Использование Zphisher для создания фейк-страницы

Фишинг фейк страница

Фейк-страница (от англ. fake — поддельный) — это подделка, имитация настоящей страницы (фишинг), сайта или профиля в социальных сетях. Мы уже рассказывали про создание фишингового сайта с помощью SET. Сегодня я покажу, как злоумышленники, используют инструмент Zphisher для создания фейк-страницы, с помощью которой смогут получить ваши пароли.

Еще по теме: Фишинговая атака «Браузер в браузере»

Что такое фейк-страница

Фейк-страницы — это вид мошеннических сайтов, цель которых — получить личную информацию пользователей, такую как логины, пароли, номера банковских карт и т.д.

Характеристики фейк-страницы:

  • Внешне они выглядят как настоящие, знакомые пользователям сайты — копируют дизайн, логотипы, шрифты известных компаний. Наиболее распространены фейк-страницы банков, платежных систем, интернет-магазинов и соцсетей.
  • Адрес сайта часто похож на настоящий, но содержит другие символы в домене.
  • На сайте размещаются формы, в которые предлагается ввести личную информацию — якобы для авторизации, подтверждения платежа, получения бонуса и т.п.
  • После отправки данных пользователь как правило перенаправляется на другой ресурс или получает сообщение об ошибке. А его информация попадает к мошенникам.
  • Фейк-страницы продвигается в соцсетях или с помощью спама с провокационными заголовками, чтобы заманить как можно больше пользователей.

Если вы занимаетесь пенестами, рекомендую прочитать статью «Использование фишинговой рассылки в пентесте».

Использование Zphisher для создания фейк-страницы

Давайте разберемся, как хакеры создаю фейк-страницы для получения чуствивтельной информации (пароли, логины и т.д.).

Вся информация, методы и инструменты создания фейк-страниц, описанные в данной статье, предназначены для образовательных целей и обучения этичных хакеров (пентестеров). Использование представленной в статье информации для атак на частные лица или организации без их предварительного согласия является незаконным. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши действия.

Для этого проекта нам понадобиться:

  • Kali Linux — в качестве атакующей системы (см. Создание флешки Kali Linux) или любой другой Linux-дистрибутив..
  • Winodws или смартфон — в качестве жертвы.
  • Zphisher установленный на Kali Linux или любой другой Linux-дистрибутив.

Пример создания фейк-страницы LinkedIn

Запустите скрипт Zphisher:

Создание фейк-страницы LinkedIn

Zphisher предлагает большой выбор шаблонов популярных сайтов.

Создать фейк страницу LinkedIn

Для демонстрации я буду использовать фейк-страницу авторизации LinkedIn (пункт 14).

Создать фейковую страницу LinkedIn

В качестве сервиса переадресации портов я выбрал Cloudflared (пункт 02).

Использование Zphisher

Для использования порта по умолчанию выберите параметр n (No Custom Port).

Zphisher использование

Zphisher использование

Введите y для изменения урла (название домена) и нажмите Enter.

Zphisher Kali Linux

Введите пользовательский урл (в моем случае — jbtechtesting.com) и нажмите Enter.

Zphisher скачать

Буду созданы фишинговые ссылки на фейк-страницу.

CD Zphisher

Можно выбрать любой вид ссылки. Я выбрал и скопировал пункт URL 3.

Zphisher Windows

Теперь попробуйте открыть браузер и вставить ссылку на фейк-страницу. Это должно отобразить фейковую страницу входа в LinkedIn.

Нажмите Yes, чтобы продолжить.

Создание фишинг сайта

Фишинговая ссылка URL 3 привела нас на страницу входа в систему LinkedIn, где будет предложено ввести учетные данные.

Создать фишинг сайт Kali Linux

В моем случае имя пользователя — jbthepentester@tech.com, а пароль — Demonstration.

