Как произвести успешную фишинг атаку.
Готовые ФишСайты: http://fake-game.ru
Готовые ФишСайты: snifman.wp(pw)
Обязательно сократити ссылки перед тем как скинуть жертве,иначе вас могут заблокировать.
Начинаем с разведки или сбора данных. Беремся за дело: проводим «рекон» (от англ. reconnaissance, разведка) — собираем максимум информации о интересующих нас людях.
Нас интересуют:
•адреса электронной почты;
•сфера деятельности;
•интересы, контакты;
Основные источники данных:
•поисковики (Google, Bing, Yahoo);
•профессиональные соцсети (LinkedIn, «Мой круг» и так далее);
Обычно этот этап работ занимает от одного дня до трех
После того как сбор информации завершен, хакер начинает подготовку сценариев для каждой из эмулируемых им атак. Разработка сценария, как правило, проходит в несколько этапов:
1.Определяемся с типом атаки (например, фишинг).
2.Обдумываем то, как будем мотивировать пользователя.
3.Разрабатываем текст письма и оформление.
4.Продумываем техническую часть рассылки.
Как ты наверняка знаешь из книг по low tech hacking, злоумышленники в своих приемах, чтобы заставить пользователя выполнить те или иные действия, опираются на основные потребности и мотивы человека.
Текст должен разрабатываться с учетом следующих особенностей психики человека:
•интерес (любопытство) пользователя к поднятой теме. Очень распространен интерес к сообщениям личного, интимного характера (или с намеками на него) или кажущаяся легкость получения выгоды, приза или льготы;
•вероятность ущемления личных или профессиональных интересов, чувство опасности, страх, предостережение от угрозы любого характера.
Не стоит забывать и о доверии пользователя к письму — это важный момент. Добиться доверия можно, используя следующие трюки:
•знакомый или авторитетный отправитель, ссылки на такого человека в письме;
•актуальная тема.
Вот несколько советов по организации рассылок:
•Никогда не ленись при разработке шаблона и оформления рассылаемого письма, будь внимателен.
•Собирай как можно больше информации о целях, это половина успеха «удачной социалки».
•Если тебе что-то кажется подозрительным в созданном письме, исключи это.
•Умело используй SMTP RELAY для подмены адреса отправителя.
•Никогда не забывай о наличии таких штук, как антиспам и антивирус, тестируй все тщательно.
•Собирай как можно больше информации об установленном ПО у тех, кто купился на твою уловку.
•Тщательно все логируй.
•Массовые рассылки неоднозначны — покрывают всех сразу, результативны, но и более заметны.
После того как сценарии разработаны, наступает момент, когда необходимо реализовать техническую часть проекта:
•подготовить домены;
•подготовить фишинговые страницы;
•подготовить эксплойты;
•подготовить нагрузку («троянское» ПО);
•наладить сбор статистики.
Как правило, в рамках фишинга хакер намеревается утащить у пользователя его учетные данные. В качестве фишинговой страницы чаще всего используется стандартный шаблон формы авторизации, известной каждому офисному работнику, — шаблон сервисов Microsoft, например Outlook Web Access или Share Point. Увидев перед собой такую страницу, корпоративный пользователь в большинстве случаев думает, что это легитимное приложение и что он исполняет свои рабочие обязанности, вводя учетные данные в форму. Естественно, доменное имя, которое использует этичный хакер, не должно подкачать — выглядеть оно должно максимально легитимно.
Готовые ФишСайты: http://fake-game.ru
Готовые ФишСайты: snifman.wp(pw)
Обязательно сократити ссылки перед тем как скинуть жертве,иначе вас могут заблокировать.
Начинаем с разведки или сбора данных. Беремся за дело: проводим «рекон» (от англ. reconnaissance, разведка) — собираем максимум информации о интересующих нас людях.
Нас интересуют:
•адреса электронной почты;
•сфера деятельности;
•интересы, контакты;
Основные источники данных:
•поисковики (Google, Bing, Yahoo);
•профессиональные соцсети (LinkedIn, «Мой круг» и так далее);
Обычно этот этап работ занимает от одного дня до трех
После того как сбор информации завершен, хакер начинает подготовку сценариев для каждой из эмулируемых им атак. Разработка сценария, как правило, проходит в несколько этапов:
1.Определяемся с типом атаки (например, фишинг).
2.Обдумываем то, как будем мотивировать пользователя.
3.Разрабатываем текст письма и оформление.
4.Продумываем техническую часть рассылки.
Как ты наверняка знаешь из книг по low tech hacking, злоумышленники в своих приемах, чтобы заставить пользователя выполнить те или иные действия, опираются на основные потребности и мотивы человека.
Текст должен разрабатываться с учетом следующих особенностей психики человека:
•интерес (любопытство) пользователя к поднятой теме. Очень распространен интерес к сообщениям личного, интимного характера (или с намеками на него) или кажущаяся легкость получения выгоды, приза или льготы;
•вероятность ущемления личных или профессиональных интересов, чувство опасности, страх, предостережение от угрозы любого характера.
Не стоит забывать и о доверии пользователя к письму — это важный момент. Добиться доверия можно, используя следующие трюки:
•знакомый или авторитетный отправитель, ссылки на такого человека в письме;
•актуальная тема.
Вот несколько советов по организации рассылок:
•Никогда не ленись при разработке шаблона и оформления рассылаемого письма, будь внимателен.
•Собирай как можно больше информации о целях, это половина успеха «удачной социалки».
•Если тебе что-то кажется подозрительным в созданном письме, исключи это.
•Умело используй SMTP RELAY для подмены адреса отправителя.
•Никогда не забывай о наличии таких штук, как антиспам и антивирус, тестируй все тщательно.
•Собирай как можно больше информации об установленном ПО у тех, кто купился на твою уловку.
•Тщательно все логируй.
•Массовые рассылки неоднозначны — покрывают всех сразу, результативны, но и более заметны.
После того как сценарии разработаны, наступает момент, когда необходимо реализовать техническую часть проекта:
•подготовить домены;
•подготовить фишинговые страницы;
•подготовить эксплойты;
•подготовить нагрузку («троянское» ПО);
•наладить сбор статистики.
Как правило, в рамках фишинга хакер намеревается утащить у пользователя его учетные данные. В качестве фишинговой страницы чаще всего используется стандартный шаблон формы авторизации, известной каждому офисному работнику, — шаблон сервисов Microsoft, например Outlook Web Access или Share Point. Увидев перед собой такую страницу, корпоративный пользователь в большинстве случаев думает, что это легитимное приложение и что он исполняет свои рабочие обязанности, вводя учетные данные в форму. Естественно, доменное имя, которое использует этичный хакер, не должно подкачать — выглядеть оно должно максимально легитимно.
