From eac29e41275bd4dc8d51e626f85696b67857cf5f Mon Sep 17 00:00:00 2001 From: Translator Date: Tue, 5 Aug 2025 03:15:14 +0000 Subject: [PATCH] Translated ['src/generic-methodologies-and-resources/phishing-methodolog --- .../phishing-methodology/README.md | 134 +++++++++++++++--- 1 file changed, 111 insertions(+), 23 deletions(-) diff --git a/src/generic-methodologies-and-resources/phishing-methodology/README.md b/src/generic-methodologies-and-resources/phishing-methodology/README.md index 403a02298..a46716d74 100644 --- a/src/generic-methodologies-and-resources/phishing-methodology/README.md +++ b/src/generic-methodologies-and-resources/phishing-methodology/README.md @@ -23,7 +23,7 @@ - **Słowo kluczowe**: Nazwa domeny **zawiera** ważne **słowo kluczowe** oryginalnej domeny (np. zelster.com-management.com). - **poddomena z myślnikiem**: Zmień **kropkę na myślnik** w poddomenie (np. www-zelster.com). -- **Nowe TLD**: Ta sama domena z użyciem **nowego TLD** (np. zelster.org). +- **Nowe TLD**: Ta sama domena używająca **nowego TLD** (np. zelster.org). - **Homoglif**: **Zastępuje** literę w nazwie domeny **literami, które wyglądają podobnie** (np. zelfser.com). {{#ref}} @@ -36,7 +36,7 @@ homograph-attacks.md - **Zastąpienie**: Jak homoglif, ale mniej dyskretny. Zastępuje jedną z liter w nazwie domeny, być może literą bliską oryginalnej literze na klawiaturze (np. zektser.com). - **Subdomenowana**: Wprowadza **kropkę** wewnątrz nazwy domeny (np. ze.lster.com). - **Wstawienie**: **Wstawia literę** do nazwy domeny (np. zerltser.com). -- **Brakująca kropka**: Dołącz TLD do nazwy domeny. (np. zelstercom.com) +- **Brak kropki**: Dołącz TLD do nazwy domeny. (np. zelstercom.com) **Narzędzia automatyczne** @@ -55,16 +55,16 @@ Istnieje **możliwość, że jeden z bitów przechowywanych lub w komunikacji mo Gdy ten koncept jest **stosowany do zapytań DNS**, możliwe jest, że **domena odebrana przez serwer DNS** nie jest taka sama jak domena pierwotnie żądana. -Na przykład, pojedyncza modyfikacja bitu w domenie "windows.com" może zmienić ją na "windnws.com." +Na przykład, pojedyncza modyfikacja bitu w domenie "windows.com" może zmienić ją na "windnws.com". -Napastnicy mogą **wykorzystać to, rejestrując wiele domen z bit-flipping**, które są podobne do domeny ofiary. Ich intencją jest przekierowanie legalnych użytkowników do własnej infrastruktury. +Atakujący mogą **wykorzystać to, rejestrując wiele domen z bit-flipping**, które są podobne do domeny ofiary. Ich intencją jest przekierowanie legalnych użytkowników do własnej infrastruktury. Aby uzyskać więcej informacji, przeczytaj [https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/) ### Kup zaufaną domenę Możesz poszukać na [https://www.expireddomains.net/](https://www.expireddomains.net) wygasłej domeny, którą mógłbyś użyć.