou van die resultate.** Skryf dan daardie HTML-kode in die boks.\
> Let daarop dat as jy **sommige statiese hulpbronne** vir die HTML benodig (miskien sommige CSS en JS bladsye) jy dit in _**/opt/gophish/static/endpoint**_ kan stoor en dit dan kan benader vanaf _**/static/\<filename>**_
> [!TIP]
> Vir die omleiding kan jy **die gebruikers na die wettige hoofwebblad** van die slagoffer omlei, of hulle na _/static/migration.html_ omlei, byvoorbeeld, plaas 'n **draaiwiel (**[**https://loading.io/**](https://loading.io)**) vir 5 sekondes en dui dan aan dat die proses suksesvol was**.
> Vir die omleiding kan jy **die gebruikers na die wettige hoofwebblad** van die slagoffer omlei, of hulle na _/static/migration.html_ omlei, byvoorbeeld, plaas 'n **draaiwiel** (**[**https://loading.io/**](https://loading.io)**) vir 5 sekondes en dui dan aan dat die proses suksesvol was**.
### Users & Groups
@ -407,18 +407,18 @@ phishing-documents.md
### Via Proxy MitM
Die vorige aanval is redelik slim aangesien jy 'n werklike webwerf naboots en die inligting wat deur die gebruiker ingestel is, versamel. Ongelukkig, as die gebruiker nie die korrekte wagwoord ingevoer het nie of as die toepassing wat jy naboots met 2FA geconfigureer is, **sal hierdie inligting jou nie toelaat om die misleide gebruiker na te boots nie**.
Die vorige aanval is redelik slim aangesien jy 'n werklike webwerf naboots en die inligting wat deur die gebruiker ingestel is, versamel. Ongelukkig, as die gebruiker nie die korrekte wagwoord ingevoer het nie of as die toepassing wat jy naboots met 2FA gekonfigureer is, **sal hierdie inligting jou nie toelaat om die misleide gebruiker na te boots nie**.
Hierdie is waar gereedskap soos [**evilginx2**](https://github.com/kgretzky/evilginx2)**,** [**CredSniper**](https://github.com/ustayready/CredSniper) en [**muraena**](https://github.com/muraenateam/muraena) nuttig is. Hierdie gereedskap sal jou toelaat om 'n MitM-agtige aanval te genereer. Basies werk die aanvalle soos volg:
1. Jy **naboots die aanmeld** vorm van die werklike webblad.
2. Die gebruiker **stuur** sy **akkrediteer** na jou vals bladsy en die gereedskap stuur dit na die werklike webblad, **om te kyk of die akkrediteer werk**.
3. As die rekening met **2FA** geconfigureer is, sal die MitM-bladsy daarna vra en sodra die **gebruiker dit invoer**, sal die gereedskap dit na die werklike webblad stuur.
3. As die rekening met **2FA** gekonfigureer is, sal die MitM-bladsy daarna vra en sodra die **gebruiker dit invoer**, sal die gereedskap dit na die werklike webblad stuur.
4. Sodra die gebruiker geverifieer is, sal jy (as aanvaller) **die akkrediteer, die 2FA, die koekie en enige inligting** van elke interaksie wat jy terwyl die gereedskap 'n MitM uitvoer, gevang het.
### Via VNC
Wat as jy in plaas van **die slagoffer na 'n kwaadwillige bladsy** met dieselfde voorkoms as die oorspronklike een te stuur, hom na 'n **VNC-sessie met 'n blaaskoppeling na die werklike webblad** stuur? Jy sal kan sien wat hy doen, die wagwoord steel, die MFA wat gebruik word, die koekies...\
Wat as jy in plaas van **die slagoffer na 'n kwaadwillige bladsy** met dieselfde voorkoms as die oorspronklike te stuur, hom na 'n **VNC-sessie met 'n blaaskier wat aan die werklike webblad gekoppel is** stuur? Jy sal kan sien wat hy doen, die wagwoord steel, die MFA wat gebruik word, die koekies...\
Jy kan dit doen met [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC)
## Detecting the detection
@ -426,17 +426,104 @@ Jy kan dit doen met [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC)
Dit is duidelik dat een van die beste maniere om te weet of jy betrap is, is om **jou domein in swartlyste te soek**. As dit gelys word, was jou domein op een of ander manier as verdag beskou.\
Een maklike manier om te kyk of jou domein in enige swartlys verskyn, is om [https://malwareworld.com/](https://malwareworld.com) te gebruik.
