SocialFish фишинговая атака с помощью Ngr

  • Автор темы OneForm
  • Дата начала
  • Просмотров 5836 Просмотров

OneForm

Продавец
93
136
27 Фев 2018
8H2AH2EJlSY.jpg


Приветствую вас.
Сегодня мы рассмотрим и поговорим о ещё одном способе метода фишинговой атаки.
Основана она на злоупотреблении сервисом Ngrok.


Как известно,сервис позволяет осуществить проброс локального вашего веб-сервиса.
Задуман он для того,чтобы разработчики смогли поделиться между собой
какими-то работами,посмотреть их,продемонстрировать c любой точки планеты.


А мы,в свою очередь,будем говорить о том ,как можно атаковать,используя
ту лёгкость ,с которой позволяет Ngrok в глобальной сети увидеть вашу фишинговую страницу.


SocialFish - тот инструмент,который входит в число недавних новинок.
Он-то и поможет нам разработать атаку.


Автор обзора и Администрация ресурса предупреждают о запрете использования SocialFish.
Все материалы приведены исключительно для ознакомления и изучения проблем безопасности.


Работает этот инструмент только с LInux
Испытания были успешно проведены на следующих дистрибутивах:


Kali Linux - Rolling Edition
Linux Mint - 18.3 Sylvia
Ubuntu - 16.04.3 LTS


В пакеты с зависимостями входит:
Python 2.7
Wget from Python
PHP
sudo


У меня он ,к слову,запускался и через python,и через python2

Для начала установим инструмент:

$ sudo git clone Для просмотра ссылки Войди или Зарегистрируйся

$ cd SocialFish/

$ sudo pip install -r requirements.txt

$ sudo chmod +x SocialFish.py

$ python SocialFish.py

При первом запуске докачивается сам Ngrok,создаются директории Server И www.
Возможно ,некоторым из вас придётся после зайти в директорию Server
для того,чтобы сделать ngrok исполняемым (sudo chmod +x ngrok).
В директории www будут лежать заготовки страниц html,php.
Всё это добро находится в родительской директории SocialFish.


Я не стал изворачиваться,пытаться видоизменить ссылку,разыгрывать сложные комбинации с редиректами.
Запустил атаку с атакующей машины Kali Linux,с проброшенными туннелями tor и находящейся за NAT.
По ссылке я перешёл с машины жертвы Windows.


RHHPN9K3Xpw.jpg


Конечно здесь ,речи о срабатывании антивирусов маловероятно.
Да,это всё заслуга Ngrok,и обход защитных систем в данном случае основан на выполнении удалённой атаки,
с привлечением стороны доверенного хостинга.


Проверка ссылки даёт вполне вменяемые результаты:

81olzPRY-iE.jpg


И если вы обратите внимание на фишинговую страницу,то увидите,что соединение по https протоколу.
Всё безопасно,всё здорово,причём обращение идёт по вашей ссылке на вашу фишинговую страницу авторизации.


Pqenau1G2uY.jpg


У меня Firefox с использованием тонких настроек,поэтому вы видите,что он единственный,кто подаёт такой тревожный звоночек:
значком показано,что соединение небезопасно или слабое (зелёный цвет отсутствует).
У многих и в этом месте будет так , будто всё отлично,особенно у тех,кто не читает Darknet(Deepweb))).


При попытке жертвы что-то ввести в окна авторизации,нам мгновенно прилетают данные

6I847tq9tMs.jpg


Инструмент,как я понял,ещё будет дорабатываться.
Не знаю,но почему-то сгенерировать ссылки кроме google и github,не получилось.
С первого раза ,возможно, также не выйдет задуманное.
Может это связано с тем,что на Ngrok некоторые сервисы платные,а доступные имеют ограничения.


Как можем,убедиться,такой способ из метода фишинга работает,у меня на этом всё,будьте пожалуйста внимательными.
Будьте этичными,осторожными,спасибо что вы с нами.Всего вам доброго,до новых встреч и благодарю за просмотр.
 

Похожие темы