网络钓鱼,伪造网站,利用Setoolkit进行伪造网站

网路钓鱼(Phishing)又称网钓法网路网钓网路钓鱼的起源可回溯至1970年代的飞客Phreak入侵手法,这种手法利用简单的儿童玩具哨子就能非法使用电话系统。

 

一名黑客John Draper,当年利用一个玉米片盒中附赠的塑胶玩具哨子,经自己改良后让哨子能制造出核准通话的2600 Hz音频,让哨子能够变成免费的通话工具。

 

因此Phishing这个全球通用的电脑名词,即是缘自Phreak飞客Fishing 钓鱼的结合。用发音相同的Ph来取代F

 

网路钓鱼虽然不属于网站漏洞,但是目前受害者也是非常大量的。网路钓鱼属于社交工程的一种。

 

社交工程,也就是利用人的信赖心理,透过伪冒的资讯对受害者进行攻击的手法,伪冒的资讯可能是邮件、电话或网页等等,诸如此类利用人的心理来进行诈骗的手法,都可以称为社交工程

 

社交工程的手法有几种,例如:

  • 电子邮件中夹带着木马程式或病毒,再利用能吸引人的标题或文字来让被害者点击。
  • 利用伪冒的网站诱骗受害者到网站中输入机敏资料,也是我们这次要介绍的。
  • 伪装成修复程式通知,使被害者进行下载执行,此程式可能是木马或是病毒。
  • 利用开启网站就能下载的功能,使被害者点开后就直接进行下载并安装后门程式。

以上几种,或是更多类似这种类型的都属于社交工程的手法。

这次我们会示范架设一个假的网站,从黑客的角度去看这个严重的网路犯罪,以借此提高往后你在输入个人资料时的警戒心。

 

我们一样以Linux作业系统来进行操作

这次我们用的工具是Setoolkit

可以利用Github来进行下载

这次示范Fake Twitter

 

2016-10-01_232922

利用指令开启setoolkit

 

 

2016-10-01_233005

接着进入set主页,总共有六个选项

接着我们选择第一项,其余的对我们目前没有太大的帮助

例如第二个是set附带的渗透测试工具,不过这并非是最好的渗透测试,我们有其他更好的工具能够使用

 

 

2016-10-01_233027

大致说明一下

  1. 鱼叉式社交电子邮件攻击
  2. 利用伪造网站的社交工程攻击
  3. 恶意档案产生器
  4. 建立攻击载荷及接收程式
  5. 发送大量邮件(EmailBomb)
  6. 有关Arduino平台的攻击手法
  7. 无线基地台伪冒
  8. 产生恶意QRCode
  9. 针对微软Powershell语法的攻击手法
  10. 第三方提供的功能模组

我们这次介绍伪造网站的社交工程攻击,所以选择2

 

 

2016-10-01_233129

  1. 利用JAVA漏洞进行攻击 (JAVA1.7曾经有漏洞)
  2. Metasploit浏览器攻击
  3. 认证获取攻击
  4. 标签劫持攻击
  5. 网站劫持攻击
  6. 综合攻击
  7. 全屏攻击
  8. HTA攻击

我们选择第三个来进行伪造网站

 

 

2016-10-01_233347

  1. 使用现有的知名网站做为模板,例如Google、Yahoo、Facebook、Twitter
  2. 使用指定网站,让SET自行去抓指定网站的模板,如果因为国家语言不同,建议使用第二种,能在网址的地方变换语言
  3. 使用者自行载入网页,在此网页加入模板

这次范例选择的是第二个

 

 

2016-10-01_234242

在此会要求你输入IP,做好伪冒网站后要打在网址上的

 

 

2016-10-02_012017

因为这次只是示范,所以只打上内网的IP

接着输入要伪造的网站网址

 

 

2016-10-02_012052

接着就建立这个刚做好的伪冒网站

 

 

2016-10-02_012127

compute/var/www这里会有建立好的资料(index.html、post.php)
接着把这两个资料放入html这个资料夹内

 

 

2016-10-02_012256

在浏览器中打上IP即可显示刚完成的结果

 

2016-10-02_012358

与正常的Twitter相比之下,若没有注意就会不小心输入了。

甚至能够利用第三方将自己的IP改为相似的网址,使受害者更加相信。

大致说明如何预防:

  • 不轻易的点开不明的电子邮件,尤其是像[你中奖了! ! !最新的XXX…]
    注意输入机敏资讯的网站网址
    也要小心好友传来的不名网站或软件,有可能已经被盗用

钓鱼技术进步得很快,在输入机密资讯时,先检查过网址是上策。

 

 

以上教程只提供于学习,这一切黑客技术不能被用来做一些非法的,该网站是绝不需要承担责任。

更多讨论在点我进入