Methods and Techniques

🚀 Einführung

Phishing ist eine gängige Technik, die von Angreifern verwendet wird, um sensible Informationen wie Benutzernamen, Passwörter und Kreditkartendaten zu stehlen. In diesem Leitfaden wird die Methodologie für die Durchführung einer Phishing-Kampagne beschrieben.

🛠️ Methodologie

1. 🎯 Opferauswahl und Reconnaissance

Opferdomain auswählen: Identifizieren Sie die Domain des Opfers.
Web-Enumeration: Suchen Sie nach Anmeldeseiten, die das Opfer verwendet, und entscheiden Sie, welche Seite Sie imitieren möchten.
OSINT: Sammeln Sie E-Mail-Adressen des Opfers.

2. 🖥️ Vorbereitung der Umgebung

Domain kaufen: Erwerben Sie eine Domain, die Sie für die Phishing-Kampagne verwenden.
E-Mail-Dienste konfigurieren: Richten Sie SPF, DMARC, DKIM und rDNS ein.
VPS mit GoPhish einrichten: Installieren Sie die Phishing-Plattform GoPhish auf einem VPS.

3. ✉️ Kampagnenvorbereitung

E-Mail-Template erstellen: Gestalten Sie ein überzeugendes E-Mail-Template.
Webseite vorbereiten: Erstellen Sie eine Webseite, die die Anmeldedaten des Opfers stiehlt.

4. 🚀 Kampagne starten

Starten Sie die Phishing-Kampagne und überwachen Sie die Ergebnisse.

🌐 Domänennamen-Variationen generieren oder vertrauenswürdige Domain kaufen

Techniken zur Variation von Domänennamen

Keyword: Enthält ein wichtiges Keyword der Originaldomain (z.B. zelster.com-management.com).
Bindestrich im Subdomain: Ersetzen Sie einen Punkt durch einen Bindestrich (z.B. www-zelster.com).
Neue TLD: Gleicher Domainname mit einer neuen TLD (z.B. zelster.org).
Homoglyph: Ersetzen Sie einen Buchstaben durch einen ähnlich aussehenden Buchstaben (z.B. zelfser.com).
Transposition: Vertauschen Sie zwei Buchstaben im Domainnamen (z.B. zelsetr.com).
Singularisierung/Pluralisierung: Fügen Sie ein „s“ am Ende hinzu oder entfernen Sie es (z.B. zeltsers.com).
Auslassung: Entfernen Sie einen Buchstaben (z.B. zelser.com).
Wiederholung: Wiederholen Sie einen Buchstaben (z.B. zeltsser.com).
Ersetzung: Ersetzen Sie einen Buchstaben durch einen benachbarten Buchstaben auf der Tastatur (z.B. zektser.com).
Subdomain: Fügen Sie einen Punkt im Domainnamen hinzu (z.B. ze.lster.com).
Einfügen: Fügen Sie einen Buchstaben hinzu (z.B. zerltser.com).
Fehlender Punkt: Hängen Sie die TLD an den Domainnamen an (z.B. zelstercom.com).

🛠️ Automatische Tools

🌐 Webseiten

🔄 Bitflipping

Beim Bitflipping wird ein Bit innerhalb eines gespeicherten oder übermittelten Wertes umgekehrt, was zu einer fehlerhaften Domainauflösung führen kann. Angreifer können diese Technik ausnutzen, um Benutzer auf ähnliche Domains umzuleiten, die sie kontrollieren.

Beispiel: Eine Einzelbit-Änderung in „windows.com“ kann „windnws.com“ ergeben.

Mehr Informationen: Bitflipping-Domains

🔒 Vertrauenswürdige Domain kaufen

Sie können eine abgelaufene Domain über expireddomains.net suchen. Stellen Sie sicher, dass die Domain bereits eine gute SEO-Bewertung hat, indem Sie sie auf Fortiguard oder Palo Alto Networks URL Filtering überprüfen.

✉️ E-Mail-Adressen entdecken

Nutzen Sie die folgenden Tools, um E-Mail-Adressen zu entdecken:

Überprüfen oder entdecken Sie E-Mail-Adressen, indem Sie sie auf SMTP-Servern bruteforcen. Weitere Informationen finden Sie in den SMTP-Pentesting-Ressourcen.

⚙️ GoPhish konfigurieren

📥 Installation

Laden Sie GoPhish von gophish/releases herunter und entpacken Sie es in /opt/gophish. Führen Sie es mit ./gophish aus.

🔧 Konfiguration

🔐 TLS-Zertifikat einrichten

Erwerben Sie die Domain, die Sie verwenden möchten, und richten Sie ein TLS-Zertifikat mit Certbot ein.

✉️ Mail-Konfiguration

Installieren Sie Postfix (apt-get install postfix) und konfigurieren Sie es entsprechend.

⚙️ GoPhish-Konfiguration

Passen Sie die Konfigurationsdatei /opt/gophish/config.json an, um die Admin- und Phishing-Server zu konfigurieren.

🔄 GoPhish als Dienst einrichten

Erstellen Sie eine Init-Datei für GoPhish, um es als Dienst zu verwalten und automatisch zu starten.

