Abbiamo trattato gli attacchi di phishing, il loro funzionamento, i componenti di un'e-mail di phishing, i componenti dell'infrastruttura di phishing, gli strumenti di valutazione del phishing come Gophish e SET e come rimanere vigilati e protetti dagli attacchi di phishing. In questo video è stato utilizzato il materiale di laboratorio di La stanza TryHackMe denominata phishing e parte del percorso della squadra rossa.
Abbiamo anche trattato scenari pratici di analisi delle e-mail di phishing utilizzando PhishTool e Any.run. Nel primo scenario abbiamo analizzato un'e-mail che fingeva di provenire da Netflix e gli altri due scenari contenevano allegati dannosi che eseguivano chiamate a server e nomi DNS dannosi. Questo faceva parte Strumenti di analisi del phishing TryHackMe.
Abbiamo anche esaminato uno scenario pratico di analisi del phishing tramite posta elettronica utilizzando Thunderbird. Abbiamo evidenziato aree specifiche per l'analisi come l'e-mail del mittente, il percorso di ritorno, il dominio del mittente, i record SPF, l'indirizzo IP di origine e l'allegato e-mail. Abbiamo riscontrato che l'allegato e-mail è dannoso analizzandolo utilizzando VirusTotal. Inoltre l'e-mail conteneva errori grammaticali ed era indirizzata a un destinatario generico. Questo faceva parte di TryHackMe Greenholt Phish.
Ottieni le note sul certificato OSCP
Il corso pratico completo sul Penetration Testing delle applicazioni Web
Video in evidenza
Il phishing è una forma di ingegneria sociale trasmessa tramite e-mail per indurre qualcuno a rivelare informazioni personali, credenziali o persino a eseguire codice dannoso sul proprio computer. Di solito queste email sembrano provenire da una fonte attendibile, che si tratti di una persona o di un'azienda. Includono contenuti che tentano di indurre o indurre con l'inganno gli utenti a scaricare software, aprire allegati o seguire collegamenti a siti Web fasulli.
Abbiamo tre cose su cui lavorare per quanto riguarda le email di phishing: l'indirizzo email del mittente, l'oggetto e il contenuto.
Diversi tipi di e-mail dannose possono essere classificati come seguenti:
- Spam – e-mail spazzatura non richieste inviate in blocco a un gran numero di destinatari. La variante più dannosa dello spam è nota come MalSpam.
- Phishing – e-mail inviate a uno o più obiettivi che pretendono di provenire da un'entità attendibile per indurre le persone a fornire informazioni sensibili.
- Spear-phishing – fa un ulteriore passo avanti nel phishing prendendo di mira individui o organizzazioni specifici alla ricerca di informazioni sensibili.
- Caccia alla balena – è simile allo spear phishing, ma è mirato specificamente a individui di alto livello di livello C (CEO, CFO, ecc.) e l'obiettivo è lo stesso.
- Sfavillante – porta il phishing sui dispositivi mobili prendendo di mira gli utenti mobili con messaggi di testo appositamente predisposti.
- Vishing – è simile allo smishing, ma invece di utilizzare messaggi di testo per l'attacco di ingegneria sociale, gli attacchi si basano su chiamate vocali.
Quando si parla di phishing, il modus operandi è solitamente lo stesso a seconda dell’obiettivo dell’e-mail.
Ad esempio, l'obiettivo può essere quello di raccogliere credenziali e un altro è ottenere l'accesso al computer.
Di seguito sono elencate le caratteristiche tipiche che le email di phishing hanno in comune:
- IL nome/indirizzo e-mail del mittente si travestirà da entità fidata (spoofing della posta elettronica)
- La riga dell'oggetto e/o il corpo (testo) dell'email è scritto con a senso di urgenza o utilizza determinate parole chiave come Fattura, Sospeso, eccetera.
- Il corpo dell'email (HTML) è progettato per corrispondere a un'entità fidata (come Amazon)
- Il corpo dell'email (HTML) è mal formattato o scritto (contrariamente al punto precedente)
- Il corpo dell'email utilizza contenuti generici, come Gentile Signore/Signora.
