Bueno partamos conociendo que es el Phishing segun Wikipedia.
Como no soy muy adicto a las descripciones "Tecnicas" y mucho blabla que al final terminan confundiendo a la persona veamos una parte del Phishing que consiste en el engaño mediante el correo electronico falso , en pocas palabras el tipico Scam o Fake que consiste en enviar un correo falso con un mensaje invitando al usuario a clickear sobre un link "Falso" que redirecciona al Scam donde ponen el login y password que seran almacenados en un archivo.
Para esto se usa lo siguiente:
- Hacked Host
- Scam
- Letter
- Mail List
- Mailer
Hacked Host : Es una pagina a la cual tenemos acceso sin que el Administrador o dueño de dicha web sepa de nuestra precensia en la cual montamos una shell.
Scam : Es una pagina web Falsa, el objetivo de esta es conseguir los datos de los usuarios.
Letter : Es el correo o la carta de engaño que es enviada a los usuarios.
Mail List : Es un listado de E-mails de los futuros usuarios victimas que seran spameados con el scam.
Mailer : Es la harremienta que permite enviar los correos falsos (Scam) a las victimas (Mail List).
Explicacion.
Shell.
Una vez que encontramos una web vulnerable procedemos a inyectar nuestra shell, les cuento que hay direfentes tipos de shell, por ejemplo esta la r57, c99, c100 etc.una vez que la tengamos UP se vera como esta :
Scam.
Procedemos a subir nuestro scam, en este ejemplo veremos uno de los mas tipicos, como Hotmail, (para no meternos con bank, telcel u otros pedos :P)
Como ven ya creamos la carpeta llamada "zatanaz" y "hotmail" donde he subido los archivos necesarios del scam.
Ahora para visualizarlo vamos al link, ejemplo : http://www.webvulnerable.com/zatanaz/hotmail/index.html y chequeamos que el Scam sea identico a la pagina original, sin faltas de ortografias o imagenes que no se vean o esten alteradas para no sembrar la duda
Resultado.
Letter.
La letter debemos crearla nosotros, muchos la hacen en photoshop o gimp (como en mi caso) o simplemente la codean, veamos el ejemplo de la Letter de Hotmail.
Mail List.
Los Mail List se pueden obtener de varias formas, veamos un par de ellas.
- Comprando, hay sitios dedicados a la venta de mailist "Fresh".
- Por nosotros mismos, si tenemos algunos logins de hotmail por ejemplo, vamos a su bandeja y extraemos los contactos.
- Por Google ,podemos usar: filetype:ctt "hotmail"
- Montando un Extractor, para este ultimo vamos a ver un ejemplo con el Extractor de Murder.
Total de mails obtenidos en google.com: 611
Lista agregada a lista_mails.txt
Continua la busqueda...
Mailer.
Bueno este debe estar si o si montado, puede ser Hacked Host (De preferencia) o un Hosting Free pero este debe soportar php y tener sendmail, y lo mas importante debe enviar a Inbox, sino NO sirve.
- Veamos un Mailer montado y enviando.
Basicamente esa es la forma de hacer Phishing y Spamear, si lo vemos de la forma Tecnica parece complicado pero en la Practica es muy facil. Una forma de evitar el robo de nuestras cuentas pueden verlo AQUI.
Bueno eso es todo. Necesitas alguna herramienta de aca? algun source?, shell?, mailer?, letter?, quieres montar tu scam?, solo pidelo.
Como se hace el Phishing ? by Zatablogger is licensed under a Creative Commons Reconocimiento-No comercial-Sin obras derivadas 2.0 Chile License.
Based on a work at zatablogger.blogspot.com.
7 comentarios:
para que se montan las shell en los sitios vulnerables ?
que tiene que ver con el resto de los pasos ?
todos los demas pasos estan dentro de la shell
wee bro io soy seguidor de tu pagina :D y del cachondeo xD pero no posteo jeje solo ando ai escondidillo xd tengo mi cuenta i too xd ia tiempo xd tu pagina es de lo mejor :) y aprendo muxo gracias a ustedes aversis si asemos conversacion y dialogamos.. aver si me pasas tu msn weno el correo q te dare es un correo con datos invalidos q me cree : fernando20_20@hotmal.com
cuando me agregues a ese msn te paso mi msn original ok's xd es q si te doy el original por aki luego molestan xd jeje thanks por too
el link o algo para descargar el scam
hi bro k tal komo estas soi kaiser agregame porfavor k4ys3r@gmail.com
business
kiero hacer uno.... komo le hago
oye no podrias ser mas espesifico? no entendi nada jeje
Publicar un comentario