maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-methodologies-and-resources/phishing-methodolog

Browse Source
This commit is contained in:
Translator 2025-08-05 03:15:14 +00:00
parent ecde0a78e9
commit eac29e4127
1 changed files with 111 additions and 23 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

134
src/generic-methodologies-and-resources/phishing-methodology/README.md
View File

@ -23,7 +23,7 @@
- **Słowo kluczowe**: Nazwa domeny **zawiera** ważne **słowo kluczowe** oryginalnej domeny (np. zelster.com-management.com).
- **poddomena z myślnikiem**: Zmień **kropkę na myślnik** w poddomenie (np. www-zelster.com).
- **Nowe TLD**: Ta sama domena z użyciem **nowego TLD** (np. zelster.org).
- **Nowe TLD**: Ta sama domena używająca **nowego TLD** (np. zelster.org).
- **Homoglif**: **Zastępuje** literę w nazwie domeny **literami, które wyglądają podobnie** (np. zelfser.com).
{{#ref}}
@ -36,7 +36,7 @@ homograph-attacks.md
- **Zastąpienie**: Jak homoglif, ale mniej dyskretny. Zastępuje jedną z liter w nazwie domeny, być może literą bliską oryginalnej literze na klawiaturze (np. zektser.com).
- **Subdomenowana**: Wprowadza **kropkę** wewnątrz nazwy domeny (np. ze.lster.com).
- **Wstawienie**: **Wstawia literę** do nazwy domeny (np. zerltser.com).
- **Brakująca kropka**: Dołącz TLD do nazwy domeny. (np. zelstercom.com)
- **Brak kropki**: Dołącz TLD do nazwy domeny. (np. zelstercom.com)
**Narzędzia automatyczne**
@ -55,16 +55,16 @@ Istnieje **możliwość, że jeden z bitów przechowywanych lub w komunikacji mo
Gdy ten koncept jest **stosowany do zapytań DNS**, możliwe jest, że **domena odebrana przez serwer DNS** nie jest taka sama jak domena pierwotnie żądana.
Na przykład, pojedyncza modyfikacja bitu w domenie "windows.com" może zmienić ją na "windnws.com."
Na przykład, pojedyncza modyfikacja bitu w domenie "windows.com" może zmienić ją na "windnws.com".
Napastnicy mogą **wykorzystać to, rejestrując wiele domen z bit-flipping**, które są podobne do domeny ofiary. Ich intencją jest przekierowanie legalnych użytkowników do własnej infrastruktury.
Atakujący mogą **wykorzystać to, rejestrując wiele domen z bit-flipping**, które są podobne do domeny ofiary. Ich intencją jest przekierowanie legalnych użytkowników do własnej infrastruktury.
Aby uzyskać więcej informacji, przeczytaj [https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/)
### Kup zaufaną domenę
Możesz poszukać na [https://www.expireddomains.net/](https://www.expireddomains.net) wygasłej domeny, którą mógłbyś użyć.\
Aby upewnić się, że wygasła domena, którą zamierzasz kupić, **ma już dobrą SEO**, możesz sprawdzić, jak jest sklasyfikowana w:
Aby upewnić się, że wygasła domena, którą zamierzasz kupić, **ma już dobre SEO**, możesz sprawdzić, jak jest sklasyfikowana w:
- [http://www.fortiguard.com/webfilter](http://www.fortiguard.com/webfilter)
- [https://urlfiltering.paloaltonetworks.com/query/](https://urlfiltering.paloaltonetworks.com/query/)
@ -77,8 +77,8 @@ Aby upewnić się, że wygasła domena, którą zamierzasz kupić, **ma już dob
- [https://hunter.io/](https://hunter.io)
- [https://anymailfinder.com/](https://anymailfinder.com)
Aby **odkryć więcej** ważnych adresów e-mail lub **zweryfikować te, które już odkryłeś**, możesz sprawdzić, czy możesz przeprowadzić brute-force na serwerach smtp ofiary. [Dowiedz się, jak zweryfikować/odkryć adres e-mail tutaj](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\
Ponadto nie zapomnij, że jeśli użytkownicy korzystają z **jakiegokolwiek portalu internetowego do dostępu do swoich e-maili**, możesz sprawdzić, czy jest on podatny na **brute force nazw użytkowników** i wykorzystać tę podatność, jeśli to możliwe.