\ -Aby upewnić się, że wygasła domena, którą zamierzasz kupić, **ma już dobrą SEO**, możesz sprawdzić, jak jest sklasyfikowana w: +Aby upewnić się, że wygasła domena, którą zamierzasz kupić, **ma już dobre SEO**, możesz sprawdzić, jak jest sklasyfikowana w: - [http://www.fortiguard.com/webfilter](http://www.fortiguard.com/webfilter) - [https://urlfiltering.paloaltonetworks.com/query/](https://urlfiltering.paloaltonetworks.com/query/) @@ -77,8 +77,8 @@ Aby upewnić się, że wygasła domena, którą zamierzasz kupić, **ma już dob - [https://hunter.io/](https://hunter.io) - [https://anymailfinder.com/](https://anymailfinder.com) -Aby **odkryć więcej** ważnych adresów e-mail lub **zweryfikować te, które już odkryłeś**, możesz sprawdzić, czy możesz przeprowadzić brute-force na serwerach smtp ofiary. [Dowiedz się, jak zweryfikować/odkryć adres e-mail tutaj](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\ -Ponadto nie zapomnij, że jeśli użytkownicy korzystają z **jakiegokolwiek portalu internetowego do dostępu do swoich e-maili**, możesz sprawdzić, czy jest on podatny na **brute force nazw użytkowników** i wykorzystać tę podatność, jeśli to możliwe. +Aby **odkryć więcej** ważnych adresów e-mail lub **zweryfikować te, które** już odkryłeś, możesz sprawdzić, czy możesz przeprowadzić brute-force na serwerach smtp ofiary. [Dowiedz się, jak zweryfikować/odkryć adres e-mail tutaj](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\ +Ponadto nie zapomnij, że jeśli użytkownicy korzystają z **jakiegokolwiek portalu internetowego do dostępu do swoich e-maili**, możesz sprawdzić, czy jest on podatny na **brute force nazwy użytkownika** i wykorzystać tę podatność, jeśli to możliwe. ## Konfigurowanie GoPhish @@ -87,7 +87,7 @@ Ponadto nie zapomnij, że jeśli użytkownicy korzystają z **jakiegokolwiek por Możesz go pobrać z [https://github.com/gophish/gophish/releases/tag/v0.11.0](https://github.com/gophish/gophish/releases/tag/v0.11.0) Pobierz i rozpakuj go w `/opt/gophish` i uruchom `/opt/gophish/gophish`\ -Otrzymasz hasło dla użytkownika admin na porcie 3333 w wyjściu. Dlatego uzyskaj dostęp do tego portu i użyj tych danych logowania, aby zmienić hasło administratora. Może być konieczne tunelowanie tego portu do lokalnego: +Otrzymasz hasło dla użytkownika admina na porcie 3333 w wyjściu. Dlatego uzyskaj dostęp do tego portu i użyj tych danych logowania, aby zmienić hasło administratora. Może być konieczne tunelowanie tego portu do lokalnego: ```bash ssh -L 3333:127.0.0.1:3333 @ ``` @@ -223,7 +223,7 @@ service gophish status ss -l | grep "3333\|443" service gophish stop ``` -## Konfigurowanie serwera pocztowego i domeny +## Konfiguracja serwera pocztowego i domeny ### Czekaj i bądź legitny @@ -239,7 +239,7 @@ Ustaw rekord rDNS (PTR), który rozwiązuje adres IP VPS na nazwę domeny. Musisz **skonfigurować rekord SPF dla nowej domeny**. Jeśli nie wiesz, czym jest rekord SPF [**przeczytaj tę stronę**](../../network-services-pentesting/pentesting-smtp/index.html#spf). -Możesz użyć [https://www.spfwizard.net/](https://www.spfwizard.net) do wygenerowania swojej polityki SPF (użyj adresu IP maszyny VPS) +Możesz użyć [https://www.spfwizard.net/](https://www.spfwizard.net), aby wygenerować swoją politykę SPF (użyj adresu IP maszyny VPS) ![](<../../images/image (1037).png>) @@ -268,7 +268,7 @@ Ten samouczek oparty jest na: [https://www.digitalocean.com/community/tutorials/ > v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB > ``` -### Sprawdź wynik konfiguracji swojego e-maila +### Testuj wynik konfiguracji swojego e-maila Możesz to zrobić, korzystając z [https://www.mail-tester.com/](https://www.mail-tester.com)\ Po prostu wejdź na stronę