| .. | ||
| clone-a-website.md | ||
| detecting-phising.md | ||
| phishing-documents.md | ||
| README.md | ||
Méthodologie de phishing
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !
- Découvrez The PEASS Family, notre collection exclusive de NFTs
- Obtenez le swag officiel PEASS & HackTricks
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.
Méthodologie
- Reconnaissance de la victime
- Sélectionnez le domaine de la victime.
- Effectuez une énumération web de base en recherchant les portails de connexion utilisés par la victime et décidez lequel vous allez usurper.
- Utilisez un peu d'OSINT pour trouver des adresses e-mail.
- Préparez l'environnement
- Achetez le domaine que vous allez utiliser pour l'évaluation de phishing
- Configurez le service de messagerie électronique en relation avec les enregistrements (SPF, DMARC, DKIM, rDNS)
- Configurez le VPS avec gophish
- Préparez la campagne
- Préparez le modèle d'e-mail
- Préparez la page web pour voler les informations d'identification
- Lancez la campagne !
Générer des noms de domaine similaires ou acheter un domaine de confiance
Techniques de variation de nom de domaine
- Mot-clé: Le nom de domaine contient un mot-clé important du domaine d'origine (par exemple, zelster.com-management.com).
- Sous-domaine avec tiret: Remplacez le point par un tiret d'un sous-domaine (par exemple, www-zelster.com).
- Nouvelle TLD: Même domaine en utilisant une nouvelle TLD (par exemple, zelster.org)
- Homoglyphe: Il remplace une lettre dans le nom de domaine par des lettres qui se ressemblent (par exemple, zelfser.com).
- Transposition: Il échange deux lettres dans le nom de domaine (par exemple, zelster.com).
- Singulier/Pluriel: Ajoute ou supprime un "s" à la fin du nom de domaine (par exemple, zeltsers.com).
- Omission: Il supprime une des lettres du nom de domaine (par exemple, zelser.com).
- Répétition: Il répète une des lettres dans le nom de domaine (par exemple, zeltsser.com).
- Remplacement: Comme homoglyphe mais moins discret. Il remplace l'une des lettres du nom de domaine, peut-être par une lettre à proximité de la lettre d'origine sur le clavier (par exemple, zektser.com).
- Sous-domaine: Introduire un point à l'intérieur du nom de domaine (par exemple, ze.lster.com).
- Insertion: Il insère une lettre dans le nom de domaine (par exemple, zerltser.com).
- Point manquant: Ajoutez le TLD au nom de domaine. (par exemple, zelstercom.com)
Outils automatiques
Sites Web
- https://dnstwist.it/
- https://dnstwister.report/
- https://www.internetmarketingninjas.com/tools/free-tools/domain-typo-generator/
Bitflipping
Dans le monde de l'informatique, tout est stocké en bits (zéros et uns) en mémoire en arrière-plan.
Cela s'applique également aux domaines. Par exemple, windows.com devient 01110111... dans la mémoire volatile de votre appareil informatique.
Cependant, que se passe-t-il si l'un de ces bits est automatiquement inversé en raison d'une éruption solaire, de rayons cosmiques ou d'une erreur matérielle ? C'est-à-dire qu'un des 0 devient un 1 et vice versa.
En appliquant ce concept à la demande DNS, il est possible que le domaine demandé qui arrive au serveur DNS ne soit pas le même que le domaine initialement demandé.
Par exemple, une modification de 1 bit dans le domaine windows.com peut le transformer en windnws.com.
Les attaquants peuvent enregistrer autant de domaines de basculement de bits que possible liés à la victime afin de rediriger les utilisateurs légitimes vers leur infrastructure.
Pour plus d'informations, consultez https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/
Acheter un domaine de confiance
Vous pouvez rechercher sur https://www.expireddomains.net/ un domaine expiré que vous pourriez utiliser.