- Collegamenti ipertestuali (spesso utilizza servizi di abbreviazione URL per nascondere la sua vera origine)
- UN allegato dannoso presentandosi come un documento legittimo
GoPhish – (Open Source Phishing Struttura) - getgophish.com
GoPhish è un framework basato sul Web per rendere più semplice la creazione di campagne di phishing. GoPhish ti consente di archiviare i tuoi file SMTP impostazioni del server per l'invio di e-mail, dispone di uno strumento basato sul Web per la creazione di modelli di e-mail utilizzando un semplice editor WYSIWYG (What You See Is What You Get). Puoi anche pianificare quando vengono inviate le e-mail e disporre di un dashboard di analisi che mostra quante e-mail sono state inviate, aperte o cliccate.
SET – (kit di strumenti di ingegneria sociale) – trustsec.com
Il Social Engineering Toolkit contiene una moltitudine di strumenti, ma alcuni di quelli importanti per il phishing sono la capacità di creare spear-phishing attaccano e distribuiscono versioni false di siti Web comuni per indurre le vittime a inserire le proprie credenziali.
I dropper sono software che le vittime di phishing tendono a essere indotte a scaricare ed eseguire sul proprio sistema. Il dropper può pubblicizzarsi come qualcosa di utile o legittimo, come un codec per visualizzare un determinato video o un software per aprire un file specifico.
I dropper di solito non sono dannosi, quindi tendono a superare i controlli antivirus. Una volta installato, il malware desiderato viene decompresso o scaricato da un server e installato sul computer della vittima. Il software dannoso solitamente si ricollega all'infrastruttura dell'aggressore. L'aggressore può assumere il controllo del computer della vittima, che può esplorare e sfruttare ulteriormente la rete locale.
Scegliere il giusto Phishing Il dominio da cui lanciare il tuo attacco è essenziale per assicurarti di avere un vantaggio psicologico rispetto al tuo obiettivo. Un impegno del team rosso può utilizzare alcuni dei metodi seguenti per scegliere il nome di dominio perfetto.
Domini scaduti:
Sebbene non sia essenziale, l'acquisto di un nome di dominio con una certa cronologia può portare a un punteggio migliore del tuo dominio quando si tratta di filtri antispam. I filtri antispam hanno la tendenza a non fidarsi dei nomi di dominio nuovi di zecca rispetto a quelli con una certa storia.
Errori di battitura:
Il typosquatting si verifica quando un dominio registrato sembra molto simile al dominio di destinazione che stai cercando di impersonare. Ecco alcuni dei metodi comuni:
Errore di ortografia: goggle.com contro google.com
Periodo aggiuntivo: go.ogle.com contro google.com
Cambiare i numeri con le lettere: g00gle.com contro google.com
Frase: googles.com contro google.com
Parola aggiuntiva: googleresults.com vs google.com
Questi cambiamenti potrebbero sembrare irrealistici, ma a prima vista il cervello umano tende a riempire gli spazi vuoti e vedere quello che vuole vedere, cioè il nome di dominio corretto.
Risposte in camera | Prova HackMe Phishing
In che tipo di campagna di phishing vengono coinvolte le squadre rosse?
Cosa dovrebbe essere modificato su un tag di ancoraggio HTML per mascherare un collegamento?
Quale protocollo dispone di record TXT che possono migliorare la consegna della posta elettronica?
Quale strumento può automatizzare una campagna di phishing e includere analisi?
Qual è il termine utilizzato per descrivere la registrazione di un nome di dominio simile con un errore di ortografia?
Risposte in camera | Fondamenti di analisi del phishing TryHackMe
Quale porta è classificata come trasporto sicuro per IMAP?
Quale porta è classificata come trasporto sicuro per POP3?
Quale intestazione email è uguale a "Rispondi a"?
Una volta trovato l'indirizzo IP del mittente dell'e-mail, dove puoi recuperare ulteriori informazioni sull'IP?
Negli screenshot qui sopra, qual è il nome dell'allegato PDF?