i wyślij e-mail na adres, który ci podadzą: @@ -293,7 +293,7 @@ Authentication-Results: mx.google.com; spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com; dkim=pass header.i=@example.com; ``` -### Usuwanie z Czarnej Listy Spamhouse +### ​Usuwanie z Czarnej Listy Spamhouse Strona [www.mail-tester.com](https://www.mail-tester.com) może wskazać, czy Twoja domena jest blokowana przez spamhouse. Możesz poprosić o usunięcie swojej domeny/IP pod adresem: ​[https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/) @@ -313,14 +313,14 @@ Strona [www.mail-tester.com](https://www.mail-tester.com) może wskazać, czy Tw > [!TIP] > Zaleca się korzystanie z funkcji "**Wyślij e-mail testowy**", aby sprawdzić, czy wszystko działa.\ -> Zalecałbym **wysyłanie e-maili testowych na adresy 10min mail**, aby uniknąć dodania do czarnej listy podczas testów. +> Rekomenduję **wysyłanie e-maili testowych na adresy 10min mail**, aby uniknąć dodania do czarnej listy podczas testów. ### Szablon E-mail - Ustaw **nazwę identyfikującą** szablon - Następnie napisz **temat** (nic dziwnego, po prostu coś, co można by się spodziewać w zwykłym e-mailu) - Upewnij się, że zaznaczyłeś "**Dodaj obrazek śledzący**" -- Napisz **szablon e-mail** (możesz używać zmiennych, jak w poniższym przykładzie): +- Napisz **szablon e-maila** (możesz używać zmiennych, jak w poniższym przykładzie): ```html @@ -354,7 +354,7 @@ Zauważ, że **aby zwiększyć wiarygodność e-maila**, zaleca się użycie jak - Napisz **nazwę** - **Napisz kod HTML** strony internetowej. Zauważ, że możesz **importować** strony internetowe. -- Zaznacz **Zbieranie przesłanych danych** i **Zbieranie haseł** +- Zaznacz **Zbieraj przesłane dane** i **Zbieraj hasła** - Ustaw **przekierowanie** ![](<../../images/image (826).png>) @@ -364,7 +364,7 @@ Zauważ, że **aby zwiększyć wiarygodność e-maila**, zaleca się użycie jak > Zauważ, że jeśli musisz **użyć jakichś statycznych zasobów** dla HTML (może jakieś strony CSS i JS), możesz je zapisać w _**/opt/gophish/static/endpoint**_ i następnie uzyskać do nich dostęp z _**/static/\**_ > [!TIP] -> W przypadku przekierowania możesz **przekierować użytkowników na legalną główną stronę** ofiary lub przekierować ich na _/static/migration.html_, na przykład, umieścić jakiś **kręcący się kółko (**[**https://loading.io/**](https://loading.io)**) przez 5 sekund, a następnie wskazać, że proces zakończył się sukcesem**. +> W przypadku przekierowania możesz **przekierować użytkowników na legitną główną stronę internetową** ofiary lub przekierować ich na _/static/migration.html_, na przykład, umieścić jakiś **kręcący się kółko** (**[**https://loading.io/**](https://loading.io)**) przez 5 sekund, a następnie wskazać, że proces zakończył się sukcesem**. ### Użytkownicy i grupy @@ -407,18 +407,18 @@ phishing-documents.md ### Poprzez Proxy MitM -Poprzedni atak jest dość sprytny, ponieważ fałszuje prawdziwą stronę internetową i zbiera informacje podane przez użytkownika. Niestety, jeśli użytkownik nie wpisał poprawnego hasła lub jeśli aplikacja, którą sfałszowałeś, jest skonfigurowana z 2FA, **te informacje nie pozwolą ci na podszywanie się pod oszukanego użytkownika**. +Poprzedni atak jest dość sprytny, ponieważ fałszuje prawdziwą stronę