maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-methodologies-and-resources/phishing-methodolog

Browse Source
This commit is contained in:
Translator 2025-07-28 10:12:59 +00:00
parent 81785b8839
commit efc8572ad2
3 changed files with 128 additions and 19 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

1
src/SUMMARY.md
View File

@ -32,6 +32,7 @@
- [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md)
- [Detecting Phishing](generic-methodologies-and-resources/phishing-methodology/detecting-phising.md)
- [Discord Invite Hijacking](generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md)
- [Homograph Attacks](generic-methodologies-and-resources/phishing-methodology/homograph-attacks.md)
- [Mobile Phishing Malicious Apps](generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md)
- [Phishing Files & Documents](generic-methodologies-and-resources/phishing-methodology/phishing-documents.md)
- [Basic Forensic Methodology](generic-methodologies-and-resources/basic-forensic-methodology/README.md)

42
src/generic-methodologies-and-resources/phishing-methodology/README.md
View File

@ -6,7 +6,7 @@
1. Recon die slagoffer
1. Kies die **slagoffer domein**.
2. Voer 'n paar basiese web-opsomming uit **soek na aanmeldportale** wat deur die slagoffer gebruik word en **besluit** watter een jy gaan **naboots**.
2. Voer 'n paar basiese web-opsomming **soek na aanmeldportale** wat deur die slagoffer gebruik word en **besluit** watter een jy gaan **naboots**.
3. Gebruik 'n bietjie **OSINT** om **e-posse** te **vind**.
2. Berei die omgewing voor
1. **Koop die domein** wat jy gaan gebruik vir die phishing assessering
@ -25,8 +25,12 @@
- **gehipen subdomein**: Verander die **punt in 'n koppelteken** van 'n subdomein (bv. www-zelster.com).
- **Nuwe TLD**: Dieselfde domein met 'n **nuwe TLD** (bv. zelster.org)
- **Homoglyph**: Dit **vervang** 'n letter in die domeinnaam met **letters wat soortgelyk lyk** (bv. zelfser.com).
{{#ref}}
homograph-attacks.md
{{#endref}}
- **Transposisie:** Dit **ruil twee letters** binne die domeinnaam (bv. zelsetr.com).
- **Singularisering/Pluralisering**: Voeg "s" by of verwyder dit aan die einde van die domeinnaam (bv. zeltsers.com).
- **Singularisering/Meervouding**: Voeg “s” by of verwyder dit aan die einde van die domeinnaam (bv. zeltsers.com).
- **Omissie**: Dit **verwyder een** van die letters uit die domeinnaam (bv. zelser.com).
- **Herhaling:** Dit **herhaal een** van die letters in die domeinnaam (bv. zeltsser.com).
- **Vervanging**: Soos homoglyph maar minder stil. Dit vervang een van die letters in die domeinnaam, dalk met 'n letter naby die oorspronklike letter op die sleutelbord (bv. zektser.com).
@ -73,7 +77,7 @@ Om seker te maak dat die vervalle domein wat jy gaan koop **alreeds 'n goeie SEO
- [https://hunter.io/](https://hunter.io)
- [https://anymailfinder.com/](https://anymailfinder.com)
Om **meer** geldige e-posadresse te **ontdek** of **te verifieer** wat jy reeds ontdek het, kan jy kyk of jy die slagoffer se smtp bedieners kan brute-force. [Leer hoe om e-posadres hier te verifieer/ontdek](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\
Om **meer** geldige e-posadresse te **ontdek** of **diegene** wat jy reeds ontdek het te **verifieer**, kan jy kyk of jy die slagoffer se smtp bedieners kan brute-force. [Leer hoe om e-posadres hier te verifieer/ontdek](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\
Boonop, moenie vergeet dat as die gebruikers **enige webportaal gebruik om toegang tot hul e-posse te verkry**, jy kan kyk of dit kwesbaar is vir **gebruikersnaam brute force**, en die kwesbaarheid indien moontlik benut.