Aby **odkryć więcej** ważnych adresów e-mail lub **zweryfikować te, które** już odkryłeś, możesz sprawdzić, czy możesz przeprowadzić brute-force na serwerach smtp ofiary. [Dowiedz się, jak zweryfikować/odkryć adres e-mail tutaj](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\
Ponadto nie zapomnij, że jeśli użytkownicy korzystają z **jakiegokolwiek portalu internetowego do dostępu do swoich e-maili**, możesz sprawdzić, czy jest on podatny na **brute force nazwy użytkownika** i wykorzystać tę podatność, jeśli to możliwe.
## Konfigurowanie GoPhish
@ -87,7 +87,7 @@ Ponadto nie zapomnij, że jeśli użytkownicy korzystają z **jakiegokolwiek por
Możesz go pobrać z [https://github.com/gophish/gophish/releases/tag/v0.11.0](https://github.com/gophish/gophish/releases/tag/v0.11.0)
Pobierz i rozpakuj go w `/opt/gophish` i uruchom `/opt/gophish/gophish`\
Otrzymasz hasło dla użytkownika admin na porcie 3333 w wyjściu. Dlatego uzyskaj dostęp do tego portu i użyj tych danych logowania, aby zmienić hasło administratora. Może być konieczne tunelowanie tego portu do lokalnego:
Otrzymasz hasło dla użytkownika admina na porcie 3333 w wyjściu. Dlatego uzyskaj dostęp do tego portu i użyj tych danych logowania, aby zmienić hasło administratora. Może być konieczne tunelowanie tego portu do lokalnego:
```bash
ssh -L 3333:127.0.0.1:3333 <user>@<ip>
```
@ -223,7 +223,7 @@ service gophish status
ss -l | grep "3333\|443"
service gophish stop
```
## Konfigurowanie serwera pocztowego i domeny
## Konfiguracja serwera pocztowego i domeny
### Czekaj i bądź legitny
@ -239,7 +239,7 @@ Ustaw rekord rDNS (PTR), który rozwiązuje adres IP VPS na nazwę domeny.
Musisz **skonfigurować rekord SPF dla nowej domeny**. Jeśli nie wiesz, czym jest rekord SPF [**przeczytaj tę stronę**](../../network-services-pentesting/pentesting-smtp/index.html#spf).
Możesz użyć [https://www.spfwizard.net/](https://www.spfwizard.net) do wygenerowania swojej polityki SPF (użyj adresu IP maszyny VPS)
Możesz użyć [https://www.spfwizard.net/](https://www.spfwizard.net), aby wygenerować swoją politykę SPF (użyj adresu IP maszyny VPS)
![](<../../images/image (1037).png>)
@ -268,7 +268,7 @@ Ten samouczek oparty jest na: [https://www.digitalocean.com/community/tutorials/
> v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB
> ```
### Sprawdź wynik konfiguracji swojego e-maila
### Testuj wynik konfiguracji swojego e-maila
Możesz to zrobić, korzystając z [https://www.mail-tester.com/](https://www.mail-tester.com)\
Po prostu wejdź na stronę i wyślij e-mail na adres, który ci podadzą:
@ -293,7 +293,7 @@ Authentication-Results: mx.google.com;
spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
dkim=pass header.i=@example.com;
```
### Usuwanie z Czarnej Listy Spamhouse
### Usuwanie z Czarnej Listy Spamhouse
Strona [www.mail-tester.com](https://www.mail-tester.com) może wskazać, czy Twoja domena jest blokowana przez spamhouse. Możesz poprosić o usunięcie swojej domeny/IP pod adresem: [https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/)
@ -313,14 +313,14 @@ Strona [www.mail-tester.com](https://www.mail-tester.com) może wskazać, czy Tw
> [!TIP]
> Zaleca się korzystanie z funkcji "**Wyślij e-mail testowy**", aby sprawdzić, czy wszystko działa.\
> Zalecałbym **wysyłanie e-maili testowych na adresy 10min mail**, aby uniknąć dodania do czarnej listy podczas testów.
> Rekomenduję **wysyłanie e-maili testowych na adresy 10min mail**, aby uniknąć dodania do czarnej listy podczas testów.
### Szablon E-mail
- Ustaw **nazwę identyfikującą** szablon
- Następnie napisz **temat** (nic dziwnego, po prostu coś, co można by się spodziewać w zwykłym e-mailu)
- Upewnij się, że zaznaczyłeś "**Dodaj obrazek śledzący**"
- Napisz **szablon e-mail** (możesz używać zmiennych, jak w poniższym przykładzie):
- Napisz **szablon e-maila** (możesz używać zmiennych, jak w poniższym przykładzie):
```html
<html>
<head>
@ -354,7 +354,7 @@ Zauważ, że **aby zwiększyć wiarygodność e-maila**, zaleca się użycie jak
- Napisz **nazwę**
- **Napisz kod HTML** strony internetowej. Zauważ, że możesz **importować** strony internetowe.