internetową i zbiera informacje podane przez użytkownika. Niestety, jeśli użytkownik nie wpisał poprawnego hasła lub jeśli aplikacja, którą sfałszowałeś, jest skonfigurowana z 2FA, **ta informacja nie pozwoli ci na podszywanie się pod oszukanego użytkownika**. Tutaj przydatne są narzędzia takie jak [**evilginx2**](https://github.com/kgretzky/evilginx2)**,** [**CredSniper**](https://github.com/ustayready/CredSniper) i [**muraena**](https://github.com/muraenateam/muraena). To narzędzie pozwoli ci wygenerować atak typu MitM. Zasadniczo atak działa w następujący sposób: 1. **Podszywasz się pod formularz logowania** prawdziwej strony internetowej. -2. Użytkownik **wysyła** swoje **dane logowania** na twoją fałszywą stronę, a narzędzie wysyła je na prawdziwą stronę internetową, **sprawdzając, czy dane logowania działają**. -3. Jeśli konto jest skonfigurowane z **2FA**, strona MitM poprosi o to, a gdy **użytkownik wprowadzi** to, narzędzie wyśle to na prawdziwą stronę internetową. -4. Gdy użytkownik zostanie uwierzytelniony, ty (jako atakujący) będziesz miał **przechwycone dane logowania, 2FA, ciasteczka i wszelkie informacje** z każdej interakcji, podczas gdy narzędzie wykonuje atak MitM. +2. Użytkownik **wysyła** swoje **dane logowania** na twoją fałszywą stronę, a narzędzie wysyła je do prawdziwej strony internetowej, **sprawdzając, czy dane logowania działają**. +3. Jeśli konto jest skonfigurowane z **2FA**, strona MitM poprosi o to, a gdy **użytkownik wprowadzi** to, narzędzie wyśle to do prawdziwej strony internetowej. +4. Gdy użytkownik jest uwierzytelniony, ty (jako atakujący) będziesz miał **przechwycone dane logowania, 2FA, ciasteczka i wszelkie informacje** z każdej interakcji, podczas gdy narzędzie wykonuje atak MitM. ### Poprzez VNC -Co jeśli zamiast **wysyłać ofiarę na złośliwą stronę** o takim samym wyglądzie jak oryginalna, wyślesz ją do **sesji VNC z przeglądarką połączoną z prawdziwą stroną internetową**? Będziesz mógł zobaczyć, co robi, ukraść hasło, używane MFA, ciasteczka...\ +Co jeśli zamiast **wysyłać ofiarę na złośliwą stronę** o takim samym wyglądzie jak oryginalna, wyślesz go do **sesji VNC z przeglądarką połączoną z prawdziwą stroną internetową**? Będziesz mógł zobaczyć, co robi, ukraść hasło, używane MFA, ciasteczka...\ Możesz to zrobić za pomocą [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC) ## Wykrywanie wykrycia @@ -438,15 +438,102 @@ Możesz **kupić domenę o bardzo podobnej nazwie** do domeny ofiary **i/lub wyg Użyj [**Phishious** ](https://github.com/Rices/Phishious), aby ocenić, czy twój e-mail trafi do folderu spam lub czy zostanie zablokowany lub odniesie sukces. +## Wysoka kompromitacja tożsamości (reset MFA w pomocy technicznej) + +Nowoczesne zestawy intruzyjne coraz częściej pomijają całkowicie przynęty e-mailowe i **bezpośrednio celują w proces odzyskiwania tożsamości / pomocy technicznej**, aby pokonać MFA. Atak jest całkowicie "żyjący z ziemi": gdy operator posiada ważne dane logowania, przeskakuje z wbudowanymi narzędziami administracyjnymi – nie jest wymagane żadne złośliwe oprogramowanie. + +### Przebieg ataku +1. Rozpoznanie ofiary +* Zbieraj dane osobowe i korporacyjne z LinkedIn, naruszeń danych, publicznego GitHub itp. +* Zidentyfikuj