Afin de vous assurer que le domaine expiré que vous allez acheter a déjà un bon référencement naturel, vous pouvez vérifier comment il est catégorisé dans :
Découverte d'adresses e-mail
- https://github.com/laramies/theHarvester (100% gratuit)
- https://phonebook.cz/ (100% gratuit)
- https://maildb.io/
- https://hunter.io/
- https://anymailfinder.com/
Afin de découvrir plus d'adresses e-mail valides ou de vérifier celles que vous avez déjà découvertes, vous pouvez vérifier si vous pouvez les brute-force sur les serveurs SMTP de la victime. Apprenez comment vérifier/découvrir une adresse e-mail ici.
De plus, n'oubliez pas que si les utilisateurs utilisent n'importe quel portail web pour accéder à leurs e-mails, vous pouvez vérifier s'il est vulnérable à la brute force de nom d'utilisateur, et explo
ssh -L 3333:127.0.0.1:3333 <user>@<ip>
Configuration
Configuration du certificat TLS
Avant cette étape, vous devez avoir déjà acheté le domaine que vous allez utiliser et il doit être redirigé vers l'adresse IP du VPS où vous configurez gophish.
DOMAIN="<domain>"
wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
sudo apt install snapd
sudo snap install core
sudo snap refresh core
sudo apt-get remove certbot
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
certbot certonly --standalone -d "$DOMAIN"
mkdir /opt/gophish/ssl_keys
cp "/etc/letsencrypt/live/$DOMAIN/privkey.pem" /opt/gophish/ssl_keys/key.pem
cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt
Configuration de messagerie
Commencez par installer : apt-get install postfix
Ensuite, ajoutez le domaine aux fichiers suivants :
- /etc/postfix/virtual_domains
- /etc/postfix/transport
- /etc/postfix/virtual_regexp
Modifiez également les valeurs des variables suivantes dans /etc/postfix/main.cf
myhostname = <domain>
mydestination = $myhostname, <domain>, localhost.com, localhost
Enfin, modifiez les fichiers /etc/hostname et /etc/mailname avec votre nom de domaine et redémarrez votre VPS.
Maintenant, créez un enregistrement DNS A de mail.<domain> pointant vers l'adresse IP du VPS et un enregistrement DNS MX pointant vers mail.<domain>
Maintenant, testons l'envoi d'un e-mail :
apt install mailutils
echo "This is the body of the email" | mail -s "This is the subject line" test@email.com
Configuration de Gophish
Arrêtez l'exécution de Gophish et configurez-le.
Modifiez /opt/gophish/config.json comme suit (notez l'utilisation de https):
{
"admin_server": {
"listen_url": "127.0.0.1:3333",
"use_tls": true,
"cert_path": "gophish_admin.crt",
"key_path": "gophish_admin.key"
},
"phish_server": {
"listen_url": "0.0.0.0:443",
"use_tls": true,
"cert_path": "/opt/gophish/ssl_keys/key.crt",
"key_path": "/opt/gophish/ssl_keys/key.pem"
},
"db_name": "sqlite3",
"db_path": "gophish.db",
"migrations_prefix": "db/db_",
"contact_address": "",
"logging": {
"filename": "",
"level": ""
}
}
Configurer le service gophish
Afin de créer le service gophish pour qu'il puisse être démarré automatiquement et géré en tant que service, vous pouvez créer le fichier /etc/init.d/gophish avec le contenu suivant :
#!/bin/bash
# /etc/init.d/gophish
# initialization file for stop/start of gophish application server
#
# chkconfig: - 64 36
# description: stops/starts gophish application server
# processname:gophish
# config:/opt/gophish/config.json
# From https://github.com/gophish/gophish/issues/586
# define script variables
processName=Gophish
process=gophish
appDirectory=/opt/gophish
logfile=/var/log/gophish/gophish.log
errfile=/var/log/gophish/gophish.error
start() {
echo 'Starting '${processName}'...'