Nella macchina virtuale allegata, visualizza le informazioni in email2.txt e ricostruisci il PDF utilizzando i dati base64. Qual è il testo all'interno del PDF?
Da quale entità attendibile si maschera questa email?
Qual è l'e-mail del mittente?
Qual è l'oggetto?
A cosa serve il collegamento URL - CLICCA QUI? (Inserisci l'URL defangato)
Risposte in camera | Strumenti di analisi del phishing TryHackMe
Qual è il nome del sito ufficiale della banca a cui capitai-one.com ha cercato di assomigliare?
Quale marca è stata creata su misura per impersonare questa email?
Qual è l'indirizzo email del mittente?
Da quello che puoi dedurre, quale pensi sarà un dominio di interesse? Defangare il dominio.
Qual è l'URL abbreviato? Defangare l'URL.
Qual è il nome del file PDF?
Qual è l'hash SHA 256 per il file PDF?
Quali due indirizzi IP sono classificati come dannosi? Defangare gli indirizzi IP. (risposta: IP_ADDR,IP_ADDR)
Come è stato contrassegnato il processo di Windows Traffico potenzialmente negativo?
Qual è il nome del file Excel?
Qual è l'hash SHA 256 per il file?
Quali domini sono elencati come dannosi? Elimina gli URL e invia le risposte in ordine alfabetico. (risposta: URL1,URL2,URL3)
Quali indirizzi IP sono elencati come dannosi? Defanga gli indirizzi IP e invia le risposte dal più basso al più alto. (risposta: IP1,IP2,IP3)
Quale vulnerabilità tenta di sfruttare questo allegato dannoso?
Risposte in camera | Email di phishing TryHackMe in azione
Risposte in camera | Prova la prevenzione del phishing TryHackMe
Facendo riferimento a Tabella di sintassi dmarcian SPF, quale carattere di prefisso può essere aggiunto al meccanismo “all” per garantire un risultato “softfail”?
~
Qual è il significato di -Tutto etichetta?
Quale filtro Wireshark puoi utilizzare per restringere l'output dei pacchetti utilizzando i codici di stato SMTP?
Risposta corretta: smtp.response.code
In base al traffico di rete, qual era il messaggio per il codice di stato 220? (Non includere il codice di stato (220) nella risposta)
Risposta corretta: servizio pronto
Un pacchetto mostra una risposta che informa che un'e-mail è stata bloccata utilizzando spamhaus.org. Quali erano il numero del pacchetto e il codice di stato? (nessuno spazio nella risposta)
Risposta corretta: 156.553
In base al pacchetto della domanda precedente, qual era il messaggio riguardante la casella di posta?
Risposta corretta: nome della casella di posta non consentito
Qual è il codice di stato che in genere precede un comando SMTP DATA?
Risposta corretta: 354
Quale porta utilizza il traffico SMTP?
Risposta corretta: 25
Quanti pacchetti sono specificatamente SMTP?
Risposta corretta: 512
Qual è l'indirizzo IP di origine per tutto il traffico SMTP?
Risposta corretta: 10.12.19.101
Qual è il nome del file del terzo file allegato?
Risposta corretta: attach.scr
Che ne dici dell'ultimo file allegato?
Risposta corretta: .zip
Secondo MITRE ATT&CK, quale software è associato all'utilizzo di SMTP e POP3 per le comunicazioni C2?
Risposta corretta: Zebrocy
Risposte in camera | Prova la prevenzione del phishing TryHackMe
Da chi proviene l'e-mail?
Qual è il suo indirizzo email?
Qual è l'IP di origine?
Chi è il proprietario dell'IP di origine? (Non includere il “.” nella risposta.)
Qual è il record SPF per il dominio Return-Path?
Qual è il record DMARC per il dominio Return-Path?
Qual è il nome dell'allegato?
Qual è l'hash SHA256 del file allegato?
Qual è la dimensione del file degli allegati? (Non dimenticare di aggiungere "KB" alla tua risposta, NUMKB)
Qual è l'effettiva estensione del file allegato?