## Konfigureer GoPhish
@ -82,8 +86,8 @@ Boonop, moenie vergeet dat as die gebruikers **enige webportaal gebruik om toega
Jy kan dit aflaai van [https://github.com/gophish/gophish/releases/tag/v0.11.0](https://github.com/gophish/gophish/releases/tag/v0.11.0)
Laai dit af en ontspan dit binne `/opt/gophish` en voer `/opt/gophish/gophish` uit.\
Jy sal 'n wagwoord vir die admin gebruiker op poort 3333 in die uitvoer ontvang. Daarom, toegang daartoe en gebruik daardie geloofsbriewe om die admin wagwoord te verander. Jy mag dalk daardie poort na lokaal moet tonnel:
Laai dit af en ontbind dit binne `/opt/gophish` en voer `/opt/gophish/gophish` uit.\
Jy sal 'n wagwoord vir die admin gebruiker op poort 3333 in die uitvoer ontvang. Daarom, toegang daartoe en gebruik daardie inligting om die admin wagwoord te verander. Jy mag dalk daardie poort na lokaal moet tonnel.
```bash
ssh -L 3333:127.0.0.1:3333 <user>@<ip>
```
@ -107,7 +111,7 @@ mkdir /opt/gophish/ssl_keys
cp "/etc/letsencrypt/live/$DOMAIN/privkey.pem" /opt/gophish/ssl_keys/key.pem
cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt
```
**E-pos konfigurasie**
**Poskonfigurasie**
Begin met installasie: `apt-get install postfix`
@ -119,12 +123,12 @@ Voeg dan die domein by die volgende lêers:
**Verander ook die waardes van die volgende veranderlikes binne /etc/postfix/main.cf**
`myhostname = <domain>`\
`mydestination = $myhostname, <domain>, localhost.com, localhost`
`myhostname = <domein>`\
`mydestination = $myhostname, <domein>, localhost.com, localhost`
Laastens, wysig die lêers **`/etc/hostname`** en **`/etc/mailname`** na jou domeinnaam en **herbegin jou VPS.**
Skep nou 'n **DNS A rekord** van `mail.<domain>` wat na die **ip adres** van die VPS wys en 'n **DNS MX** rekord wat na `mail.<domain>` wys.
Nou, skep 'n **DNS A rekord** van `mail.<domein>` wat na die **ip adres** van die VPS wys en 'n **DNS MX** rekord wat na `mail.<domein>` wys.
Nou laat ons toets om 'n e-pos te stuur:
```bash
@ -245,7 +249,7 @@ v=spf1 mx a ip4:ip.ip.ip.ip ?all
```
### Domein-gebaseerde Boodskapoutentiekering, Verslagdoening & Nakoming (DMARC) Rekord
Jy moet **'n DMARC rekord vir die nuwe domein konfigureer**. As jy nie weet wat 'n DMARC rekord is nie, [**lees hierdie bladsy**](../../network-services-pentesting/pentesting-smtp/index.html#dmarc).
Jy moet **'n DMARC rekord vir die nuwe domein konfigureer**. As jy nie weet wat 'n DMARC rekord is nie [**lees hierdie bladsy**](../../network-services-pentesting/pentesting-smtp/index.html#dmarc).
Jy moet 'n nuwe DNS TXT rekord skep wat die gasheernaam `_dmarc.<domain>` met die volgende inhoud aandui:
```bash
@ -266,7 +270,7 @@ Hierdie tutoriaal is gebaseer op: [https://www.digitalocean.com/community/tutori
### Toets jou e-pos konfigurasie telling
Jy kan dit doen met [https://www.mail-tester.com/](https://www.mail-tester.com)\
Jy kan dit doen deur [https://www.mail-tester.com/](https://www.mail-tester.com)\
Besoek net die bladsy en stuur 'n e-pos na die adres wat hulle jou gee:
```bash
echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com
@ -283,7 +287,7 @@ DKIM check: pass
Sender-ID check: pass
SpamAssassin check: ham
```
Jy kan ook 'n **boodskap na 'n Gmail onder jou beheer** stuur, en die **e-pos se koptekste** in jou Gmail-inboks nagaan, `dkim=pass` moet teenwoordig wees in die `Authentication-Results` kopveld.