- Zaznacz **Zbieranie przesłanych danych** i **Zbieranie haseł**
- Zaznacz **Zbieraj przesłane dane** i **Zbieraj hasła**
- Ustaw **przekierowanie**
![](<../../images/image (826).png>)
@ -364,7 +364,7 @@ Zauważ, że **aby zwiększyć wiarygodność e-maila**, zaleca się użycie jak
> Zauważ, że jeśli musisz **użyć jakichś statycznych zasobów** dla HTML (może jakieś strony CSS i JS), możesz je zapisać w _**/opt/gophish/static/endpoint**_ i następnie uzyskać do nich dostęp z _**/static/\<filename>**_
> [!TIP]
> W przypadku przekierowania możesz **przekierować użytkowników na legalną główną stronę** ofiary lub przekierować ich na _/static/migration.html_, na przykład, umieścić jakiś **kręcący się kółko (**[**https://loading.io/**](https://loading.io)**) przez 5 sekund, a następnie wskazać, że proces zakończył się sukcesem**.
> W przypadku przekierowania możesz **przekierować użytkowników na legitną główną stronę internetową** ofiary lub przekierować ich na _/static/migration.html_, na przykład, umieścić jakiś **kręcący się kółko** (**[**https://loading.io/**](https://loading.io)**) przez 5 sekund, a następnie wskazać, że proces zakończył się sukcesem**.
### Użytkownicy i grupy
@ -407,18 +407,18 @@ phishing-documents.md
### Poprzez Proxy MitM
Poprzedni atak jest dość sprytny, ponieważ fałszuje prawdziwą stronę internetową i zbiera informacje podane przez użytkownika. Niestety, jeśli użytkownik nie wpisał poprawnego hasła lub jeśli aplikacja, którą sfałszowałeś, jest skonfigurowana z 2FA, **te informacje nie pozwolą ci na podszywanie się pod oszukanego użytkownika**.
Poprzedni atak jest dość sprytny, ponieważ fałszuje prawdziwą stronę internetową i zbiera informacje podane przez użytkownika. Niestety, jeśli użytkownik nie wpisał poprawnego hasła lub jeśli aplikacja, którą sfałszowałeś, jest skonfigurowana z 2FA, **ta informacja nie pozwoli ci na podszywanie się pod oszukanego użytkownika**.
Tutaj przydatne są narzędzia takie jak [**evilginx2**](https://github.com/kgretzky/evilginx2)**,** [**CredSniper**](https://github.com/ustayready/CredSniper) i [**muraena**](https://github.com/muraenateam/muraena). To narzędzie pozwoli ci wygenerować atak typu MitM. Zasadniczo atak działa w następujący sposób:
1. **Podszywasz się pod formularz logowania** prawdziwej strony internetowej.
2. Użytkownik **wysyła** swoje **dane logowania** na twoją fałszywą stronę, a narzędzie wysyła je na prawdziwą stronę internetową, **sprawdzając, czy dane logowania działają**.
3. Jeśli konto jest skonfigurowane z **2FA**, strona MitM poprosi o to, a gdy **użytkownik wprowadzi** to, narzędzie wyśle to na prawdziwą stronę internetową.
4. Gdy użytkownik zostanie uwierzytelniony, ty (jako atakujący) będziesz miał **przechwycone dane logowania, 2FA, ciasteczka i wszelkie informacje** z każdej interakcji, podczas gdy narzędzie wykonuje atak MitM.
2. Użytkownik **wysyła** swoje **dane logowania** na twoją fałszywą stronę, a narzędzie wysyła je do prawdziwej strony internetowej, **sprawdzając, czy dane logowania działają**.
3. Jeśli konto jest skonfigurowane z **2FA**, strona MitM poprosi o to, a gdy **użytkownik wprowadzi** to, narzędzie wyśle to do prawdziwej strony internetowej.
4. Gdy użytkownik jest uwierzytelniony, ty (jako atakujący) będziesz miał **przechwycone dane logowania, 2FA, ciasteczka i wszelkie informacje** z każdej interakcji, podczas gdy narzędzie wykonuje atak MitM.
