Abbiamo trattato gli attacchi di phishing, il loro funzionamento, i componenti di un'e-mail di phishing, i componenti dell'infrastruttura di phishing, gli strumenti di valutazione del phishing come Gophish e SET e come rimanere vigilati e protetti dagli attacchi di phishing. In questo video è stato utilizzato il materiale di laboratorio di La stanza TryHackMe denominata phishing e parte del percorso della squadra rossa.

Abbiamo anche trattato scenari pratici di analisi delle e-mail di phishing utilizzando PhishTool e Any.run. Nel primo scenario abbiamo analizzato un'e-mail che fingeva di provenire da Netflix e gli altri due scenari contenevano allegati dannosi che eseguivano chiamate a server e nomi DNS dannosi. Questo faceva parte Strumenti di analisi del phishing TryHackMe.

Abbiamo anche esaminato uno scenario pratico di analisi del phishing tramite posta elettronica utilizzando Thunderbird. Abbiamo evidenziato aree specifiche per l'analisi come l'e-mail del mittente, il percorso di ritorno, il dominio del mittente, i record SPF, l'indirizzo IP di origine e l'allegato e-mail. Abbiamo riscontrato che l'allegato e-mail è dannoso analizzandolo utilizzando VirusTotal. Inoltre l'e-mail conteneva errori grammaticali ed era indirizzata a un destinatario generico. Questo faceva parte di TryHackMe Greenholt Phish.

Ottieni le note sul certificato OSCP

Il corso pratico completo sul Penetration Testing delle applicazioni Web

Video in evidenza

Il phishing è una forma di ingegneria sociale trasmessa tramite e-mail per indurre qualcuno a rivelare informazioni personali, credenziali o persino a eseguire codice dannoso sul proprio computer. Di solito queste email sembrano provenire da una fonte attendibile, che si tratti di una persona o di un'azienda. Includono contenuti che tentano di indurre o indurre con l'inganno gli utenti a scaricare software, aprire allegati o seguire collegamenti a siti Web fasulli.

Abbiamo tre cose su cui lavorare per quanto riguarda le email di phishing: l'indirizzo email del mittente, l'oggetto e il contenuto.

Diversi tipi di e-mail dannose possono essere classificati come seguenti:

  • Spam – e-mail spazzatura non richieste inviate in blocco a un gran numero di destinatari. La variante più dannosa dello spam è nota come MalSpam.
  • Phishing –  e-mail inviate a uno o più obiettivi che pretendono di provenire da un'entità attendibile per indurre le persone a fornire informazioni sensibili.
  • Spear-phishing – fa un ulteriore passo avanti nel phishing prendendo di mira individui o organizzazioni specifici alla ricerca di informazioni sensibili.  
  • Caccia alla balena – è simile allo spear phishing, ma è mirato specificamente a individui di alto livello di livello C (CEO, CFO, ecc.) e l'obiettivo è lo stesso.
  • Sfavillante – porta il phishing sui dispositivi mobili prendendo di mira gli utenti mobili con messaggi di testo appositamente predisposti.
  • Vishing – è simile allo smishing, ma invece di utilizzare messaggi di testo per l'attacco di ingegneria sociale, gli attacchi si basano su chiamate vocali.

Quando si parla di phishing, il modus operandi è solitamente lo stesso a seconda dell’obiettivo dell’e-mail.

Ad esempio, l'obiettivo può essere quello di raccogliere credenziali e un altro è ottenere l'accesso al computer.

Di seguito sono elencate le caratteristiche tipiche che le email di phishing hanno in comune:

  • IL nome/indirizzo e-mail del mittente si travestirà da entità fidata (spoofing della posta elettronica)
  • La riga dell'oggetto e/o il corpo (testo) dell'email è scritto con a senso di urgenza o utilizza determinate parole chiave come FatturaSospeso, eccetera.
  • Il corpo dell'email (HTML) è progettato per corrispondere a un'entità fidata (come Amazon)
  • Il corpo dell'email (HTML) è mal formattato o scritto (contrariamente al punto precedente)
  • Il corpo dell'email utilizza contenuti generici, come Gentile Signore/Signora.
  • Collegamenti ipertestuali (spesso utilizza servizi di abbreviazione URL per nascondere la sua vera origine)
  • UN allegato dannoso presentandosi come un documento legittimo

GoPhish – (Open Source Phishing Struttura) - getgophish.com

GoPhish è un framework basato sul Web per rendere più semplice la creazione di campagne di phishing. GoPhish ti consente di archiviare i tuoi file SMTP impostazioni del server per l'invio di e-mail, dispone di uno strumento basato sul Web per la creazione di modelli di e-mail utilizzando un semplice editor WYSIWYG (What You See Is What You Get). Puoi anche pianificare quando vengono inviate le e-mail e disporre di un dashboard di analisi che mostra quante e-mail sono state inviate, aperte o cliccate.