tożsamości o wysokiej wartości (dyrektorzy, IT, finanse) i enumeruj **dokładny proces pomocy technicznej** dla resetowania hasła / MFA. +2. Real-time social engineering +* Zadzwoń, użyj Teams lub czatu z pomocą techniczną, podszywając się pod cel (często z **fałszywym identyfikatorem dzwoniącego** lub **sklonowanym głosem**). +* Podaj wcześniej zebrane PII, aby przejść weryfikację opartą na wiedzy. +* Przekonaj agenta do **zresetowania tajemnicy MFA** lub przeprowadzenia **zamiany SIM** na zarejestrowanym numerze telefonu. +3. Natychmiastowe działania po uzyskaniu dostępu (≤60 min w rzeczywistych przypadkach) +* Ustanów punkt zaczepienia przez dowolny portal SSO. +* Enumeruj AD / AzureAD za pomocą wbudowanych narzędzi (żadne pliki binarne nie są zrzucane): +```powershell +# lista grup katalogowych i ról uprzywilejowanych +Get-ADGroup -Filter * -Properties Members | ?{$_.Members -match $env:USERNAME} + +# AzureAD / Graph – lista ról katalogowych +Get-MgDirectoryRole | ft DisplayName,Id + +# Enumeruj urządzenia, do których konto może się zalogować +Get-MgUserRegisteredDevice -UserId +``` +* Ruch boczny z **WMI**, **PsExec** lub legalnymi agentami **RMM**, które już są na białej liście w środowisku. + +### Wykrywanie i łagodzenie +* Traktuj odzyskiwanie tożsamości w pomocy technicznej jako **operację uprzywilejowaną** – wymagaj autoryzacji krokowej i zatwierdzenia menedżera. +* Wdrażaj zasady **Wykrywania i Reagowania na Zagrożenia Tożsamości (ITDR)** / **UEBA**, które alarmują o: +* Zmiana metody MFA + autoryzacja z nowego urządzenia / geolokalizacji. +* Natychmiastowe podniesienie tego samego podmiotu (użytkownik-→-administrator). +* Rejestruj rozmowy z pomocą techniczną i wymuszaj **oddzwonienie na już zarejestrowany numer** przed jakimkolwiek resetem. +* Wdrażaj **Just-In-Time (JIT) / Uprzywilejowany dostęp**, aby nowo zresetowane konta **nie** dziedziczyły automatycznie tokenów o wysokim przywileju. + +--- + +## Dezinformacja na dużą skalę – SEO Poisoning i kampanie “ClickFix” +Zespoły towarowe równoważą koszty operacji wysokiego kontaktu masowymi atakami, które przekształcają **wyszukiwarki i sieci reklamowe w kanał dostarczania**. + +1. **SEO poisoning / malvertising** wypycha fałszywy wynik, taki jak `chromium-update[.]site`, na szczyt reklam wyszukiwania. +2. Ofiara pobiera małego **ładowacza pierwszego etapu** (często JS/HTA/ISO). Przykłady widziane przez Unit 42: +* `RedLine stealer` +* `Lumma stealer` +* `Lampion Trojan` +3. Ładowacz eksfiltruje ciasteczka przeglądarki + bazy danych danych logowania, a następnie pobiera **cichy ładowacz**, który decyduje – *w czasie rzeczywistym* – czy wdrożyć: +* RAT (np. AsyncRAT, RustDesk) +* ransomware / wiper +* komponent utrzymania (klucz rejestru Run + zaplanowane zadanie) + +### Wskazówki dotyczące wzmocnienia +* Blokuj nowo zarejestrowane domeny i wymuszaj **Zaawansowane filtrowanie DNS / URL** na *reklamach wyszukiwania*, jak również w e-mailach. +* Ogranicz instalację oprogramowania do podpisanych pakietów MSI / Store, odmawiaj wykonania `HTA`, `ISO`, `VBS` zgodnie z polityką. +* Monitoruj procesy potomne przeglądarek otwierające instalatory: +```yaml +- parent_image: /Program Files/Google/Chrome/* +and child_image: *\\*.exe +``` +* Poluj