Spis Treści

Phishing ............................................................................................................................................................ 3

Kolejny rozdział ............................................................................................................................................... x

 Phishing

Czym jest Phishing?

Phishing to metoda oszustwa, która polega na podszyciu się pod zaufaną instytucję bądź osobę (np. bank, firmę
kurierską czy osobę publiczną) w celu nakłonienia ofiary do wykonania czynności na korzyść atakującego np. podanie
danych do logowania bądź pobrania złośliwego pliku. W większości ataków phishingowych stosowana jest
socjotechnika. Atakujący poprzez nią próbuje na nas wywrzeć strach (np. informacja o problemach prawnych w razie
nieopłacenia faktury), zawstydzenie (np. wiadomość o tym, że ktoś zdobył dostęp do naszych prywatnych informacji) czy
euforię (np. wiadomość, w której jesteśmy informowani o dużej wygranej).

Rodzaje Phishingu
Phishing - podstawowy atak polegający na podszyciu się pod zaufaną instytucję bądź osobę. Atak ten często
kierowany jest na pewną grupę osób.

Spear Phishing - ataki typu spear phishing są wymierzone w pojedynczego użytkownika. Atakujący wkłada dużo
więcej wysiłku w poznanie swojej ofiary, w tym szczegółów jego pracy, osób z którymi regularnie się kontaktuje
czy czynności wykonywanych w wolnym czasie. Dzięki temu atakujący może wysłać wysoce spersonalizowaną
wiadomość e-mail, która jest znacznie trudniejsza do wykrycia.

Whaling - jest to phishing na pracowników wysokiego szczebla. Podczas próby whalingu napastnicy stosują
techniki spear phishingu, aby atakować kadrę kierowniczą i wyłudzać w ten sposób np. przelewy na duże
pieniądze.

Pharming - to rodzaj phishingu, w którym to osoby, które chcą odwiedzić prawdziwą stronę, są przekierowywane
na fałszywą stronę. Do ataku tego dochodzi kiedy przełamane zostaną zabezpieczenia serwera DNS lub adresy
DNS’y zostaną podmienione na adresy przestępcy.

Smishing - phishing poprzez SMS. Przy smishingu atakujący stosuje te same zasady jak przy zwykłym
phishingu.

Vishing - voice phishing. Atak w którym to przestępcy dzwonią do ofiary (często podszywając się pod telefony
banku) w celu wyłudzenia danych.
Sztuczki cyberprzestępców
Browser in the Browser (BiTB) - technika ta polega na wyświetleniu w ramach odwiedzonej witryny pozornie
nowego okna, które zawiera fałszywy panel logowania. W rzeczywistości wyświetlone okno jest elementem strony,
dzięki czemu widoczny adres nowego okna jest tak naprawdę zwykłym tekstem kontrolowanym w 100% przez
atakującego. Dzięki temu użytkownik może być przekonany, że loguje się na prawdziwej stronie, zwłaszcza, że w
dzisiejszych czasach logowanie za pomocą stron trzecich np. Facebook, Twitter, Github nie jest nowością (w
przypadku takiego logowania możemy zaobserwować „wyskakujące” nowe okno, w którym musimy się
zalogować). PoC: https://github.com/mrd0x/BITB

Inteligentne skracacze linków - znane nam skracacze linków działają w dość prosty i znany sposób, jednak
warto wiedzieć, że istnieją skracacze dużo bardziej wyrafinowane niż te, które znamy. Istnieją bowiem skracacze,
które potrafią oszukać strony które „rozwijają” linki, dzięki czemu takie strony mogą nas poinformować, że dany
skrócony link rzeczywiście prowadzi do np. strony bankowej. Oprócz tego takie skracacze potrafią
przekierowywać użytkowników na różne strony w zależności od urządzenia na którym otwiera się link, dzięki
czemu atak może być bardziej targetowany oraz trudniejszy do wykrycia.

