Как перехватить логин и пароль в Gmail, GitHub

[FoxRiver 60]

Вступление

Иногда бывают такие ситуации, когда есть доступ к сети или у вас есть связь с целью, то можно с помощью утилиты Ngrok можно решить эту проблему. Вообще она создавалась для хороших целей, чтобы разработчики имели возможность поднять свой локальный сервис и показать другим людям без постороннего хостинга.

Поверх Ngrok мы установим инструмент для создания фишинговых страниц SocialFish. Таким образом, можно поднять свой собственный сервис с фишинговыми страницами.

Установка

Для начала необходимо установить SocialFish. Выполняем команды, все операции проводились на Kali Linux:

$ sudo git clone https://github.com/UndeadSec/SocialFish.git

$ cd SocialFish/

$ sudo pip install -r requirements.txt

$ sudo chmod +x SocialFish.py

$ python SocialFish.py

После установки будет такая картина:

Завершения установки SocialFish

Для дальнейшего использования вам необходимо согласиться, что вы будете использовать утилиту только в образовательных целях. Поэтому я не несу никакой ответственности, а все описанное в статье предоставлено исключительно в образовательных целях.

Как создать фишинговую страницу Gmail?

Для этого выбираем в меню "Select an Option" 2, а потом выбираем Standart Page Fishing в меню Operation Mode. Стоит заметить, что есть возможность выбрать Advance Page Fishing с более детальными настройками и возможность редактирования poll_mode/login_with. После выбора получаем ссылку, которую можно использовать для дальнейших действий.

Готовый сайт с формой авторизации

Тестирование происходило на машине с Windows 10. Ссылка имеет формат с протоколом https, но иконка дополнительно не подсвечивается. Можно заметить, что форма выглядит достаточно правдоподобно. После ввода данных происходит переадресация в поиск Google, а данные для регистрации попадают к нам.

Фишинговая страница

Получения данных для авторизации

Следует отметить, что все файлы можно посмотреть в корневой директории SocialFish. Таким образом можно дополнительно поиграться с редиректами и другими настройками. Это может помочь в исключительных ситуациях, когда нужно сделать идеальную страницу и чтобы после авторизации пользователь попадал в настоящую Gmail почту.

Директория SocialFish

Как создать фишинговую страницу GitHub?

Выполняем все по алгоритму, просто выбираем GitHub. Как видим ссылка с протоколом https. Выглядит очень правдоподобно. После ввода данных они попадают нам в нужное место.

Фейковая страница GitHub

Перехваченные данные с регистрационной формы GitHub

Заключение

С таким инструментом можно проводить хорошие атаки. Если еще использовать подменный сервис DNS или изменить ссылки на более правдоподобные, то будет очень круто. Я думаю идею вы поняли, используйте в правильных целях.

[Lione 866]

Изначально утилита Ngrok создавалась для разработчиков, чтобы поднять свой локальный сервис.