网络钓鱼,伪造网站,利用Setoolkit进行伪造网站
网路钓鱼(Phishing)又称网钓法或网路网钓,网路钓鱼的起源可回溯至1970年代的飞客Phreak入侵手法,这种手法利用简单的儿童玩具哨子就能非法使用电话系统。
一名黑客John Draper,当年利用一个玉米片盒中附赠的塑胶玩具哨子,经自己改良后让哨子能制造出核准通话的2600 Hz音频,让哨子能够变成免费的通话工具。
因此Phishing这个全球通用的电脑名词,即是缘自Phreak飞客和Fishing 钓鱼的结合。用发音相同的Ph来取代F。
网路钓鱼虽然不属于网站漏洞,但是目前受害者也是非常大量的。网路钓鱼属于社交工程的一种。
社交工程,也就是利用人的信赖心理,透过伪冒的资讯对受害者进行攻击的手法,伪冒的资讯可能是邮件、电话或网页等等,诸如此类利用人的心理来进行诈骗的手法,都可以称为社交工程
社交工程的手法有几种,例如:
- 电子邮件中夹带着木马程式或病毒,再利用能吸引人的标题或文字来让被害者点击。
- 利用伪冒的网站诱骗受害者到网站中输入机敏资料,也是我们这次要介绍的。
- 伪装成修复程式通知,使被害者进行下载执行,此程式可能是木马或是病毒。
- 利用开启网站就能下载的功能,使被害者点开后就直接进行下载并安装后门程式。
以上几种,或是更多类似这种类型的都属于社交工程的手法。
这次我们会示范架设一个假的网站,从黑客的角度去看这个严重的网路犯罪,以借此提高往后你在输入个人资料时的警戒心。
我们一样以Linux作业系统来进行操作
这次我们用的工具是Setoolkit
可以利用Github来进行下载
这次示范Fake Twitter
利用指令开启setoolkit
接着进入set主页,总共有六个选项
接着我们选择第一项,其余的对我们目前没有太大的帮助
例如第二个是set附带的渗透测试工具,不过这并非是最好的渗透测试,我们有其他更好的工具能够使用
大致说明一下
- 鱼叉式社交电子邮件攻击
- 利用伪造网站的社交工程攻击
- 恶意档案产生器
- 建立攻击载荷及接收程式
- 发送大量邮件(EmailBomb)
- 有关Arduino平台的攻击手法
- 无线基地台伪冒
- 产生恶意QRCode
- 针对微软Powershell语法的攻击手法
- 第三方提供的功能模组
我们这次介绍伪造网站的社交工程攻击,所以选择2
- 利用JAVA漏洞进行攻击 (JAVA1.7曾经有漏洞)
- Metasploit浏览器攻击
- 认证获取攻击
- 标签劫持攻击
- 网站劫持攻击
- 综合攻击
- 全屏攻击
- HTA攻击
我们选择第三个来进行伪造网站
- 使用现有的知名网站做为模板,例如Google、Yahoo、Facebook、Twitter
- 使用指定网站,让SET自行去抓指定网站的模板,如果因为国家语言不同,建议使用第二种,能在网址的地方变换语言
- 使用者自行载入网页,在此网页加入模板
这次范例选择的是第二个
在此会要求你输入IP,做好伪冒网站后要打在网址上的
因为这次只是示范,所以只打上内网的IP
接着输入要伪造的网站网址
接着就建立这个刚做好的伪冒网站
到compute/var/www这里会有建立好的资料(index.html、post.php)
接着把这两个资料放入html这个资料夹内
在浏览器中打上IP即可显示刚完成的结果
与正常的Twitter相比之下,若没有注意就会不小心输入了。
甚至能够利用第三方将自己的IP改为相似的网址,使受害者更加相信。
大致说明如何预防:
- 不轻易的点开不明的电子邮件,尤其是像[你中奖了! ! !最新的XXX…]
注意输入机敏资讯的网站网址
也要小心好友传来的不名网站或软件,有可能已经被盗用
钓鱼技术进步得很快,在输入机密资讯时,先检查过网址是上策。
以上教程只提供于学习,这一切黑客技术不能被用来做一些非法的,该网站是绝不需要承担责任。
更多讨论在点我进入