cd ${appDirectory}
nohup ./$process >>$logfile 2>>$errfile &
sleep 1
}
stop() {
echo 'Stopping '${processName}'...'
pid=$(/bin/pidof ${process})
kill ${pid}
sleep 1
}
status() {
pid=$(/bin/pidof ${process})
if [["$pid" != ""| "$pid" != "" ]]; then
echo ${processName}' is running...'
else
echo ${processName}' is not running...'
fi
}
case $1 in
start|stop|status) "$1" ;;
esac
Terminer la configuration du service et vérifiez-le en faisant :
mkdir /var/log/gophish
chmod +x /etc/init.d/gophish
update-rc.d gophish defaults
#Check the service
service gophish start
service gophish status
ss -l | grep "3333\|443"
service gophish stop
Configuration du serveur de messagerie et du domaine
Attendez
Plus un domaine est ancien, moins il est probable qu'il soit considéré comme du spam. Vous devriez donc attendre le plus longtemps possible (au moins une semaine) avant l'évaluation du phishing.
Notez que même si vous devez attendre une semaine, vous pouvez tout configurer maintenant.
Configuration de l'enregistrement DNS inversé (rDNS)
Définissez un enregistrement rDNS (PTR) qui résout l'adresse IP du VPS en nom de domaine.
Enregistrement de la politique d'expéditeur (SPF)
Vous devez configurer un enregistrement SPF pour le nouveau domaine. Si vous ne savez pas ce qu'est un enregistrement SPF, lisez cette page.
Vous pouvez utiliser https://www.spfwizard.net/ pour générer votre politique SPF (utilisez l'adresse IP de la machine VPS)
Ceci est le contenu qui doit être défini dans un enregistrement TXT à l'intérieur du domaine:
v=spf1 mx a ip4:ip.ip.ip.ip ?all
Enregistrement DMARC (Domain-based Message Authentication, Reporting & Conformance)
Vous devez configurer un enregistrement DMARC pour le nouveau domaine. Si vous ne savez pas ce qu'est un enregistrement DMARC, lisez cette page.
Vous devez créer un nouvel enregistrement DNS TXT pointant vers le nom d'hôte _dmarc.<domain> avec le contenu suivant :
v=DMARC1; p=none
DomainKeys Identified Mail (DKIM)
Vous devez configurer un DKIM pour le nouveau domaine. Si vous ne savez pas ce qu'est un enregistrement DMARC, lisez cette page.
Ce tutoriel est basé sur : https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy
{% hint style="info" %} Vous devez concaténer les deux valeurs B64 que la clé DKIM génère :
v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB
{% endhint %}
Testez votre score de configuration d'e-mail
Vous pouvez le faire en utilisant https://www.mail-tester.com/
Accédez simplement à la page et envoyez un e-mail à l'adresse qu'ils vous donnent:
echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com
Vous pouvez également vérifier la configuration de votre e-mail en envoyant un e-mail à check-auth@verifier.port25.com et en lisant la réponse (pour cela, vous devrez ouvrir le port 25 et voir la réponse dans le fichier /var/mail/root si vous envoyez l'e-mail en tant que root).
Vérifiez que vous réussissez tous les tests :
==========================================================
Summary of Results
==========================================================
SPF check: pass
DomainKeys check: neutral
DKIM check: pass
Sender-ID check: pass
SpamAssassin check: ham
Alternativement, vous pouvez envoyer un message à une adresse Gmail que vous contrôlez, afficher les en-têtes de l'email reçu dans votre boîte de réception Gmail, dkim=pass doit être présent dans le champ d'en-tête Authentication-Results.
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
dkim=pass header.i=@example.com;
Retrait de la liste noire de Spamhouse
La page www.mail-tester.com peut vous indiquer si votre domaine est bloqué par Spamhouse. Vous pouvez demander le retrait de votre domaine/IP à l'adresse suivante : https://www.spamhaus.org/lookup/
Retrait de la liste noire de Microsoft
Vous pouvez demander le retrait de votre domaine/IP à l'adresse suivante : https://sender.office.com/.
