Come effettuare un attacco di Phishing con esempi pratici
Cari lettori , oggi vi parlerò della tecnica chiamata phishing, un tipo di frode ideato allo scopo di rubare importanti informazioni sensibili come numeri di carta di credito, password e dati relativi al conto bancario e tante altre informazioni.
Cos’è il Phishing?
II phishing è uno stratagemma per indurre gli utenti a rivelare (con l’inganno) informazioni personali o finanziarie attraverso un’email o un sito internet, sempre più spesso anche tramite messaggi che arrivano da applicazioni molto usate come Whatsapp o Facebook.
Il tipico attacco di phishing si genera attraverso un messaggio di posta elettronica contenente un link che in base a cosa vuole recuperare l’attaccante, si viene dirottati su un sito che apparentemente sembra identico a quello originale. Si presenta come una notifica ufficiale proveniente da una fonte attendibile, per esempio una banca, ma anche un amico.
II messaggio invita a collegarsi a un sito Web (come spiegavo prima), graficamente molto simile a quello originale, chiedendo di inserire alcune informazioni personali come, per esempio, il numero di conto corrente o la password.
Queste informazioni vengono reperite dall’attaccante il quale potrà utilizzarle per appropriarsi dell’identità di chi abbocca alla truffa.
Effettuare un attacco di Phishing
Entriamo nel dettaglio e utilizziamo come sempre il nostro amico Kali Linux.
Per effettuare il test invece useremo un tool chiamato “SocialFish”, scritto in Python.
Apriamo una shell e lanciamo SocialFish.py.
Confermare con y.
Ora possiamo decidere la destinazione del nostro Phishing:
Selezioniamo l’opzione “2” per creare il nostro link da inviare al destinatario.
Il tool ha creato il link da inviare:
Quando il destinatario riceverà la mail e aprirà il link, si troverà questa situazione, la pagina web è praticamente identica a quella originale.
Il destinatario quindi inserirà l’Username e la Password:
Ecco fatto, abbiamo userid e password in chiaro e altre informazioni importanti:
Proviamo selezionando LinkedIn, opzione “3”.
Seguiamo sempre la procedura descritta sopra e inviamo il link generato dal tool alla vittima.
Quando la vittima inserirà le credenziali di accesso nella pagina fittizia simile all’originale, nella shell in ascolto vedremo il risultato.
Pensate alla pericolosità di questa tecnica, ovviamente più la mail sarà credibile, più l’attacco avrà una percentuale di successo alta.
Contromisure per non abboccare a un attacco di Phishing
Come possiamo vedere la pagina web perfetta, sembra reale al 100%….
Vediamo però come capire se si tratta di Phishing.
Dopo aver ricevuto la mail e cliccato sul link, se controlliamo l’indirizzo visibile sull’url, ci accorgiamo subito che non è quello originale anche se la pagina del sito è identica a quella reale.
Ci sono tecniche che vi spiegherò in un altro articolo che generano il link identico a quello originale….
Siate malfidenti quando ricevete mail che vi chiedono di inserire i propri dati, controllate sempre tutto nel dettaglio.
Per la procedura completa potete vedere il seguente video in cui vengono illustrati alcuni attacchi di Phishing.
Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.
Giorgio Perego
Responsabile dei sistemi informativi di 3Vsigma
Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!
Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.
Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.
© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.
ciao , vorrei provare a effettuare il phishing sul mio dispositivo su un sito che non si trova nel catalogo. come devo fare ??
Ciao, devi utilizzare un altro tool …che modulo vorresti provare?
posso usare ubuntu
Ciao certo, non so se è già installato wpscan, altrimenti basta installarlo