Daar is egter ander maniere om te weet of die slagoffer **aktief op soek is na verdagte phishingaktiwiteite in die natuur**, soos verduidelik in:
Daar is egter ander maniere om te weet of die slagoffer **aktief op soek is na verdagte phishingaktiwiteite in die natuur** soos verduidelik in:
{{#ref}}
detecting-phising.md
{{#endref}}
Jy kan **'n domein met 'n baie soortgelyke naam** as die slagoffer se domein **koop en/of 'n sertifikaat genereer** vir 'n **subdomein** van 'n domein wat deur jou beheer word **wat die** **sleutelwoord** van die slagoffer se domein bevat. As die **slagoffer** enige soort **DNS of HTTP-interaksie** met hulle uitvoer, sal jy weet dat **hy aktief op soek is** na verdagte domeine en jy sal baie stil moet wees.
Jy kan **'n domein met 'n baie soortgelyke naam** as die slagoffer se domein **koop en/of 'n sertifikaat genereer** vir 'n **subdomein** van 'n domein wat deur jou beheer word **wat die** **sleutelwoord** van die slagoffer se domein bevat. As die **slagoffer** enige soort **DNS of HTTP-interaksie** met hulle uitvoer, sal jy weet dat **hy aktief op soek is** na verdagte domeine en jy sal baie versigtig moet wees.
### Evaluate the phishing
Gebruik [**Phishious** ](https://github.com/Rices/Phishious) om te evalueer of jou e-pos in die spammap gaan eindig of of dit geblokkeer of suksesvol gaan wees.
Gebruik [**Phishious** ](https://github.com/Rices/Phishious) om te evalueer of jou e-pos in die spammap gaan eindig of of dit geblokkeer gaan word of suksesvol gaan wees.
## High-Touch Identity Compromise (Help-Desk MFA Reset)
Moderne indringingsstelle omseil toenemend e-pos lokmiddels heeltemal en **teiken direk die diens-kantoor / identiteit-herstel werksvloei** om MFA te oorwin. Die aanval is volledig "living-off-the-land": sodra die operateur geldige akkrediteer besit, draai hulle met ingeboude administratiewe gereedskap geen malware is nodig nie.
### Attack flow
1. Recon die slagoffer
* Versamel persoonlike & korporatiewe besonderhede van LinkedIn, datalekke, openbare GitHub, ens.
* Identifiseer hoëwaarde identiteite (bestuurders, IT, finansies) en tel die **presiese help-desk proses** vir wagwoord / MFA reset op.
2. Real-time sosiale ingenieurswese
* Bel, Teams of geselskap die help-desk terwyl jy die teiken naboots (dikwels met **spoofed caller-ID** of **gekloneerde stem**).
* Verskaf die voorheen versamelde PII om kennisgebaseerde verifikasie te slaag.
* Oortuig die agent om die **MFA geheim te reset** of 'n **SIM-wissel** op 'n geregistreerde mobiele nommer uit te voer.
3. Onmiddellike post-toegang aksies (≤60 min in werklike gevalle)
* Vestig 'n voet aan die grond deur enige web SSO-portaal.
* Tel AD / AzureAD op met ingeboude (geen binaire lêers afgelaai):
```powershell
# lys gids groepe & bevoorregte rolle
Get-ADGroup -Filter * -Properties Members | ?{$_.Members -match $env:USERNAME}
# AzureAD / Graph lys gids rolle
Get-MgDirectoryRole | ft DisplayName,Id
# Tel toestelle op waartoe die rekening kan aanmeld
Get-MgUserRegisteredDevice -UserId <user@corp.local>
```
* Laterale beweging met **WMI**, **PsExec**, of wettige **RMM** agente wat reeds in die omgewing goedgekeur is.
### Detection & Mitigation
* Behandel help-desk identiteit herstel as 'n **bevoorregte operasie** vereis stap-op verifikasie & bestuurder goedkeuring.
* Ontplooi **Identity Threat Detection & Response (ITDR)** / **UEBA** reëls wat waarsku oor:
* MFA metode verander + verifikasie van nuwe toestel / geo.
* Onmiddellike verhoging van dieselfde prinsiep (gebruiker-→-admin).
