Methods and Techniques

🚀 Einführung

Phishing ist eine gängige Technik, die von Angreifern verwendet wird, um sensible Informationen wie Benutzernamen, Passwörter und Kreditkartendaten zu stehlen. In diesem Leitfaden wird die Methodologie für die Durchführung einer Phishing-Kampagne beschrieben.

🛠️ Methodologie

1. 🎯 Opferauswahl und Reconnaissance

  1. Opferdomain auswählen: Identifizieren Sie die Domain des Opfers.

  2. Web-Enumeration: Suchen Sie nach Anmeldeseiten, die das Opfer verwendet, und entscheiden Sie, welche Seite Sie imitieren möchten.

  3. OSINT: Sammeln Sie E-Mail-Adressen des Opfers.

2. 🖥️ Vorbereitung der Umgebung

  1. Domain kaufen: Erwerben Sie eine Domain, die Sie für die Phishing-Kampagne verwenden.

  2. E-Mail-Dienste konfigurieren: Richten Sie SPF, DMARC, DKIM und rDNS ein.

  3. VPS mit GoPhish einrichten: Installieren Sie die Phishing-Plattform GoPhish auf einem VPS.

3. ✉️ Kampagnenvorbereitung

  1. E-Mail-Template erstellen: Gestalten Sie ein überzeugendes E-Mail-Template.

  2. Webseite vorbereiten: Erstellen Sie eine Webseite, die die Anmeldedaten des Opfers stiehlt.

4. 🚀 Kampagne starten

Starten Sie die Phishing-Kampagne und überwachen Sie die Ergebnisse.

🌐 Domänennamen-Variationen generieren oder vertrauenswürdige Domain kaufen

Techniken zur Variation von Domänennamen

  • Keyword: Enthält ein wichtiges Keyword der Originaldomain (z.B. zelster.com-management.com).

  • Bindestrich im Subdomain: Ersetzen Sie einen Punkt durch einen Bindestrich (z.B. www-zelster.com).

  • Neue TLD: Gleicher Domainname mit einer neuen TLD (z.B. zelster.org).

  • Homoglyph: Ersetzen Sie einen Buchstaben durch einen ähnlich aussehenden Buchstaben (z.B. zelfser.com).

  • Transposition: Vertauschen Sie zwei Buchstaben im Domainnamen (z.B. zelsetr.com).

  • Singularisierung/Pluralisierung: Fügen Sie ein „s“ am Ende hinzu oder entfernen Sie es (z.B. zeltsers.com).

  • Auslassung: Entfernen Sie einen Buchstaben (z.B. zelser.com).

  • Wiederholung: Wiederholen Sie einen Buchstaben (z.B. zeltsser.com).

  • Ersetzung: Ersetzen Sie einen Buchstaben durch einen benachbarten Buchstaben auf der Tastatur (z.B. zektser.com).

  • Subdomain: Fügen Sie einen Punkt im Domainnamen hinzu (z.B. ze.lster.com).

  • Einfügen: Fügen Sie einen Buchstaben hinzu (z.B. zerltser.com).

  • Fehlender Punkt: Hängen Sie die TLD an den Domainnamen an (z.B. zelstercom.com).

🛠️ Automatische Tools

🌐 Webseiten

🔄 Bitflipping

Beim Bitflipping wird ein Bit innerhalb eines gespeicherten oder übermittelten Wertes umgekehrt, was zu einer fehlerhaften Domainauflösung führen kann. Angreifer können diese Technik ausnutzen, um Benutzer auf ähnliche Domains umzuleiten, die sie kontrollieren.

Beispiel: Eine Einzelbit-Änderung in „windows.com“ kann „windnws.com“ ergeben.

Mehr Informationen: Bitflipping-Domains

🔒 Vertrauenswürdige Domain kaufen

Sie können eine abgelaufene Domain über expireddomains.net suchen. Stellen Sie sicher, dass die Domain bereits eine gute SEO-Bewertung hat, indem Sie sie auf Fortiguard oder Palo Alto Networks URL Filtering überprüfen.

✉️ E-Mail-Adressen entdecken

Nutzen Sie die folgenden Tools, um E-Mail-Adressen zu entdecken:

Überprüfen oder entdecken Sie E-Mail-Adressen, indem Sie sie auf SMTP-Servern bruteforcen. Weitere Informationen finden Sie in den SMTP-Pentesting-Ressourcen.