SET – (kit di strumenti di ingegneria sociale) – trustsec.com

Il Social Engineering Toolkit contiene una moltitudine di strumenti, ma alcuni di quelli importanti per il phishing sono la capacità di creare spear-phishing attaccano e distribuiscono versioni false di siti Web comuni per indurre le vittime a inserire le proprie credenziali.

I dropper sono software che le vittime di phishing tendono a essere indotte a scaricare ed eseguire sul proprio sistema. Il dropper può pubblicizzarsi come qualcosa di utile o legittimo, come un codec per visualizzare un determinato video o un software per aprire un file specifico.

I dropper di solito non sono dannosi, quindi tendono a superare i controlli antivirus. Una volta installato, il malware desiderato viene decompresso o scaricato da un server e installato sul computer della vittima. Il software dannoso solitamente si ricollega all'infrastruttura dell'aggressore. L'aggressore può assumere il controllo del computer della vittima, che può esplorare e sfruttare ulteriormente la rete locale.

Scegliere il giusto Phishing Il dominio da cui lanciare il tuo attacco è essenziale per assicurarti di avere un vantaggio psicologico rispetto al tuo obiettivo. Un impegno del team rosso può utilizzare alcuni dei metodi seguenti per scegliere il nome di dominio perfetto.

Domini scaduti:

Sebbene non sia essenziale, l'acquisto di un nome di dominio con una certa cronologia può portare a un punteggio migliore del tuo dominio quando si tratta di filtri antispam. I filtri antispam hanno la tendenza a non fidarsi dei nomi di dominio nuovi di zecca rispetto a quelli con una certa storia.

Errori di battitura:

Il typosquatting si verifica quando un dominio registrato sembra molto simile al dominio di destinazione che stai cercando di impersonare. Ecco alcuni dei metodi comuni:

Errore di ortografia: goggle.com contro google.com

Periodo aggiuntivo: go.ogle.com contro google.com

Cambiare i numeri con le lettere: g00gle.com contro google.com

Frase: googles.com contro google.com

Parola aggiuntiva: googleresults.com vs google.com

Questi cambiamenti potrebbero sembrare irrealistici, ma a prima vista il cervello umano tende a riempire gli spazi vuoti e vedere quello che vuole vedere, cioè il nome di dominio corretto.

Risposte in camera | Prova HackMe Phishing

In che tipo di manipolazione psicologica rientra il phishing?

In che tipo di campagna di phishing vengono coinvolte le squadre rosse?

Quale tattica può essere utilizzata per trovare marchi o persone con cui interagisce una vittima?

Cosa dovrebbe essere modificato su un tag di ancoraggio HTML per mascherare un collegamento?

Quale parte dell'infrastruttura della squadra rossa può rendere un sito Web più autentico?

Quale protocollo dispone di record TXT che possono migliorare la consegna della posta elettronica?

Quale strumento può automatizzare una campagna di phishing e includere analisi?

Qual è la password per Brian?
I contagocce tendono ad essere dannosi?
Cosa è meglio, utilizzare un dominio scaduto o nuovo? (vecchio nuovo)

Qual è il termine utilizzato per descrivere la registrazione di un nome di dominio simile con un errore di ortografia?

Cosa possono contenere i documenti di Microsoft Office che, una volta eseguiti, possono eseguire comandi del computer?
Quale CVE recente ha causato l'esecuzione di codice remoto?
Qual è la bandiera della sfida?

Risposte in camera | Fondamenti di analisi del phishing TryHackMe

A che periodo risale l'email?
Quale porta è classificata come trasporto sicuro per SMTP?

Quale porta è classificata come trasporto sicuro per IMAP?

Quale porta è classificata come trasporto sicuro per POP3?

Quale intestazione email è uguale a "Rispondi a"?

Una volta trovato l'indirizzo IP del mittente dell'e-mail, dove puoi recuperare ulteriori informazioni sull'IP?

Negli screenshot sopra, qual è l'URI dell'immagine bloccata?

Negli screenshot qui sopra, qual è il nome dell'allegato PDF?

Nella macchina virtuale allegata, visualizza le informazioni in email2.txt e ricostruisci il PDF utilizzando i dati base64. Qual è il testo all'interno del PDF?

Da quale entità attendibile si maschera questa email?

Qual è l'e-mail del mittente?

Qual è l'oggetto?

A cosa serve il collegamento URL - CLICCA QUI? (Inserisci l'URL defangato)

Cos'è il BEC?

Risposte in camera | Strumenti di analisi del phishing TryHackMe

Qual è il nome del sito ufficiale della banca a cui capitai-one.com ha cercato di assomigliare?

Come è possibile ottenere manualmente la posizione di un collegamento ipertestuale?
Guarda l'output di Strings. Qual è il nome del file EXE?

Quale marca è stata creata su misura per impersonare questa email?

Qual è l'indirizzo email del mittente?

Qual è l'IP di origine? Defangare l'indirizzo IP.

