Attacchi Phishing con il tool PyPhisher

Cari lettori di Tecnogalaxy, oggi riprenderemo l’argomento Phishing andando a testare un tool di nome PyPhisher con il nostro caro amico Kali Linux.

Questo tool è impressionante e come tutte le cose se utilizzato a scopi illegali diventa pericoloso, PyPhisher ovviamente nasce per testare l’abilità e la sapienza informatica degli utenti presi come test durante un pentesting.

Ovviamente in questo articolo spiegherò anche come riconoscere un attacco del genere e come difendersi.

Bando alla ciance e passiamo subito al nostro test spostandoci sul nostro amico Kali Linux.

Apriamo una shell e scriviamo il comando seguente per clonare il tool:

sudo git clone https://github.com/KasRoudra/PyPhisher.git

Posizioniamoci all’interno della cartella appena creata, scrivendo il comando:

cd PyPhisher

Scriviamo ls per vedere il contenuto

Installiamo i moduli richiesti:

pip3 install -r files/requirements.txt

Attiviamo il tool:

sudo python3 pyphisher.py

Quello che vedrete è impressionante, quello che vedete sotto sono tutti i moduli presenti nel tool da utilizzare.

Facciamo un test con Microsoft, selezionando il modulo numero 12 e attendiamo:

Al termine il tool creerà dei link da inviare al tester, copio in questo test l’URL LocalHostRun e lo invio.

A questo punto non ci resta che attendere che l’utente clicchi sul linkk appena inviato ed inserisca le sue credenziali.

Questo quello che vede l’utente test, la grafica è impressionante è identica alla pagina originale.

Appena vengono inserire le credenziali e slezionato il pulsante Sign in le informazioni vengono catturate dal tool in ascolto.

Come potete vedere user id e password sono state catturate in chiaro.

Pensate ad un cyber criminale che mette in atto una campagna di Phishing con questo tool PyPhisher inviando il link a migliaia di persone, PAZZESCO SE CI PENSATE.

Come difendersi da questo attacco?

Ci sono vari tipi di e-mail di Phishing:

Reconoissance: L’email viene inviata per capire se esiste l’account
Spam: E’ una classica mail di pubblicità o una mail non autorizzata
Falso Positivo: E’ quando una mail autentica non è correttamente autorizzata
Credentila Harvester: Serve per prendere le credenziali, rimanda spesso ad un finto portale.
Social Engineering: E’ un tipo di Phishing che passa per Voce o SMS
Whaling: Quando vengono puntati personaggi di scpicco AD, CEO etc…
Malicious Files: E’ un vero e proprio attacco con file malevoli

Tipi di attacchi di Phishng

Di seguito una lista dei vari tipi di attacchi di Phishing:

Spear Phishing: L’attacante investe molto tempo per creare un rapporto con la vittima per cercare la sua fiducia
Impersonation: L’attacante si finge un’altra persona
Typosqatting ed omografia: L’uso di domni simili con differenti lettere o caratteri di altri linguaggi che simulano i domini reali
Sender Spoofing: Predceduto dall’harvester è una vera mail rubata
Html Styling: È la ricostruzione di form reali di mail ricevute
Attachments: Comprendono file noocivi e non nocivi fasulli
Hyperlinks: Sono presenti link malevoli nelle mail
Url Legitimate services: vengono usati servizi locali, ad esempio outlook.com per email fasulle
Business email compromise: È la compromissione di un vero indirizzo aziendale

In una mail di phishing sono presenti alcuni dati chiamati (artefatti), che servono per una corretta inspection della mail per capire da dove proviene.

Questi artefatti si dividono in tre categorie:

Delle mail
Dei file
Del web

Mail

Sending Email Address: indirzzo del mittente
Subject Line: l’oggetto della mail
Recipient Email Address: il destinatario della mail
Sending Server IP e Reverse DNS: l’IP di partenza ed il DNS Name
Reply to Address: in caso sia presente l’indirizzo di risposta
Date e Time: il timestamp dell’invio del messaggio

File

Attachment Name: il nome del file o dei file
SHA256 Hash Value: l’hash del file

Web

FULL URLs: i link completi dei puntamenti
Root Domain: il root di domain degli url allegati ‘non essenziale però’

Raffigurazione di invio di una e-mail reale

Raffigurazione di invio di una e-mail fasulla

Negli ultimi anni la tecnica di Phishing si è affinata sempre di più fino ad arrivare a mail quasi perfette, sotto sotto la tecnica è sempre la stessa, ingannare il malcapitato a cliccare su un link o aprire un allegato presente nella mail ricevuta.

L’apertura di un file potrebbe generare diversi casi:

L’installazione di un virus.
La violazione del sistema operativo.
Il furto di credenziali.

Vediamo nel dettaglio cosa significano anche tecnicamente questi tre punti.

L’installazione di un virus.

Viene installato un software malevolo che permette di effettuare diverse cose sul computer infettato.

La violazione del sistema operativo.

L’intero computer viene violato e compromesso, in questo modo il cyber criminale può accedere la web came, il microfono …..il computer è in mano al cyber criminale.

Il furto di credenziali.

Il cyber criminale può eseguire lo step di furto delle credenziali con le relative password, che la vittima utilizza per accedere ai vari portali, social network, banca, scuola etc…..

Fortunatamente possiamo utilizzare due tools gratuiti reperibili sul web e funzionanti online, senza installare nulla, stiamo parlando di urlscan.io (link https://urlscan.io/)

Grazie a questo portale possiamo incollare il link ricevuto nella mail e capire se è sicuro e la sua provenienze

Adesso che conosci la tecnica e questi due tools quando riceverai una mail strana contenete dei link potrai in modo autonomo capire la loro provenienza.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego
IT Manager

Attacchi Phishing con il tool PyPhisher

Come difendersi da questo attacco?

Tipi di attacchi di Phishng

Mail

File

Web

Lascia un commento Annulla risposta

I PIÙ LETTI

ARTICOLI RECENTI