Wykorzystywanie zaufanych stron do osadzania złośliwego oprogramowania / stron phishingowych -

atakujący coraz częściej wykorzystują popularne, i co za tym idzie, zaufane strony do przeprowadzenia m.in.
ataków phishingowych. Wykorzystując takie strony, przestępcy skutecznie usypiają naszą czujność. W ramach tej
techniki osadzają złośliwe pliki w znanych nam stronach czy tworzą fałszywe strony logowania. Pełną listę takich
stron możemy znaleźć pod adresem: https://lots-project.com/.

Niezależnie jednak od stosowanej techniki ważne jest aby nasza domena phishingowa była jak najbardziej podobna do
tej prawdziwej. Najlepszym rozwiązaniem byłoby gdyby różnica tyczyła się tylko TLD (czyli np prawdziwa strona to
example.com a my kupujemy domene example.net). Jeśli jednak kupienie takiej domeny nie jest możliwe albo TLD
wygląda podejrzanie (np. .website etc.) warto spróbować kupić domene która różni się np. jedną literą (np.
haveibeenpwned vs haveibeenpwnd). Jeśli do tej pory jedyne Twoje doświadczenia z phishigiem polegały na
używaniu gotowych szablonów a link do strony przypominał nieudolną zbitkę cyfr i liter to o tym zapomnij! Czas
przygotować prawidzwy phishing!

Dodatkowo aby nasze wiadomości phishingowe nie wpadały do spamu oraz wszelakie filtry ich nie blokowały musimy
zadbać o szereg zabezpieczeń naszych wiadomości oraz środowiska. Bowiem każda wysyłana wiadomość jest
sprawdzana pod kątem poprawnego html'a, SPF, DKIM, DMARC, rDNS czy chociażby nagłówka wskazującego na
możliwość wypisania się z "newslettera" (każde z tych oraz innych zabezpieczeń / ustawień jest odpowiednio
punktowana). Oczywiście nikomu nie pozwolimy rzeczywiście wypisać się z naszej listy mailowej jednak te z pozoru
banalne ustawienia pozwolą stworzyć phishing który zawsze wpadnie prosto do głównego folderu co tylko pomoże nam
w wyłudzaniu danych.

Dość teorii! Zacznijmy przygotowania najlepszego phishingu jaki kiedykolwiek widzieliście!

Na kolejnych stronach przeprowadzę Cię przez cały proces tworzenia phishingu.

Zaczniemu od zakupu domeny, VPS'a skończymy na wysyłce pierwszej kampanii!
Ważne jest żebyś znał chociaż podstawy Linuxa.
1. Zakup domeny
Na samym początku musimy zastanowić się co chcemy uzyskać phishigiem. Pod co chcemy się podszyć? Czy chcemy
wyłudzić dane? Może chcemy przekonać naszą ofiarę do pobrania złośliwego załącznika który zainfekuje urządzenie?
Niezależnie od Twoich zamiarów na samym początku potrzebujemy domeny! Będzie ona nam służyć do stworzenia
adresu mailowego z którego będziemy wysyłać wiadomość, a także będzie ona adresem pod który Twoja ofiara będzie
przechodzić. Zastanów się dobrze nad wyborem, pomyśl jaka domena najbardziej przekona kogoś do wejścia pod dany
adres.

W poniższym przykładzie będę przygotowywał scenariusz w którym to ofiara otrzyma wiadomość z informacją o wycieku
jej danych. Pod wskazanym linkiem rzekomo będzie mogła sprawdzić jakie dane wyciekły i skąd. W tym scenariuszu
podszyje się więc pod domenę haveibeenpwned.com i wykorzystam wcześniej kupioną przeze mnie domenę
haveibeenpwnd.pl. Abyś Ty mógł kupić/zarejestrować własną domenę możesz skorzystać z wielu stron np. home.pl,
sldc.eu czy ovhclound.com (podobnych stron jest o wiele więcej). W zależności od Twojego wyboru proces kupna /
konfiguracji DNS itp. może się nieco różnic. Po zakupie domeny oraz rejestracji swojego konta będziesz miał dostęp do
DNS'ów w którym to będziemy mogli wskazywać gdzie ofiara ma być kierowana po wpisaniu nazwy naszej strony w
przeglądarkę