Da quello che puoi dedurre, quale pensi sarà un dominio di interesse? Defangare il dominio.

Qual è l'URL abbreviato? Defangare l'URL.

Come classifica AnyRun questa email?

Qual è il nome del file PDF?

Qual è l'hash SHA 256 per il file PDF?

Quali due indirizzi IP sono classificati come dannosi? Defangare gli indirizzi IP. (risposta: IP_ADDR,IP_ADDR)

Come è stato contrassegnato il processo di Windows Traffico potenzialmente negativo?

Come viene classificata questa analisi?

Qual è il nome del file Excel?

Qual è l'hash SHA 256 per il file?

Quali domini sono elencati come dannosi? Elimina gli URL e invia le risposte in ordine alfabetico. (risposta: URL1,URL2,URL3)

Quali indirizzi IP sono elencati come dannosi? Defanga gli indirizzi IP e invia le risposte dal più basso al più alto. (risposta: IP1,IP2,IP3)

Quale vulnerabilità tenta di sfruttare questo allegato dannoso?

Risposte in camera | Email di phishing TryHackMe in azione

Con quale frase inizia l'e-mail senza senso del mittente?
nessuna risposta
Qual è il dominio principale per ciascun URL? Defangare l'URL.
devret[.]xyz
In questo esempio di email sono stati utilizzati i nomi di alcune importanti aziende, i loro prodotti e loghi come OneDrive e Adobe. Quale altro nome aziendale è stato utilizzato in questa email di phishing?
citrix
Cosa dovrebbero fare gli utenti se ricevono un'e-mail o un messaggio di testo sospetto che sembra provenire da Netflix?
inoltrare il messaggio a phishing@netflix.com
Cosa significa BCC?
Copia carbone cieca
Quale tecnica è stata utilizzata per convincere la vittima a non ignorare l'e-mail e ad agire rapidamente?
Urgenza
Qual è il nome dell'eseguibile che tenta di eseguire l'allegato Excel?
regasms.exe

Risposte in camera | Prova la prevenzione del phishing TryHackMe

Facendo riferimento a Tabella di sintassi dmarcian SPF, quale carattere di prefisso può essere aggiunto al meccanismo “all” per garantire un risultato “softfail”?

~

Qual è il significato di -Tutto etichetta?

fallire
Quale intestazione dell'email mostra lo stato del superamento o meno del DKIM?
Risultati dell'autenticazione
Quale policy DMARC utilizzeresti per non accettare un'e-mail se il messaggio non supera il controllo DMARC?
p=rifiutare
Cos'è il non ripudio? (La risposta è una frase intera, compreso il “.”)
L'unicità di una firma impedisce al proprietario della firma di rinnegarla.

Quale filtro Wireshark puoi utilizzare per restringere l'output dei pacchetti utilizzando i codici di stato SMTP?

Risposta corretta: smtp.response.code

In base al traffico di rete, qual era il messaggio per il codice di stato 220? (Non includere il codice di stato (220) nella risposta)

Risposta corretta: servizio pronto

Un pacchetto mostra una risposta che informa che un'e-mail è stata bloccata utilizzando spamhaus.org. Quali erano il numero del pacchetto e il codice di stato? (nessuno spazio nella risposta)

Risposta corretta: 156.553

In base al pacchetto della domanda precedente, qual era il messaggio riguardante la casella di posta?

Risposta corretta: nome della casella di posta non consentito

Qual è il codice di stato che in genere precede un comando SMTP DATA?

Risposta corretta: 354

Quale porta utilizza il traffico SMTP?

Risposta corretta: 25

Quanti pacchetti sono specificatamente SMTP?

Risposta corretta: 512

Qual è l'indirizzo IP di origine per tutto il traffico SMTP?

Risposta corretta: 10.12.19.101

Qual è il nome del file del terzo file allegato?

Risposta corretta: attach.scr

Che ne dici dell'ultimo file allegato?

Risposta corretta: .zip

Secondo MITRE ATT&CK, quale software è associato all'utilizzo di SMTP e POP3 per le comunicazioni C2?

Risposta corretta: Zebrocy

Risposte in camera | Prova la prevenzione del phishing TryHackMe

Quale è Numero di riferimento del trasferimento elencati nelle e-mail Soggetto?

Da chi proviene l'e-mail?

Qual è il suo indirizzo email?

Quale indirizzo email riceverà una risposta a questa email?

Qual è l'IP di origine?

Chi è il proprietario dell'IP di origine? (Non includere il “.” nella risposta.)

Qual è il record SPF per il dominio Return-Path?

Qual è il record DMARC per il dominio Return-Path?

Qual è il nome dell'allegato?

Qual è l'hash SHA256 del file allegato?

Qual è la dimensione del file degli allegati? (Non dimenticare di aggiungere "KB" alla tua risposta, NUMKB)

Qual è l'effettiva estensione del file allegato?

Videoprocedura dettagliata

, ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli