内容简介:几个礼拜前,我突然对网络钓鱼活动以及它们是如何执行的产生了浓厚的兴趣,在本文中我将这个故事分成了多个部分来进行。
*严正声明:本文仅适用于教育目的,切勿越过法律规定的边界范围!
几个礼拜前,我突然对网络钓鱼活动以及它们是如何执行的产生了浓厚的兴趣,在本文中我将这个故事分成了多个部分来进行。
钓鱼域名
让我们从一条钓鱼短信说起。可以看到短信中告知我丢失的苹果手机已被找到,只需点击短信中的链接即可获取相关信息。
这里的接收者是合法的。手机位置链接与真正的icloud链接非常相似,并且连接为https。
我相信大部分用户根本无法看出这会是一个钓鱼链接,并会相信它是一个来自苹果的真实地址。
这里,我强烈建议使用Kali Linux工具箱中的 UrlCrazy ,或者你也可以使用 catphish 。
在该示例中,你可以看到许多用于网络钓鱼和欺诈的注册域。你可以使用任何类型的域名“Typo”。 如字符省略,位反转,同形异义字等。
实际上在某些情况下,同形异义字可能是最有意思的。
假设我们已经准备好了域名,并在GoDaddy中进行了注册。
此外,你还可以在此处注册免费域,并在攻击场景中使用子域名。
保护 DMARC,DKIM,SPF
DMARC(基于域的消息验证,报告和一致性)通过声明应该使用上述 工具 的明确策略并允许设置可以使用的地址来授权SPF(发件人策略框架)和DKIM(DomainKeys识别邮件) 发送有关接收方针对特定域收集的邮件消息统计信息的报告。我不会在这里解释如何使用该策略配置邮件服务器。但大多数情况下,这是域名和邮件服务器的DNS管理工具中的正确配置。
我使用了一个免费的邮件服务器 – 来自Yandex的Mail for Domain 。
完成配置安全策略的所有活动后,我强烈建议你通过检查配置得分来测试电子邮件,它不需要被放置到垃圾邮箱中。
好的电子邮件得分应该像上面一样。为了检查我的电子邮件和邮件服务器的所有设置,我使用了该服务 – Mail Tester 。
电子邮件地址 OSINT
如果我们对公司电子邮件地址执行攻击 – 我们可以在以下资源上发现一些泄漏数据。
Public Database Directory – Public DB Host
Find email addresses in seconds * Hunter (Email Hunter)
但别忘了使用 theHarvester 搜索谷歌,这同样非常的有帮助。
绕过 2FA 的 MITM 攻击框架
在此之前的一切都是在为攻击做准备。现在所有内容都已配置完毕,我们已经准备好向受害者发送电子邮件中有趣的内容。在这个部分主要是配置2fa-mitm端点,这样我们可以捕获会话,即使帐户受2fa保护(Github帐户、LinkedIn帐户等)
所以我决定从这些框架中选择一个: Credsnipper 、 Reelphish 和 Evilginx 。
我选择的是 Evilginx2.2.0版本 。
Evilginx2是一个中间人攻击框架,用于网络钓鱼登录凭证和会话cookie,从而允许绕过双因素身份验证保护。
作为使用Evilginx服务器的虚拟机,我使用了带有Ubuntu镜像的AWS EC2实例。
使用SSH连接可以轻松启动和控制。
接下来,我们只需更新并安装我们的框架:
apt-get update apt-get upgrade wget https://github.com/kgretzky/evilginx2/releases/download/2.2.0/evilginx_linux_x86_2.2.0.zip apt-get install unzip unzip evilginx cd evilginx chmod +x install.sh chmod +x evilginx
并确保没有服务侦听端口TCP 443,TCP 80和UDP 53。你可能需要关闭apache或nginx以及用于解析可能正在运行的DNS的任何服务。如果无法在任何这些端口上打开侦听套接字,Evilginx会在启动时告知你。
如果端口发生此类冲突 – 那么你将需要在我们的EC2计算机上运行该命令。
systemctl disable systemd-resolved systemctl stop systemd-resolved rm /etc/resolv.conf echo 'nameserver 8.8.8.8' > /etc/resolv.conf
所有其他必需的说明都在 readme 中。
Evilginx2 和网络钓鱼域的配置部分
对于我们的AWS EC2机器,我们有一个公共IP地址。
在DNS管理中我们应该这样:
目标 – 是我们的EC2公共IP地址。
名称 – 是我们将使用的子域名。(phishing.valyaroller.tk)
之后,我们需要使用我们的AWS EC2的域名和公共IP配置Evilginx。
这里我们有一个最终的配置。
接下来,我们需要为我们的网络钓鱼域获取SSL/TLS证书。
phishlets hostname linkedin phishing.valyaroller.tk
phishlets enable linkedin
现在,我们就可以在我们的测试帐户上进行演示了。
如你所见,该框架可以支持端到端验证。如果我们尝试使用错误的密码登录 – 我们将看到验证消息,并且当受害者提供sms code时 – 我们将捕获有效的会话。
总结
通过一步步的对钓鱼活动的深入和了解,我学到了许多有趣的东西。在此声明,我没有进行任何非法的活动。我也强烈建议你不要尝试越过法律的边界,去做法律不允许的事情。如你所见,大多数时候这些钓鱼链接看起来像是合法的并且还支持https。你有没有2FA保护并不重要,我想唯一可以保护你的应该是你的观察和注意力。
此外,这里还有一些教育企业员工的防御攻击培训服务:
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
HTML 编码/解码
HTML 编码/解码
RGB HSV 转换
RGB HSV 互转工具