### Poprzez VNC
Co jeśli zamiast **wysyłać ofiarę na złośliwą stronę** o takim samym wyglądzie jak oryginalna, wyślesz do **sesji VNC z przeglądarką połączoną z prawdziwą stroną internetową**? Będziesz mógł zobaczyć, co robi, ukraść hasło, używane MFA, ciasteczka...\
Co jeśli zamiast **wysyłać ofiarę na złośliwą stronę** o takim samym wyglądzie jak oryginalna, wyślesz go do **sesji VNC z przeglądarką połączoną z prawdziwą stroną internetową**? Będziesz mógł zobaczyć, co robi, ukraść hasło, używane MFA, ciasteczka...\
Możesz to zrobić za pomocą [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC)
## Wykrywanie wykrycia
@ -438,15 +438,102 @@ Możesz **kupić domenę o bardzo podobnej nazwie** do domeny ofiary **i/lub wyg
Użyj [**Phishious** ](https://github.com/Rices/Phishious), aby ocenić, czy twój e-mail trafi do folderu spam lub czy zostanie zablokowany lub odniesie sukces.
## Wysoka kompromitacja tożsamości (reset MFA w pomocy technicznej)
Nowoczesne zestawy intruzyjne coraz częściej pomijają całkowicie przynęty e-mailowe i **bezpośrednio celują w proces odzyskiwania tożsamości / pomocy technicznej**, aby pokonać MFA. Atak jest całkowicie "żyjący z ziemi": gdy operator posiada ważne dane logowania, przeskakuje z wbudowanymi narzędziami administracyjnymi nie jest wymagane żadne złośliwe oprogramowanie.
### Przebieg ataku
1. Rozpoznanie ofiary
* Zbieraj dane osobowe i korporacyjne z LinkedIn, naruszeń danych, publicznego GitHub itp.
* Zidentyfikuj tożsamości o wysokiej wartości (dyrektorzy, IT, finanse) i enumeruj **dokładny proces pomocy technicznej** dla resetowania hasła / MFA.
2. Real-time social engineering
* Zadzwoń, użyj Teams lub czatu z pomocą techniczną, podszywając się pod cel (często z **fałszywym identyfikatorem dzwoniącego** lub **sklonowanym głosem**).
* Podaj wcześniej zebrane PII, aby przejść weryfikację opartą na wiedzy.
* Przekonaj agenta do **zresetowania tajemnicy MFA** lub przeprowadzenia **zamiany SIM** na zarejestrowanym numerze telefonu.
3. Natychmiastowe działania po uzyskaniu dostępu (≤60 min w rzeczywistych przypadkach)
* Ustanów punkt zaczepienia przez dowolny portal SSO.
* Enumeruj AD / AzureAD za pomocą wbudowanych narzędzi (żadne pliki binarne nie są zrzucane):
```powershell
# lista grup katalogowych i ról uprzywilejowanych
Get-ADGroup -Filter * -Properties Members | ?{$_.Members -match $env:USERNAME}
# AzureAD / Graph lista ról katalogowych
Get-MgDirectoryRole | ft DisplayName,Id
# Enumeruj urządzenia, do których konto może się zalogować
Get-MgUserRegisteredDevice -UserId <user@corp.local>
```
* Ruch boczny z **WMI**, **PsExec** lub legalnymi agentami **RMM**, które już są na białej liście w środowisku.
### Wykrywanie i łagodzenie
* Traktuj odzyskiwanie tożsamości w pomocy technicznej jako **operację uprzywilejowaną** wymagaj autoryzacji krokowej i zatwierdzenia menedżera.
* Wdrażaj zasady **Wykrywania i Reagowania na Zagrożenia Tożsamości (ITDR)** / **UEBA**, które alarmują o:
* Zmiana metody MFA + autoryzacja z nowego urządzenia / geolokalizacji.
* Natychmiastowe podniesienie tego samego podmiotu (użytkownik-→-administrator).
* Rejestruj rozmowy z pomocą techniczną i wymuszaj **oddzwonienie na już zarejestrowany numer** przed jakimkolwiek resetem.
* Wdrażaj **Just-In-Time (JIT) / Uprzywilejowany dostęp**, aby nowo zresetowane konta **nie** dziedziczyły automatycznie tokenów o wysokim przywileju.
---
## Dezinformacja na dużą skalę SEO Poisoning i kampanie “ClickFix”
Zespoły towarowe równoważą koszty operacji wysokiego kontaktu masowymi atakami, które przekształcają **wyszukiwarki i sieci reklamowe w kanał dostarczania**.
1. **SEO poisoning / malvertising** wypycha fałszywy wynik, taki jak `chromium-update[.]site`, na szczyt reklam wyszukiwania.
