В этой статье я покажу как с помощью социальной инженерии и инструмента PyPhisher хакеры могут получить ваш пароль PayPal. Эта статья призвана заострить ваше внимание на такой опасности, как фишинг.
Еще по теме: Деанон пользователя VK с помощью фишинга
Получение пароля с помощью фишинг
Атаки с помощью социальной инженерии эффективны, потому что они часто полностью обходят механизмы защиты. Если хакеру удастся обмануть пользователя и заставить его ввести пароль на поддельной странице, то неважно, насколько сложным будет пароль, аккаунт на сайте будет взломан.
Вся информация, методы и инструменты, описанные в данной статье, предназначены для обучения этичных хакеров (пентестеров). Использование представленной в статье информации для атак на частных лиц или организации без их предварительного согласия является незаконным. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши незаконные действия.
Идея заключается в том, чтобы обманом заставить человека раскрыть конфиденциальную информацию. Все, что вам нужно сделать, — это составить поддельное электронное письмо с вредоносной ссылкой и отправить его жертве так, чтобы она не заподозрила, что это мошенничество.
Взлом PayPal с помощью фишинг-инструмента PyPhisher
Для демонстрации атаки я буду использовать инструмент под названием PyPhisher.
Установка PyPhisher
Чтобы установить инструмент, выполните следующие команды в терминале Linux.
1 2 3 |
git clone https://github.com/KasRoudra/PyPhisher cd PyPhisher pip3 install -r files/requirements.txt - break-system-packages |
Использование PyPhisher
Чтобы запустить PyPhisher, введите в терминале
1 |
python3 pyphisher.py |
Как показано на изображении выше, на PyPhisher доступно более 77 шаблонов сайтов, готовых к проведению фишинговых атак. Для этого примера будем использовать шаблон PayPal (номер 14).
Теперь вы увидите фишинговые ссылки. Если жертва нажмет на одну из этих ссылок, ей будет предложена фейк-страница входа в PayPal.
В моем случае, для примера, буду использовать первую ссылку от Cloudflare. Теперь наступает следующая часть, в которой хакеру необходимо применить методы социальной инженерии и найти способ доставки этой ссылки жертве.
Фишинговое письмо
Допустим, злоумышленник собрал информацию о жертве и знает, что у нее есть счет в PayPal. В этом случае будет использовано следующее фишинговое письмо.
В этом примере письма выделите текст «log in» и вставьте вредоносную ссылку от PyPhisher.
Ссылка подозрительная, поэтому хакер может спрятать ее за текстом в виде гиперссылки или встроить в кнопку входа. Если жертва нажмет на ссылку Log in (Войти), ей будет предложено перейти на страницу входа в PayPal.
Как только жертва нажмет кнопку Log in, хакер перехватит логин в PyPhisher, а жертва будет перенаправлена на оригинальную страницу входа в PayPal.
Здесь вы можете видеть, что я успешно перехватил информацию о логине жертвы.
Защита от взлома PayPal и инструментов типа PyPhisher
- Никогда не отвечайте на электронные письма, запрашивающие ваш пароль или другие конфиденциальные данные. PayPal никогда не будет запрашивать ваш пароль по электронной почте.
- Внимательно проверяйте URL-адреса страниц входа в PayPal. Убедитесь, что вы заходите на официальный сайт PayPal, а не на фишинговую страницу.
- Используйте двухфакторную аутентификацию для защиты вашего аккаунта. Это добавляет дополнительный слой безопасности, требуя подтверждения вашей личности помимо пароля.
Будьте внимательны и осторожны в онлайн-пространстве. Защитите свои учетные данные, чтобы предотвратить доступ злоумышленников к вашему аккаунту PayPal.
Относитесь с большим подозрением к любым письмам, которые вы получаете, и если в письме есть ссылка, не нажимайте на нее. Вместо того чтобы нажимать на ссылку, лучше вручную ввести веб-адрес в браузере, чтобы перейти на сайт.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Как хакеры создают и маскируют фишинговые ссылки
- Использование фишингового HTML-файла в пентесте
- Создание фишингового сайта на Kali Linux с помощью SET