* Neem help-desk oproepe op en afdwing 'n **terugbel na 'n reeds-geregistreerde nommer** voor enige reset.
* Implementeer **Just-In-Time (JIT) / Bevoorregte Toegang** sodat nuut geresette rekeninge **nie** outomaties hoë-bevoorregte tokens erf nie.
---
## At-Scale Deception SEO Poisoning & “ClickFix” Campaigns
Kommoditeitsploeg vergoed die koste van hoë-aanraak operasies met massaanvalle wat **soekenjins & advertensienetwerke in die afleweringskanaal** omskakel.
1. **SEO vergiftiging / malvertising** druk 'n vals resultaat soos `chromium-update[.]site` na die top soekadvertensies.
2. Slagoffer laai 'n klein **eerste-fase laaier** af (dikwels JS/HTA/ISO). Voorbeelde gesien deur Unit 42:
* `RedLine stealer`
* `Lumma stealer`
* `Lampion Trojan`
3. Laaier eksfiltreer blaaskoekies + akkrediteer DB's, trek dan 'n **stille laaier** wat besluit *in werklike tyd* of om te ontplooi:
* RAT (bv. AsyncRAT, RustDesk)
* ransomware / wiper
* volharding komponent (register Run sleutel + geskeduleerde taak)
### Hardening tips
* Blok nuut-geregistreerde domeine & afdwing **Gevorderde DNS / URL Filtrering** op *soek-advertensies* sowel as e-pos.
* Beperk sagteware-installasie tot geskrewe MSI / Store pakkette, ontken `HTA`, `ISO`, `VBS` uitvoering deur beleid.
* Monitor vir kindprosesse van blaaiers wat installers oopmaak:
```yaml
- parent_image: /Program Files/Google/Chrome/*
and child_image: *\\*.exe
```
* Jag vir LOLBins wat dikwels deur eerste-fase laaiers misbruik word (bv. `regsvr32`, `curl`, `mshta`).
---
## AI-Enhanced Phishing Operations
Aanvallers koppel nou **LLM & stem-kloon API's** vir volledig gepersonaliseerde lokmiddels en werklike tyd interaksie.
| Laag | Voorbeeld gebruik deur bedreigingsakteur |
|-------|-----------------------------|
|Outomatisering|Genereer & stuur >100 k e-posse / SMS met randomiseerde woorde & opsporingskoppeling.|
|Generatiewe AI|Produseer *eenmalige* e-posse wat openbare M&A, binne grappies van sosiale media verwys; diep-valse CEO stem in terugbel-bedrog.|
|Agentic AI|Outonoom registreer domeine, scrape open-source intel, vervaardig volgende-fase e-posse wanneer 'n slagoffer klik maar nie akkrediteer indien nie.|
**Verdediging:**
• Voeg **dinamiese bane** by wat boodskappe uit onbetroubare outomatisering uitlig (deur ARC/DKIM anomalieë).
• Ontplooi **stem-biometriese uitdaging frases** vir hoë-risiko telefoon versoeke.
• Simuleer deurlopend AI-gegenererde lokmiddels in bewustheidsprogramme statiese sjablone is verouderd.
---
## MFA Fatigue / Push Bombing Variant Forced Reset
Benewens klassieke push-bombing, dwing operateurs eenvoudig **'n nuwe MFA registrasie** tydens die help-desk oproep, wat die gebruiker se bestaande token nietig maak. Enige daaropvolgende aanmeldprompt lyk legitiem vir die slagoffer.
```text
[Attacker] → Help-Desk: “I lost my phone while travelling, can you unenrol it so I can add a new authenticator?”
[Help-Desk] → AzureAD: Delete existing methods → sends registration e-mail
[Attacker] → Completes new TOTP enrolment on their own device
```
Monitor vir AzureAD/AWS/Okta gebeurtenisse waar **`deleteMFA` + `addMFA`** plaasvind **binne minute vanaf dieselfde IP**.
## Clipboard Hijacking / Pastejacking
@ -458,5 +545,6 @@ mobile-phishing-malicious-apps.md
- [https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/)
- [https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/](https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/)
- [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)
- [2025 Unit 42 Global Incident Response Report Social Engineering Edition](https://unit42.paloaltonetworks.com/2025-unit-42-global-incident-response-report-social-engineering-edition/)
{{#include ../../banners/hacktricks-training.md}}