Cari lettori di Tecnogalaxy, oggi riprenderemo l’argomento Phishing, argomento già trattato in articoli precedenti, nel dettaglio andremo a vedere come un malintenzionato può nascondere un link malevolo all’interno di un link apparentemente reale. Per il nostro test utilizzeremo come sempre il nostro caro amico Kali Linux.

Con alcuni indizi e un po’ di attenzione potremo capire se un link all’interno di in una mail o di un messaggio contiene del Phishing oppure se è originale.

Ad esempio un collegamento di phishing può essere simile a questo https://ngrok.io/xxabcd , se clicchiamo sul link si aprirà ad esempio la pagina di login di Gmail o di un altro portale (dipende da tipi di attacco).

Anche con una conoscenza tecnica minima, se analizziamo il link nel dettaglio potremo capire che il link non è quello originale,  anche se verrà aperta la pagina di login dove ci verrà chiesto di inserire le credenziali di accesso (nome utente e password).

Vi chiederete …allora come fanno?

La risposta a questa domanda è l’ingegneria sociale, (abbiamo parlato anche di questo in qualche articolo precedente).

Un utente malintenzionato per poter effettuare un attacco di Phishing con una buona percentuale di successo, deve essere sufficientemente esperto in ingegneria sociale.

In breve l’ingegneria sociale è il bug nell’hardware umano un aggressore gioca con la mente della vittima cercando di ingannarla. Ci sono professionisti di questa tecnica.

Utilizzare una tecnica  per nascondere i collegamenti di phishing in collegamenti dall’aspetto affidabili, è una parte importante dell’ingegneria sociale.

Tramite questo metodo il malintenzionato acquista la fiducia della vittima e la vittima di conseguenza  tratta il collegamento di phishing come un collegamento reale.

Nel nostro test come potrete vedere, utilizzeremo uno strumento che convertirà un collegamento di phishing in un normale collegamento Web come Google o YouTube.

Lo scritp che utilizzeremo è uno strumento semplice scritto in bash, chiamato  MaskPhish.

Iniziamo il nostro test clonando lo scritp, scrivendo il seguente comando:

cd Scrivania (nel mio caso)
sudo git clone https://github.com/jaykali/maskphish
cd maskphish
sudo ./maskphish.sh

Adesso lasciano per qualche minuto in pausa il nostro script, e passiamo ad utilizzare lo scritp Zphisher per creare i vari fake.

Nel nostro test utilizzeremo Zphisher, già utilizzato nei test precedenti, tramite questo script potremo inviare link fake per questi portali:

Selezioniamo l’opzione 04 Microsoft.

Poi scegliamo il servizio 2 Ngrok.io (per creare il port forwarding).

Come nascondere un collegamento di phishing

Quando lo script avrà creato il link copiamolo e ritorniamo allo script MaskPhish

Lo script ci chiederà di inserire l’url da camuffare, incolliamo quello creato dallo scritp Zphisher.

Trattandosi di un test sul reset della password di Microsoft, inserirò www.microsoft.com

Nello step successivo inserirò microsoft-login

Il tool comporrà il link da inviare alla vittima così:

https://microsoft.com-microsoft-login…

Se ci pensate è pazzesco, la vittima che riceverà la mail o il messaggio contenente questo link, se non analizzerà nel dettaglio l’intero link ma si fermerà solo alla parte iniziale ci cascherà al 100%

Adesso non ci resta che inviare la mail o il messaggio con il nostro link, ovviamente a questo punto entra in gioco l’ingegneria sociale, più saremo bravi e più il nostro testa avrà successo.

Ritorniamo allo scritp che abbiamo lasciato in ascolto in attesa che la vittima clicchi sul link, come possiamo vedere, una volta ricevuta la mail ho cliccato sul link e si è aperta la pagina di login di Microsoft.

Dopo aver inserito la mia email e la relativa password, come possiamo vedere dall’immagine, lo scritp ha messo in chiaro le credenziali inserite.

Come nascondere un collegamento di phishing

Come difendersi da attacchi phishing?

Con semplici accorgimenti è possibile capire se la mail ricevuta, il link ricevuto etc… è reale p trattasi di Phishing :

Non aprire allegati del messaggio: se non conosci con sicurezza l’identità del mittente, non aprire l’allegato, (un allegato può infatti contenere virus o installare sul tuo PC programmi particolari), che ne compromettono la sicurezza. Diffida a maggior ragione nel caso di messaggi ricevuti nella cartella Spam

Non cliccare su alcun link presente nel messaggio: se ricevi una mail che sembra provenire dalla tua banca o dal tuo provider di posta che ti chiede di inserire i tuoi dati personali (ad esempio login e password o numero di carta di credito) non inserire alcun dato e non cliccare su eventuali link presenti nel messaggio.

Password : utilizza password affidabili di almeno 12 caratteri e cambiala spesso e non utilizzare mai la stessa password per i vari portali.

Installa nel tuo computer un antivirus che ti protegga anche dal phishing : gli antivirus di ultima generazione includono una funzione antiphishing che avvisa del pericolo ogni volta che clicchi su un collegamento truffaldino.

I nostri articoli si concentrano sulla pratica, in questo modo gli utenti sapranno come difendersi perchè sanno come agisce un malintenzionato.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.