na LOLBins często nadużywane przez ładowacze pierwszego etapu (np. `regsvr32`, `curl`, `mshta`). + +--- + +## Operacje phishingowe wspomagane AI +Atakujący teraz łączą **LLM i API klonowania głosu** w celu uzyskania w pełni spersonalizowanych przynęt i interakcji w czasie rzeczywistym. + +| Warstwa | Przykład użycia przez aktora zagrożenia | +|-------|-----------------------------| +|Automatyzacja|Generuj i wysyłaj >100 k e-maili / SMS z losowymi sformułowaniami i linkami śledzącymi.| +|Generatywna AI|Produkuj *jednorazowe* e-maile odnoszące się do publicznych M&A, wewnętrznych żartów z mediów społecznościowych; głos CEO w deep-fake w oszustwie telefonicznym.| +|Agentic AI|Autonomicznie rejestruj domeny, zbieraj informacje z otwartych źródeł, twórz e-maile następnego etapu, gdy ofiara kliknie, ale nie poda danych logowania.| + +**Obrona:** +• Dodaj **dynamiczne banery** podkreślające wiadomości wysyłane z nieufnej automatyzacji (poprzez anomalie ARC/DKIM). +• Wdrażaj **frazy wyzwań biometrycznych głosu** dla wysokiego ryzyka telefonicznych żądań. +• Ciągle symuluj przynęty generowane przez AI w programach uświadamiających – statyczne szablony są przestarzałe. + +--- + +## Zmęczenie MFA / wariant Push Bombing – Wymuszony reset +Oprócz klasycznego push-bombing, operatorzy po prostu **wymuszają nową rejestrację MFA** podczas rozmowy z pomocą techniczną, unieważniając istniejący token użytkownika. Każdy kolejny monit logowania wydaje się być legitymny dla ofiary. +```text +[Attacker] → Help-Desk: “I lost my phone while travelling, can you unenrol it so I can add a new authenticator?” +[Help-Desk] → AzureAD: ‘Delete existing methods’ → sends registration e-mail +[Attacker] → Completes new TOTP enrolment on their own device +``` +Monitoruj zdarzenia AzureAD/AWS/Okta, w których **`deleteMFA` + `addMFA`** występują **w ciągu kilku minut z tego samego IP**. + ## Przechwytywanie schowka / Pastejacking -Atakujący mogą cicho kopiować złośliwe polecenia do schowka ofiary z kompromitowanej lub błędnie napisanej strony internetowej, a następnie oszukać użytkownika, aby wkleił je w **Win + R**, **Win + X** lub oknie terminala, wykonując dowolny kod bez pobierania lub załączania. +Atakujący mogą cicho skopiować złośliwe polecenia do schowka ofiary z kompromitowanej lub fałszywej strony internetowej, a następnie oszukać użytkownika, aby wkleił je w **Win + R**, **Win + X** lub w oknie terminala, wykonując dowolny kod bez pobierania lub załączania. {{#ref}} clipboard-hijacking.md {{#endref}} -## Phishing mobilny i dystrybucja złośliwych aplikacji (Android i iOS) +## Mobilne phishing i dystrybucja złośliwych aplikacji (Android i iOS) {{#ref}} mobile-phishing-malicious-apps.md @@ -458,5 +545,6 @@ mobile-phishing-malicious-apps.md - [https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/) - [https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/](https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/) - [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy) +- [2025 Unit 42 Global Incident Response Report – Social Engineering Edition](https://unit42.paloaltonetworks.com/2025-unit-42-global-incident-response-report-social-engineering-edition/) {{#include ../../banners/hacktricks-training.md}}