Jy kan ook 'n **boodskap na 'n Gmail onder jou beheer** stuur, en die **e-pos se koptekste** in jou Gmail-inboks nagaan, `dkim=pass` moet teenwoordig wees in die `Authentication-Results` koptekstveld.
```
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
@ -305,7 +309,7 @@ Die bladsy [www.mail-tester.com](https://www.mail-tester.com) kan jou aandui of
- Besluit vanaf watter rekening jy die phishing e-posse gaan stuur. Voorstelle: _noreply, support, servicedesk, salesforce..._
- Jy kan die gebruikersnaam en wagwoord leeg laat, maar maak seker om die Ignore Certificate Errors te merk
![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)
![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)
> [!TIP]
> Dit word aanbeveel om die "**Stuur Toets E-pos**" funksionaliteit te gebruik om te toets of alles werk.\
@ -314,7 +318,7 @@ Die bladsy [www.mail-tester.com](https://www.mail-tester.com) kan jou aandui of
### E-pos Sjabloon
- Stel 'n **naam om die** sjabloon te identifiseer
- Skryf dan 'n **onderwerp** (niks vreemd nie, net iets wat jy in 'n gewone e-pos sou verwag om te lees)
- Skryf dan 'n **onderwerp** (niks vreemd nie, net iets wat jy sou verwag om in 'n gewone e-pos te lees)
- Maak seker jy het "**Voeg Volg Beeld**" gemerk
- Skryf die **e-pos sjabloon** (jy kan veranderlikes gebruik soos in die volgende voorbeeld):
```html
@ -357,15 +361,15 @@ Let daarop dat **om die geloofwaardigheid van die e-pos te verhoog**, dit aanbev
> [!TIP]
> Gewoonlik sal jy die HTML-kode van die bladsy moet wysig en 'n paar toetse in plaaslike omgewing doen (miskien met 'n Apache-bediener) **totdat jy hou van die resultate.** Skryf dan daardie HTML-kode in die boks.\
> Let daarop dat as jy **sommige statiese hulpbronne** vir die HTML nodig het (miskien sommige CSS en JS bladsye) jy dit kan stoor in _**/opt/gophish/static/endpoint**_ en dan toegang tot hulle kan kry vanaf _**/static/\<filename>**_
> Let daarop dat as jy **bepaalde statiese hulpbronne** vir die HTML benodig (miskien 'n paar CSS en JS bladsye) jy dit in _**/opt/gophish/static/endpoint**_ kan stoor en dit dan kan benader vanaf _**/static/\<filename>**_
> [!TIP]
> Vir die omleiding kan jy **die gebruikers na die wettige hoofwebblad** van die slagoffer omlei, of hulle na _/static/migration.html_ omlei, byvoorbeeld, plaas 'n **spinning wheel (**[**https://loading.io/**](https://loading.io)**) vir 5 sekondes en dui dan aan dat die proses suksesvol was**.
> Vir die omleiding kan jy **die gebruikers na die wettige hoofwebblad** van die slagoffer omlei, of hulle na _/static/migration.html_ omlei, byvoorbeeld, plaas 'n **draaiwiel (**[**https://loading.io/**](https://loading.io)**) vir 5 sekondes en dui dan aan dat die proses suksesvol was**.
### Users & Groups
- Stel 'n naam in
- **Importeer die data** (let daarop dat jy die voornaam, van en e-posadres van elke gebruiker nodig het om die sjabloon vir die voorbeeld te gebruik)
- **Importeer die data** (let daarop dat jy die voornaam, van en e-posadres van elke gebruiker benodig om die sjabloon vir die voorbeeld te gebruik)
![](<../../images/image (163).png>)
@ -414,7 +418,7 @@ Hierdie is waar gereedskap soos [**evilginx2**](https://github.com/kgretzky/evil
### Via VNC
Wat as jy in plaas van **die slagoffer na 'n kwaadwillige bladsy** met dieselfde voorkoms as die oorspronklike te stuur, hom na 'n **VNC-sessie met 'n blaaskans wat aan die werklike webblad gekoppel is** stuur? Jy sal kan sien wat hy doen, die wagwoord steel, die MFA wat gebruik word, die koekies...\
Wat as jy in plaas van **die slagoffer na 'n kwaadwillige bladsy** met dieselfde voorkoms as die oorspronklike een te stuur, hom na 'n **VNC-sessie met 'n blaaskoppeling na die werklike webblad** stuur? Jy sal kan sien wat hy doen, die wagwoord steel, die MFA wat gebruik word, die koekies...\
Jy kan dit doen met [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC)
## Detecting the detection
@ -422,7 +426,7 @@ Jy kan dit doen met [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC)
Dit is duidelik dat een van die beste maniere om te weet of jy betrap is, is om **jou domein in swartlyste te soek**. As dit gelys word, was jou domein op een of ander manier as verdag beskou.\
Een maklike manier om te kyk of jou domein in enige swartlys verskyn, is om [https://malwareworld.com/](https://malwareworld.com) te gebruik.
Daar is egter ander maniere om te weet of die slagoffer **aktief op soek is na verdagte phishingaktiwiteite in die natuur** soos verduidelik in:
Daar is egter ander maniere om te weet of die slagoffer **aktief op soek is na verdagte phishingaktiwiteite in die natuur**, soos verduidelik in:
{{#ref}}
detecting-phising.md

104
src/generic-methodologies-and-resources/phishing-methodology/homograph-attacks.md Normal file
View File

@ -0,0 +1,104 @@
# Homografiese / Homogliep Aanvalle in Phishing
{{#include ../../banners/hacktricks-training.md}}
## Oorsig
'n Homografiese (ook bekend as homogliep) aanval misbruik die feit dat baie **Unicode-kodepunte van nie-Latynse skrifte visueel identies of uiters soortgelyk aan ASCII-karakters is**. Deur een of meer Latynse karakters met hul visueel soortgelyke teenhangers te vervang, kan 'n aanvaller skep:
* Vertoonname, onderwerpe of boodskapliggame wat legitiem lyk vir die menslike oog, maar sleutelwoord-gebaseerde opsporings omseil.
* Domeine, subdomeine of URL-paaie wat slagoffers mislei om te glo dat hulle 'n vertroude webwerf besoek.
Omdat elke glif intern geïdentifiseer word deur sy **Unicode-kodepunt**, is 'n enkele vervangde karakter genoeg om naïewe stringvergelykings te oorwin (bv. `"Παypal.com"` teenoor `"Paypal.com"`).
## Tipiese Phishing Werkvloei
1. **Skep boodskapinhoud** Vervang spesifieke Latynse letters in die geïmpersoniseerde handelsmerk / sleutelwoord met visueel ononderskeibare karakters van 'n ander skrif (Grieks, Sirilies, Armeens, Cherokee, ens.).
2. **Registreer ondersteunende infrastruktuur** Opsioneel registreer 'n homogliep-domein en verkry 'n TLS-sertifikaat (meeste CA's doen geen visuele soortgelykheidstoetse nie).
3. **Stuur e-pos / SMS** Die boodskap bevat homogliepe in een of meer van die volgende plekke:
* Sender vertoonnaam (bv. `Ηеlрdеѕk`)
* Onderwerplyn (`Urgеnt Аctіon Rеquіrеd`)
* Hyperlink teks of volledig gekwalifiseerde domeinnaam
4. **Herlei ketting** Slagoffer word deur blykbaar onskadelike webwerwe of URL-verkorters gebounce voordat dit op die kwaadwillige gasheer beland wat akrediteer / malware lewer.
## Unicode Reeks Gewoonlik Misbruik
| Skrif | Reeks | Voorbeeld glif | Lyk soos |
|-------|-------|----------------|----------|
| Grieks | U+0370-03FF | `Η` (U+0397) | Latyn `H` |
| Grieks | U+0370-03FF | `ρ` (U+03C1) | Latyn `p` |
| Sirilies | U+0400-04FF | `а` (U+0430) | Latyn `a` |
| Sirilies | U+0400-04FF | `е` (U+0435) | Latyn `e` |
| Armeens | U+0530-058F | `օ` (U+0585) | Latyn `o` |
| Cherokee | U+13A0-13FF | `` (U+13A2) | Latyn `T` |
> Wenk: Volledige Unicode-kaarte is beskikbaar by [unicode.org](https://home.unicode.org/).
## Opsporingstegnieke
### 1. Gemengde-Skrif Inspeksie
Phishing-e-pos wat op 'n Engelssprekende organisasie gemik is, moet selde karakters van verskeie skrifte meng. 'n Eenvoudige maar effektiewe heuristiek is om:
1. Elke karakter van die ondersoekte string te herhaal.
2. Die kodepunt na sy Unicode-blok te kaart.
3. 'n Waarskuwing te laat klink as meer as een skrif teenwoordig is **of** as nie-Latynse skrifte verskyn waar dit nie verwag word nie (vertoonnaam, domein, onderwerp, URL, ens.).
Python bewys-van-konsep:
```python
import unicodedata as ud
from collections import defaultdict
SUSPECT_FIELDS = {
"display_name": "Ηоmоgraph Illusion", # example data
"subject": "Finаniаl Տtatеmеnt",
"url": "https://xn--messageconnecton-2kb.blob.core.windows.net" # punycode
}
for field, value in SUSPECT_FIELDS.items():
blocks = defaultdict(int)
for ch in value:
if ch.isascii():
blocks['Latin'] += 1
else:
name = ud.name(ch, 'UNKNOWN')
block = name.split(' ')[0] # e.g., 'CYRILLIC'
blocks[block] += 1
if len(blocks) > 1:
print(f"[!] Mixed scripts in {field}: {dict(blocks)} -> {value}")
```
### 2. Punycode Normalisering (Domeine)
Internasionaal Geverifieerde Domeinnames (IDNs) word met **punycode** (`xn--`) gekodeer. Om elke gasheernaam na punycode te omskakel en dan weer na Unicode toe, maak dit moontlik om teen 'n witlys te vergelyk of om ooreenkoms kontroles uit te voer (bv. Levenshtein afstand) **nadat** die string genormaliseer is.
```python
import idna
hostname = "Ρаypal.com" # Greek Rho + Cyrillic a
puny = idna.encode(hostname).decode()
print(puny) # xn--yl8hpyal.com
```
### 3. Homoglyph Woordeboeke / Algoritmes
Tools soos **dnstwist** (`--homoglyph`) of **urlcrazy** kan visueel-gelykwaardige domein permutasies opnoem en is nuttig vir proaktiewe afname / monitering.
## Voorkoming & Versagting
* Handhaaf streng DMARC/DKIM/SPF beleid voorkom spoofing van nie-geautoriseerde domeine.
* Implementeer die opsporingslogika hierbo in **Secure Email Gateways** en **SIEM/XSOAR** speelboeke.
* Merk of karantyn boodskappe waar die vertoonnaam domein ≠ sender domein.
* Onderwys gebruikers: kopieer-plak verdagte teks in 'n Unicode-inspekteur, beweeg oor skakels, vertrou nooit URL-verkorters nie.
## Werklike Voorbeelde
* Vertoonnaam: `Сonfidеntiаl ikеt` (Cyrillic `С`, `е`, `а`; Cherokee ``; Latynse klein hoofletter ``).
* Domein ketting: `bestseoservices.com` ➜ munisipale `/templates` gids ➜ `kig.skyvaulyt.ru` ➜ vals Microsoft aanmelding by `mlcorsftpsswddprotcct.approaches.it.com` beskerm deur 'n pasgemaakte OTP CAPTCHA.
* Spotify nabootsing: `Sρօtifւ` sender met skakel versteek agter `redirects.ca`.
Hierdie voorbeelde is afkomstig van Unit 42 navorsing (Julie 2025) en illustreer hoe homoglyph misbruik gekombineer word met URL herleiding en CAPTCHA omseiling om geoutomatiseerde analise te omseil.
## Verwysings
- [The Homograph Illusion: Not Everything Is As It Seems](https://unit42.paloaltonetworks.com/homograph-attacks/)
- [Unicode Character Database](https://home.unicode.org/)
- [dnstwist domain permutation engine](https://github.com/elceef/dnstwist)
{{#include ../../banners/hacktricks-training.md}}