Фишинг сайт Kali Linux

После ввода имени пользователя и пароля, данные будут сохраненны в файл Zphisher, а пользователь будет перенаправлен на настоящую страницу входа в LinkedIn, где будет предложено повторить авторизацию.

Вернувшись в Zphisher, вы увидите сохранные данные первой попытки входа в фейковую страницу сайта LinkedIn. Инструмент отобразит IP-адрес жертвы, имя пользователя и пароль.

Фейковая страница Kali Linux

Другой способ посмотреть сохраненные данные авторизации — перейти в каталог:

И открыть файл usernames.dat:

Zphisher логин пароль

Это отобразит сохраненные данные авторизации.

Пример создания фейк-страницы Instagram

Запустите скрипт Zphisher:

Выберите пункт Instagram (02).

Создание фейк страницы Instagram

Есть несколько способов я выбрал шаблон страницы, которая предлагает жертве получить 1000 подписчиков (03).

Создать фейк страницы Instagram

В качестве сервиса переадресации портов я выбрал Cloudflared (пункт 02).

Фейк страницы Kali Linux

Для использования порта по умолчанию выберите параметр n (No Custom Port).

Zphisher Linux

Введите y для изменения урла (название домена) и нажмите Enter.

Фишинг страницы Kali Linux

Можно выбрать любой вид ссылки. Я выбрал и скопировал пункт URL 3.

GIT Zphisher

Теперь попробуйте открыть браузер и вставить ссылку на фейк-страницу. Это должно отобразить страницу входа в систему Free Instagram Followers Trial.

Zphisher социальные сети

Введите логин и пароль и нажмите Submit Query (Отправить запрос), которая сохранит данные авторизации и перенаправит на реальную страницу входа в Instagram.

Zphisher социальные сети

Фейк страница Инстраграм

Теперь, вернувшись в Zphisher, вы увидите результаты попытки входа в Instagram. IP-адрес жертвы, имя пользователя и пароль учетной записи Instagram.

Фейк страница Instagram

Другой способ посмотреть сохраненные данные авторизации — перейти в каталог:

И открыть файл usernames.dat:

Zphisher login password

Улучшение Zphisher

Можно улучшить рассмотренную технику. Например, чтобы использовать Zphisher удаленно, можно прикрутить Ngrok. Кроме того, не следует забывать о методах социальной инженерии.

Защита от фейк-страниц

Фишинг-сайты представляют большую опасность для пользователей, так как мошенники могут похитить личные данные и деньги с банковских карт. Однако есть ряд мер, которые помогут избежать попадания в ловушки фишинга:

  1. Многие современные антивирусы включают в себя защиту от фишинга — они блокируют переходы на поддельные сайты и предупреждают о потенциальной угрозе.
  2. Всегда проверяйте адрес сайта в адресной строке браузера перед вводом личных данных. Убедитесь, что это именно официальный сайт компании, а не похожий домен.
  3. Не переходите по ссылкам из спама и подозрительных писем. Лучше напрямую вводить адрес сайта в браузер или использовать поисковик Google (на первых позициях всегда находятся легитимные, популярные сайты).
  4. Избегайте ввода личных данных через незашифрованное соединение (адрес сайта должен начинаться с HTTPS).
  5. Регулярно обновляйте ПО, в том числе браузер и плагины. Это позволит закрыть уязвимости, через которые распространяется фишинг.
  6. Используйте уникальные и сложные пароли для каждого сайта. Тогда если злоумышленники получат один из паролей, то не смогут им воспользоваться.
  7. Включите двухфакторную аутентификацию там, где это возможно. Однако это не панацея, так как может быть использован Evilginx.

Будьте бдительны и не игнорируйте сигналы опасности. Это поможет избежать многих проблем с фишингом и сохранить ваши данные в безопасности.

Заключение

Zphisher — это неплохой инструмент, который позволяет этичным хакерам проводить проверки безопасности систем организации и информирования сотрудников об опасностях фишинговых атак.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер: компьютерный ниндзя и мастер цифровых тайн.

Добавить комментарий