Créer et lancer une campagne GoPhish
Profil d'envoi
- Définissez un nom pour identifier le profil de l'expéditeur
- Décidez à partir de quel compte vous allez envoyer les e-mails de phishing. Suggestions : noreply, support, servicedesk, salesforce...
- Vous pouvez laisser les champs nom d'utilisateur et mot de passe vides, mais assurez-vous de cocher la case Ignorer les erreurs de certificat
{% hint style="info" %}
Il est recommandé d'utiliser la fonctionnalité "Envoyer un e-mail de test" pour tester que tout fonctionne.
Je recommande d'envoyer les e-mails de test à des adresses 10min mails afin d'éviter d'être mis sur liste noire lors des tests.
{% endhint %}
Modèle d'e-mail
- Définissez un nom pour identifier le modèle
- Ensuite, écrivez un objet (rien d'étrange, juste quelque chose que vous pourriez vous attendre à lire dans un e-mail régulier)
- Assurez-vous d'avoir coché "Ajouter une image de suivi"
- Écrivez le modèle d'e-mail (vous pouvez utiliser des variables comme dans l'exemple suivant) :
<html>
<head>
<title></title>
</head>
<body>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:black">Dear {{.FirstName}} {{.LastName}},</span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:black">As you may be aware, due to the large number of employees working from home, the "PLATFORM NAME" platform is being migrated to a new domain with an improved and more secure version. To finalize account migration, please use the following link to log into the new HR portal and move your account to the new site: <a href="{{.URL}}"> "PLATFORM NAME" login portal </a><br />
<br />
Please Note: We require all users to move their accounts by 04/01/2021. Failure to confirm account migration may prevent you from logging into the application after the migration process is complete.<br />
<br />
Regards,</span></p>
WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
<p>{{.Tracker}}</p>
</body>
</html>
Notez que afin d'augmenter la crédibilité de l'e-mail, il est recommandé d'utiliser une signature provenant d'un e-mail du client. Suggestions :
- Envoyez un e-mail à une adresse inexistante et vérifiez si la réponse contient une signature.
- Recherchez des e-mails publics tels que info@ex.com ou press@ex.com ou public@ex.com et envoyez-leur un e-mail et attendez la réponse.
- Essayez de contacter un e-mail valide découvert et attendez la réponse.
{% hint style="info" %} Le modèle d'e-mail permet également de joindre des fichiers à envoyer. Si vous souhaitez également voler des défis NTLM en utilisant des fichiers/documents spécialement conçus lisez cette page. {% endhint %}
Page d'atterrissage
- Écrivez un nom
- Écrivez le code HTML de la page web. Notez que vous pouvez importer des pages web.
- Cochez Capture Submitted Data et Capture Passwords
- Définissez une redirection
{% hint style="info" %}
Vous devrez généralement modifier le code HTML de la page et effectuer des tests en local (peut-être en utilisant un serveur Apache) jusqu'à ce que vous soyez satisfait des résultats. Ensuite, écrivez ce code HTML dans la boîte.
Notez que si vous avez besoin d'utiliser des ressources statiques pour le HTML (peut-être des pages CSS et JS), vous pouvez les enregistrer dans /opt/gophish/static/endpoint et y accéder depuis /static/<filename>
{% endhint %}
{% hint style="info" %} Pour la redirection, vous pouvez rediriger les utilisateurs vers la page web principale légitime de la victime, ou les rediriger vers /static/migration.html par exemple, mettre une roue tournante (https://loading.io/) pendant 5 secondes, puis indiquer que le processus a réussi. {% endhint %}
Utilisateurs et groupes
- Définissez un nom
- Importez les données (notez que pour utiliser le modèle pour l'exemple, vous avez besoin du prénom, du nom de famille et de l'adresse e-mail de chaque utilisateur)
Campagne
Enfin, créez une campagne en sélectionnant un nom, le modèle d'e-mail, la page d'atterrissage, l'URL, le profil d'envoi et le groupe. Notez que l'URL sera le lien envoyé aux victimes.
