Ir para conteúdo
Entre para seguir isso  
Nowolf

Engenharia Social + Phishing!

Recommended Posts

Nowolf    1

Engenharia Social + Phishing!

Dentro dessa semana um dos meus irmãos perguntou se seria possível eu pegar a senha de alguns e-mails para ele, logo respondi que isso seria muito demorado tentando através de um Bruteforce porém poderiamos tentar o método Phishing para pescar as senhas dos usuários. Phishing => Página fake com código malicioso que arquiva E-mail e senha que são inseridos nos campos de login da página.

Este meu irmão precisava das senhas para modificar a sua qualificação em um site de vendas conhecido.. O Mercado Livre, então usei o Setoolkit do Kali Linux para efetuar a clonagem do site.

 

Como clonar página com Setoolkit?

O SET ira lhe fornecer opções assim que você executar.. 

Selecione a opção 1 (Social-Engineering Attacks)

Selecione a opção 2 (Website Attack Vectors)

Selecione a opção 3 (Credential Harvester Attack Method)

Selecione a opção 2 (Site Cloner)

 

Agora o SET irá lhe pedir o ip ou url da página que você quer clonar, é óbvio que você deve clonar sempre a página de login do site!

A página e o código PHP malicioso que irá inserir as senhas em um arquivo txt estarão todos salvos em: var/www/html

 

Como posso enviar a página para outras pessoas acessarem?

Páginas Phishing normalmente são banidas de Hosts, então recomendo você hospedar os arquivos em diferentes hospedagens, a minha por exemplo, criei uma conta para hospedar a Index e uma outra conta para hospedar o código PHP que insere as senhas no arquivo txt que recebe as senhas e apenas mudei a direção dentro do código html para assim que o cliente fosse se logar na página ser redirecionado para a página PHP que captura os dados e voltar para página original do site que foi clonado, assim o alvo não percebe que seus dados foram capturados e vai achar que digitou a senha errada ou algo do tipo.

 

Usando a Engenharia Social!

Para aqueles que usam o Mercado Livre, sabem que é um site muito rigoroso com segurança , por motivo de suas transações e movimentação de dinheiro na conta dos clientes ser grande.. então ele solicita que o cliente tenha um número de celular em seu cadastro para que possa ser acessada aquela conta de um computador diferente ou qualquer outro dispositivo, desta maneira, criei um E-mail fake com procedimentos me passando pelo ML solicitando procedimentos e informando para o cliente que ele retirasse seu número pois o seu cadastro estava com duplicidade de dados e etc etc... Também peguei o número de telefone do usuário e entrei em contato me passando por um atendente de Call-Center de tal instituição.. e assim tudo deu certo!

 

Print screen para comprovar o ato:

Email fake

Dados da vitima.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Brouwilliam    0

Foi um método muito inteligente, estamos muito cansado de ver nos jornais e noticiários que falam sobre segurança, eles falam muito para não acreditarem em url falsas, ou maliciosas, mas mesmo assim milhares de pessoas caem todos os dias. Fora que não precisa usar paginas clonadas para engenharia social, basta apenas você pedir para uma pessoas avaliar um site que você criou, e para isso é necessário a pessoa entrar como Facebook na hora de se cadastrar em seu site, a partir do momento que ela colocar o login, já vai estar em suas mãos, pode se ver isso no filme Invasores - Nenhum Sistema Está à Salvo, em uma das cenas, ele descobre que uma funcionária de uma empresa gostava muito de gatos, então o que eles fizeram foi criar um site que tinha fotos de gatos, a partir do momento que ela clicou, os hackers já tinha total acesso a empresa.

Editado por Brouwilliam

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora

Entre para seguir isso  



×

Informação Importante

Ao usar este site, você concorda com nossos Termos de Uso.