📧 Mailserver und Domain konfigurieren

⏳ Wartezeit & Legitimität

Je älter die Domain, desto geringer ist die Wahrscheinlichkeit, dass sie als Spam markiert wird. Warten Sie mindestens eine Woche vor der Durchführung des Phishings.

📡 rDNS-Eintrag konfigurieren

Richten Sie einen PTR-Eintrag ein, der die IP-Adresse des VPS auf den Domainnamen auflöst.

🔐 SPF-Eintrag konfigurieren

Konfigurieren Sie einen SPF-Eintrag für die neue Domain. Verwenden Sie spfwizard.net, um Ihre SPF-Richtlinie zu erstellen.

📜 DMARC-Eintrag konfigurieren

Konfigurieren Sie einen DMARC-Eintrag für die neue Domain.

🔑 DKIM konfigurieren

Richten Sie DKIM für die Domain ein. Weitere Informationen finden Sie hier.

🧪 E-Mail-Konfiguration testen

Testen Sie Ihre E-Mail-Konfiguration mit mail-tester.com.

🛡️ Spamhaus-Blacklist

Überprüfen Sie Ihre Domain bei Spamhaus und beantragen Sie eine Entfernung, falls erforderlich.

🛡️ Microsoft-Blacklist

Beantragen Sie die Entfernung Ihrer Domain/IP bei Microsoft Sender Office.

🕵️‍♂️ GoPhish-Kampagne erstellen und starten

📤 Sendeprofil

Erstellen Sie ein Sendeprofil mit einem geeigneten Namen und E-Mail-Konto.

✉️ E-Mail-Template

Erstellen Sie ein E-Mail-Template mit einem überzeugenden Betreff und Inhalt.

🖥️ Landing Page

Erstellen Sie eine Landing Page, um Anmeldedaten zu erfassen, und richten Sie eine Weiterleitung ein.

📋 Benutzer & Gruppen

Importieren Sie die E-Mail-Adressen der Zielgruppe.

🚀 Kampagne starten

Starten Sie die Kampagne und überwachen Sie die Ergebnisse.

🔍 Website-Klonen

Wenn Sie eine Website klonen möchten, lesen Sie den entsprechenden Abschnitt.

🗂️ Backdoored-Dokumente & Dateien

In manchen Phishing-Kampagnen möchten Sie Dateien mit Backdoors versenden. Weitere Informationen finden Sie im entsprechenden Abschnitt.

🔐 Phishing von MFA

⚔️ Via Proxy MitM

Verwenden Sie Tools wie evilginx2, CredSniper oder muraena, um MitM-Angriffe auf 2FA durchzuführen.

🖥️ Via VNC

Nutzen Sie EvilnVNC, um das Opfer in eine VNC-Session zu locken und die MFA-Anmeldedaten zu stehlen.

🕵️‍♂️ Erkennung der Erkennung

Überwachen Sie, ob Ihre Domain auf Blacklists auftaucht, um zu erkennen, ob Sie enttarnt wurden. Nutzen Sie malwareworld.com und andere Tools.

📊 Phishing evaluieren

Verwenden Sie Phishious, um zu bewerten, ob Ihre Phishing-E-Mails erfolgreich sind.

🔗 Referenzen

PreviousTools for Web Application Pentesting NextPhishing

Last updated 1 year ago

hashtag🚀 Einführung

hashtag🛠️ Methodologie

hashtag1. 🎯 Opferauswahl und Reconnaissance

hashtag2. 🖥️ Vorbereitung der Umgebung

hashtag3. ✉️ Kampagnenvorbereitung

hashtag4. 🚀 Kampagne starten

hashtag🌐 Domänennamen-Variationen generieren oder vertrauenswürdige Domain kaufen

hashtagTechniken zur Variation von Domänennamen

hashtag🔄 Bitflipping

hashtag🔒 Vertrauenswürdige Domain kaufen

hashtag✉️ E-Mail-Adressen entdecken

hashtag⚙️ GoPhish konfigurieren

hashtag📥 Installation

hashtag🔧 Konfiguration

hashtag📧 Mailserver und Domain konfigurieren

hashtag⏳ Wartezeit & Legitimität

hashtag📡 rDNS-Eintrag konfigurieren

hashtag🔐 SPF-Eintrag konfigurieren

hashtag📜 DMARC-Eintrag konfigurieren

hashtag🔑 DKIM konfigurieren

hashtag🧪 E-Mail-Konfiguration testen

hashtag🛡️ Spamhaus-Blacklist

hashtag🛡️ Microsoft-Blacklist

hashtag🕵️‍♂️ GoPhish-Kampagne erstellen und starten

hashtag📤 Sendeprofil

hashtag✉️ E-Mail-Template

hashtag🖥️ Landing Page

hashtag📋 Benutzer & Gruppen

hashtag🚀 Kampagne starten

hashtag🔍 Website-Klonen

hashtag🗂️ Backdoored-Dokumente & Dateien

hashtag🔐 Phishing von MFA

hashtag⚔️ Via Proxy MitM

hashtag🖥️ Via VNC

hashtag🕵️‍♂️ Erkennung der Erkennung

hashtag📊 Phishing evaluieren

hashtag🔗 Referenzen