2. Ofiara pobiera małego **ładowacza pierwszego etapu** (często JS/HTA/ISO). Przykłady widziane przez Unit 42:
* `RedLine stealer`
* `Lumma stealer`
* `Lampion Trojan`
3. Ładowacz eksfiltruje ciasteczka przeglądarki + bazy danych danych logowania, a następnie pobiera **cichy ładowacz**, który decyduje *w czasie rzeczywistym* czy wdrożyć:
* RAT (np. AsyncRAT, RustDesk)
* ransomware / wiper
* komponent utrzymania (klucz rejestru Run + zaplanowane zadanie)
### Wskazówki dotyczące wzmocnienia
* Blokuj nowo zarejestrowane domeny i wymuszaj **Zaawansowane filtrowanie DNS / URL** na *reklamach wyszukiwania*, jak również w e-mailach.
* Ogranicz instalację oprogramowania do podpisanych pakietów MSI / Store, odmawiaj wykonania `HTA`, `ISO`, `VBS` zgodnie z polityką.
* Monitoruj procesy potomne przeglądarek otwierające instalatory:
```yaml
- parent_image: /Program Files/Google/Chrome/*
and child_image: *\\*.exe
```
* Poluj na LOLBins często nadużywane przez ładowacze pierwszego etapu (np. `regsvr32`, `curl`, `mshta`).
---
## Operacje phishingowe wspomagane AI
Atakujący teraz łączą **LLM i API klonowania głosu** w celu uzyskania w pełni spersonalizowanych przynęt i interakcji w czasie rzeczywistym.
| Warstwa | Przykład użycia przez aktora zagrożenia |
|-------|-----------------------------|
|Automatyzacja|Generuj i wysyłaj >100 k e-maili / SMS z losowymi sformułowaniami i linkami śledzącymi.|
|Generatywna AI|Produkuj *jednorazowe* e-maile odnoszące się do publicznych M&A, wewnętrznych żartów z mediów społecznościowych; głos CEO w deep-fake w oszustwie telefonicznym.|
|Agentic AI|Autonomicznie rejestruj domeny, zbieraj informacje z otwartych źródeł, twórz e-maile następnego etapu, gdy ofiara kliknie, ale nie poda danych logowania.|
**Obrona:**
• Dodaj **dynamiczne banery** podkreślające wiadomości wysyłane z nieufnej automatyzacji (poprzez anomalie ARC/DKIM).
• Wdrażaj **frazy wyzwań biometrycznych głosu** dla wysokiego ryzyka telefonicznych żądań.
• Ciągle symuluj przynęty generowane przez AI w programach uświadamiających statyczne szablony są przestarzałe.
---
## Zmęczenie MFA / wariant Push Bombing Wymuszony reset
Oprócz klasycznego push-bombing, operatorzy po prostu **wymuszają nową rejestrację MFA** podczas rozmowy z pomocą techniczną, unieważniając istniejący token użytkownika. Każdy kolejny monit logowania wydaje się być legitymny dla ofiary.
```text
[Attacker] → Help-Desk: “I lost my phone while travelling, can you unenrol it so I can add a new authenticator?”
[Help-Desk] → AzureAD: Delete existing methods → sends registration e-mail
[Attacker] → Completes new TOTP enrolment on their own device
```
Monitoruj zdarzenia AzureAD/AWS/Okta, w których **`deleteMFA` + `addMFA`** występują **w ciągu kilku minut z tego samego IP**.
## Przechwytywanie schowka / Pastejacking
Atakujący mogą cicho kopiować złośliwe polecenia do schowka ofiary z kompromitowanej lub błędnie napisanej strony internetowej, a następnie oszukać użytkownika, aby wkleił je w **Win + R**, **Win + X** lub oknie terminala, wykonując dowolny kod bez pobierania lub załączania.
Atakujący mogą cicho skopiować złośliwe polecenia do schowka ofiary z kompromitowanej lub fałszywej strony internetowej, a następnie oszukać użytkownika, aby wkleił je w **Win + R**, **Win + X** lub w oknie terminala, wykonując dowolny kod bez pobierania lub załączania.
{{#ref}}
clipboard-hijacking.md
{{#endref}}
## Phishing mobilny i dystrybucja złośliwych aplikacji (Android i iOS)
## Mobilne phishing i dystrybucja złośliwych aplikacji (Android i iOS)
{{#ref}}
mobile-phishing-malicious-apps.md
@ -458,5 +545,6 @@ mobile-phishing-malicious-apps.md
- [https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/)
- [https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/](https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/)
- [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)
- [2025 Unit 42 Global Incident Response Report Social Engineering Edition](https://unit42.paloaltonetworks.com/2025-unit-42-global-incident-response-report-social-engineering-edition/)
{{#include ../../banners/hacktricks-training.md}}