Cari lettori di Tecnogalaxy, oggi riprenderemo l’argomento sul Phishing, abbiamo già parlato parecchie volte di Phishing, in questo articolo però andremo a vedere step by step come agisce un malintenzionato, quale tool utilizza e come si muove per scoprire le credenziali dei social, sei contento?

Tranquillo ovviamente vedremo anche quali accorgimenti utilizzare per difendersi con piccoli trucchi.

Il materiale per fare il nostro test questa volta sarà uno script di nome SocialPhish e molta ingegneria sociale e ovviamente il nostro caro amico Kali Linux.

Prima di iniziare il nostro test facciamo una piccola premessa

Nell’era 2.0, quella di internet, le truffe avvengono online. Non solo navigando sui siti web, ma anche via posta elettronica: nonostante gli enormi progressi nel settore della sicurezza informatica, con la creazione di efficientissimi filtri antivirus e antispam per l’e-mail, i messaggi di posta elettronica fraudolenti possono sfuggire a questi controlli, creando anche danni non indifferenti ai malcapitati truffati.

È ad esempio il caso delle e-mail di phishing, che spesso possono provenire anche da una fonte fidata e inviate da indirizzi considerati “affidabili” e dunque non bloccati dai filtri appositi. Incappare in una truffa è semplicissimo, cascarci decisamente meno, ma è comunque necessario prestare molta attenzione e sapere come riconoscere le e-mail di phishing. (Vedere l’articolo Esempi di attacchi Phishing e come scovarli).

Entriamo nel merito del nostro test… innanzitutto il malintenzionato scrive nel dettaglio la procedura da utilizzare, più sarà dettagliata maggiore sarà la percentuale di successo. Per prima cosa stabilisce una forbice di destinatari da colpire tramite Phishing, scrive la mail cercando di fare un clone di quella originale, attiva il tool SocialPhish lasciandolo in ascolto…infine lancia la trappola inviando la mail e attende……

SocialPhish è un semplice strumento pensato per il phishing, la cosa pazzesca se ci pensate è la facilità di utilizzo, infatti vedremo come chi unque può reperirlo e utilizzarlo.

Ovviamente l’utilizzo improprio senza consenso è perseguibile penalmente.

Non mi assumo nessuna responsabilità, i test che effettuo presenti nei miei articoli sono sempre su sistemi di mia proprietà, senza permesso diventa tutto illegale.

Avremo a disposizione 30 diversi siti web , ad esempio eBay, Twitter, Facebook, PayPal , Microsoft etc…

Questo script genera automaticamente una finta pagina di login apparentemente identica a quella originale creando un link da inviare alla vittima.

Scoprire credenziali dei social con SocialPhish

Prima di effettuare l’installazione dobbiamo verificare che su Kali ci sia installato:

  1. l’interprete PHP,
  2. i tool curl, wget ed unzip.

Passiamo all’installazione eseguendo il clone dello script:

cd Scrivania (nel mio caso)
sudo git clone https://github.com/xHak9x/SocialPhish.git

Spostiamoci nella cartella appena creata:

cd SocialPhish

Prendiamo i diritti di scrittura:

sudo chmod +x socialphish.sh

Avviamo lo script:

sudo ./socialphish.sh

Questo sarà il menù di navigazione del nostro script.

Una volta scelto il sito da clonare, SocialPhish si occuperà di avviare un server PHP sul nostro Kali Linux creando la pagina fasulla che abbiamo deciso di utilizzare, sfruttando l’ URL generata tramite ngrok.

(Url da inviare alla vittima per il nostro test).

Una volta inviato il link contenente l’URL appena creato (utilizzando un qualsiasi canale, e-mail, chat, messaggio etc….),  non ci resta che attendere, appena il malcapitato cliccherà sul link, gli verrà proposta la pagina di login del social selezionato in precedenza. Se la vittima abbocca a questo scherzetto, ci invierà in chiaro non solo le sue credenziali ma anche tutta una serie di informazioni sulla sua località d’origine recuperate dal suo indirizzo IP.

Scoprire le credenziali dei social tramite Phishing

Pensate cosa potrebbe fare un malintenzionato… ovviamente questa tecnica potrebbe esser utilizzata per qualsiasi sito, PayPall, Microsoft, Word Press etc…fortunatamente utilizzando dei piccoli accorgimenti possiamo non cadere nel tranello, vediamo quali:

  1. Informarsi sempre prima di aprire un qualsiasi link se non siete sicuri al 100%. Fate una ricerca su internet per vedere se è già capitato anche ad altri utenti.
  2. Leggere il corpo della mail “Origine del messaggio”, vedremo nel prossimo articolo come fare.
  3. Posizionarsi sul link con il mouse e vedere che link viene visualizzato.
  4. Contattare il reale supporto, nel nostro caso il supporto Twitter spiegando l’accaduto.

Conclusioni

Come specificato all’inizio dell’articolo, lo scopo del nostro test non è ovviamente quello di spingere gli utenti a creare strumenti simili, ma l’obiettivo è quello di far conoscere i modi oltre che teorici anche pratici su come un malintenzionato potrebbe scoprire le credenziali dei social o altre nostre informazioni sensibili.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.