Notez que le profil d'envoi permet d'envoyer un e-mail de test pour voir à quoi ressemblera l'e-mail de phishing final :
{% hint style="info" %} Je recommanderais d'envoyer les e-mails de test à des adresses de 10 minutes afin d'éviter d'être mis sur liste noire lors des tests. {% endhint %}
Une fois que tout est prêt, lancez simplement la campagne !
Clonage de site web
Si pour une raison quelconque vous voulez cloner le site web, consultez la page suivante :
{% content-ref url="clone-a-website.md" %} clone-a-website.md {% endcontent-ref %}
Documents et fichiers piégés
Dans certaines évaluations de phishing (principalement pour les équipes rouges), vous voudrez également envoyer des fichiers contenant une sorte de porte dérobée (peut-être un C2 ou peut-être juste quelque chose qui déclenchera une authentification).
Consultez la page suivante pour quelques exemples :
{% content-ref url="phishing-documents.md" %} phishing-documents.md {% endcontent-ref %}
Phishing MFA
Via Proxy MitM
L'attaque précédente est assez astucieuse car vous simulez un vrai site web et recueillez les informations définies par l'utilisateur. Malheureusement, si l'utilisateur n'a pas mis le bon mot de passe ou si l'application que vous avez simulée est configurée avec 2FA, ces informations ne vous permettront pas d'usurper l'utilisateur trompé.
C'est là que des outils comme evilginx2 ou CredSniper sont utiles. Cet outil vous permettra de générer une attaque de type MitM. Fondamentalement, les attaques fonctionnent de la manière suivante :
- Vous usurpez le formulaire de connexion de la vraie page web.
- L'utilisateur envoie ses informations d'identification à votre page de faux et l'outil les envoie à la vraie page web, vérifiant si les informations d'identification fonctionnent.
- Si le compte est configuré avec 2FA, la page MitM demandera celui-ci et une fois que l'utilisateur l'aura introduit, l'outil l'enverra à la vraie page web.
- Une fois que l'utilisateur est authentifié, vous (en tant qu'attaquant) aurez capturé les informations d'identification, le 2FA, le cookie et toute information de chaque interaction pendant que l'outil effectue une attaque MitM.
Via VNC
Et si au lieu d'envoyer la victime sur une page malveillante avec le même aspect que l'originale, vous l'envoyez vers une session VNC avec un navigateur connecté à la vraie page web ? Vous pourrez voir ce qu'il fait, voler le mot de passe, le MFA utilisé, les cookies...
Vous pouvez le faire avec EvilnVNC
Détection de la détection
Évidemment, l'une des meilleures façons de savoir si vous avez été repéré est de rechercher votre domaine dans des listes noires. S'il apparaît dans la liste, votre domaine a été détecté comme suspect.
Un moyen facile de vérifier si votre domaine apparaît dans une liste noire consiste à utiliser https://malwareworld.com/
Cependant, il existe d'autres moyens de savoir si la victime cherche activement une activité de phishing suspecte dans la nature comme expliqué dans :
{% content-ref url="detecting-phising.md" %} detecting-phising.md {% endcontent-ref %}
Vous pouvez acheter un domaine avec un nom très similaire à celui de la victime et/ou générer un certificat pour un sous-domaine d'un domaine contrôlé par vous contenant le mot-clé du domaine de la victime. Si la victime effectue une quelconque interaction DNS ou HTTP avec eux, vous saurez qu'elle cherche activement des domaines suspects et vous devrez être très discret.
Évaluer le phishing
Utilisez Phishious pour évaluer si votre e-mail va finir dans le dossier spam ou s'il sera bloqué ou réussi.