Wybór domeny na stronie sldc.eu

2. Zakup VPS
VPS czyli Virtual Private Server to miejsce gdzie już niedługo skonfigurujemy naszą infrastrukturę phishingową. Dzięki
VPS'owi uzyskamy publiczne IP co pozwoli naszej domenie na kierowanie ofiar pod konkretny adres. Jednak najpierw
musimy kupić VPS'a. Wpisz więc w google VPS i poprzeglądaj oferty. Ja wykorzystałem SDC-KVM-100G ze strony
sldc.eu (Ważne żebyś jako os wybrał Debian 10 - na tym systemie będę pracował)

Zakup VPS'a na stronie sldc.eu

Jeśli w obu przypadkach skorzystałeś ze strony sldc.eu na maila który podałeś przy rejestracji otrzymasz wiadomości ze
swoim pierwszym hasłem do panelu. Po zalogowaniu przejdź do Virtual Servers -> naciśnij "Manage" przy swojej
domenie -> Root/Admin Password -> change co pozwoli na utworzenie nowego hasła do SSH (uwaga! w dalszym
krokach nie skupiam się na bezpieczeństwie samego VPS'a. Warto więc zabronić logowowania się bezpośrednio na
konto root, a samo logowanie wymusić tylko i wyłącznie za pomocą kluczy).
3. Pierwsza konfiguracja DNS
Przejdź do panelu VPS'a, następnie przejdź do DNS -> naciśnij "Manage" przy swojej domenie. W tym momencie
musimy dodać 4 rekordy do naszego DNS'a. Pierwsze dwa rekordy odpowiadają za wskazanie Name Serverów (nazwy
tych NS powinieneś otrzymać przy zakupie domeny) z których korzysta nasza domena (rekord NS), kolejne dwa
wskazują na adres IP (rekord A) z którym ktoś ma się połączyć po wpisaniu adresu naszej domeny (tu wskazujemy na
adres IP naszego VPS'a). Jeśli chcesz poznać inne rekordy możesz o nich przeczytać pod wskazanym linkiem
https://www.cloudflare.com/learning/dns/dns-records/

Rekordy DNS

Po ustawieniu rekordów przejdź do Virtual Servers -> naciśnij "Manage" przy swojej domenie -> Network i ustaw
rDNS wskazujący na nazwę Twojej domeny. Słowem wyjaśnienia: DNS dokonuje translacji domeny na adres IP (można
to sprawdzić wpisując w terminal host domena.pl gdzie zamiast domena.pl podaj swoją domenę). rDNS to
odwrotność wcześniejszego przykładu. Ustawienie rDNS odpowiada więc za wskazanie adresu domeny po odpytaniu
adresu IP. Tak więc czas zalogować się do naszego VPS'a!

4. Logujemy się do VPS'a

Aby zalogować się do naszego VPS'a przejdź do terminala i wpisz:

ssh root@<ip> -p <port>

Oczywiście zamiast <ip> wpisz adres IP swojego VPS'a, a zamiast <port> numer portu na którym działa SSH. Jeśli SSH
u Ciebie działa na domyślnym 22 porcie możesz użyć komendy ssh root@<ip>). Po naciśnięciu entera zostaniemy
poproszeni o wpisanie hasła (input nie będzie się pokazywać więc możemy mieć wrażenie że nic nie jest wpisywane).
Jeśli wszystko dobrze zrobiłeś zostaniesz połączony z SSH. Przy pierwszym połączeniu warto zrobić aktualizację
naszego systemu. Wpiszmy więc:

apt-get update -y && apt-get dist-upgrade -y