⚙️ GoPhish konfigurieren

📥 Installation

Laden Sie GoPhish von gophish/releases herunter und entpacken Sie es in /opt/gophish. Führen Sie es mit ./gophish aus.

🔧 Konfiguration

🔐 TLS-Zertifikat einrichten

Erwerben Sie die Domain, die Sie verwenden möchten, und richten Sie ein TLS-Zertifikat mit Certbot ein.

✉️ Mail-Konfiguration

Installieren Sie Postfix (apt-get install postfix) und konfigurieren Sie es entsprechend.

⚙️ GoPhish-Konfiguration

Passen Sie die Konfigurationsdatei /opt/gophish/config.json an, um die Admin- und Phishing-Server zu konfigurieren.

🔄 GoPhish als Dienst einrichten

Erstellen Sie eine Init-Datei für GoPhish, um es als Dienst zu verwalten und automatisch zu starten.

📧 Mailserver und Domain konfigurieren

⏳ Wartezeit & Legitimität

Je älter die Domain, desto geringer ist die Wahrscheinlichkeit, dass sie als Spam markiert wird. Warten Sie mindestens eine Woche vor der Durchführung des Phishings.

📡 rDNS-Eintrag konfigurieren

Richten Sie einen PTR-Eintrag ein, der die IP-Adresse des VPS auf den Domainnamen auflöst.

🔐 SPF-Eintrag konfigurieren

Konfigurieren Sie einen SPF-Eintrag für die neue Domain. Verwenden Sie spfwizard.net, um Ihre SPF-Richtlinie zu erstellen.

📜 DMARC-Eintrag konfigurieren

Konfigurieren Sie einen DMARC-Eintrag für die neue Domain.

🔑 DKIM konfigurieren

Richten Sie DKIM für die Domain ein. Weitere Informationen finden Sie hier.

🧪 E-Mail-Konfiguration testen

Testen Sie Ihre E-Mail-Konfiguration mit mail-tester.com.

🛡️ Spamhaus-Blacklist

Überprüfen Sie Ihre Domain bei Spamhaus und beantragen Sie eine Entfernung, falls erforderlich.

🛡️ Microsoft-Blacklist

Beantragen Sie die Entfernung Ihrer Domain/IP bei Microsoft Sender Office.

🕵️‍♂️ GoPhish-Kampagne erstellen und starten

📤 Sendeprofil

Erstellen Sie ein Sendeprofil mit einem geeigneten Namen und E-Mail-Konto.

✉️ E-Mail-Template

Erstellen Sie ein E-Mail-Template mit einem überzeugenden Betreff und Inhalt.

🖥️ Landing Page

Erstellen Sie eine Landing Page, um Anmeldedaten zu erfassen, und richten Sie eine Weiterleitung ein.

📋 Benutzer & Gruppen

Importieren Sie die E-Mail-Adressen der Zielgruppe.

🚀 Kampagne starten

Starten Sie die Kampagne und überwachen Sie die Ergebnisse.

🔍 Website-Klonen

Wenn Sie eine Website klonen möchten, lesen Sie den entsprechenden Abschnitt.

🗂️ Backdoored-Dokumente & Dateien

In manchen Phishing-Kampagnen möchten Sie Dateien mit Backdoors versenden. Weitere Informationen finden Sie im entsprechenden Abschnitt.

🔐 Phishing von MFA

⚔️ Via Proxy MitM

Verwenden Sie Tools wie evilginx2, CredSniper oder muraena, um MitM-Angriffe auf 2FA durchzuführen.

🖥️ Via VNC

Nutzen Sie EvilnVNC, um das Opfer in eine VNC-Session zu locken und die MFA-Anmeldedaten zu stehlen.

🕵️‍♂️ Erkennung der Erkennung

Überwachen Sie, ob Ihre Domain auf Blacklists auftaucht, um zu erkennen, ob Sie enttarnt wurden. Nutzen Sie malwareworld.com und andere Tools.

📊 Phishing evaluieren

Verwenden Sie Phishious, um zu bewerten, ob Ihre Phishing-E-Mails erfolgreich sind.

🔗 Referenzen

PreviousTools for Web Application PentestingNextPhishing

Last updated