Phishing con Gophish 

Cari lettori di Tecnogalaxy, oggi riprenderemo l’argomento sul Phishing, ormai di attualità negli ultimi anni. Andremo a vedere le varie tecniche e come difendersi da questi attacchi sempre più numerosi.

Nell’era 2.0, quella di internet, le truffe avvengono online. Non solo navigando sui siti web, ma anche via posta elettronica: nonostante gli enormi progressi nel settore della sicurezza informatica, con la creazione di efficientissimi filtri antivirus e antispam per l’e-mail, i messaggi di posta elettronica fraudolenti possono sfuggire a questi controlli, creando anche danni non indifferenti ai malcapitati truffati.

È ad esempio il caso delle e-mail di phishing, che spesso possono provenire anche da una fonte fidata e inviate da indirizzi considerati “affidabili” e dunque non bloccati dai filtri appositi. Incappare in una truffa è semplicissimo, cascarci decisamente meno, ma è comunque necessario prestare molta attenzione e sapere come riconoscere le e-mail di phishing. (Vedere l’articolo Esempi di attacchi Phishing e come scovarli).

TIPOLOGIE DI PHISHING

Le tipologie di phishing utilizzate possiamo dividerle in 4 modalità:

· Avidità;

· Gentilezza;

· Obbedienza;

· Paura;

Un malintenzionato esperto in tecniche di Phishing essendo appunto un professionista non cercherà di rubare qualche password di Facebook o di Instagram di qualche suo amico, ma lo farà per guadagnare soldi puntando account finanziari. Un Phishing professionista può arrivare a guadagnare molti soldi, di solito i dati rubati vengono venduti a società sul Dark Web, in questo articolo vedremo una delle tecniche utilizzate per creare una campagna di Phishing.

Prima di sferrare l’attacco il malintenzionato farà un’analisi dettagliata in base alla richiesta di ingaggio che gli verrà fatta (richiesta su commissione), delle vittime da colpire.

Potrà utilizzare sia il nostro caro amico Kali Linux J che Windows, in questo test utilizzeremo solo Windows per simulare l’attacco.

Come prima cosa il malintenzionato scaricherà il tool gophish, (possiamo trovarlo su github per Kali Linux , oppure scaricarlo a questo link per Windows https://getgophish.com/)

Terminato il download passiamo alla fase di installazione e configurazione del tool, (puoi seguire la guidsa originale a questo link https://docs.getgophish.com/user-guide/installation).

Questo tool ovviamente è nato ed è utilizzato per fare delle campagne legali, se però utilizzato in modo illegale diventa uno strumento pericolosissimo.

Terminata l’installazione del tool facciamo il login per accedere al menù di navigazione:

Andiamo sulla voce “Sending Profiles” per inserire i valori di setting per il funzionamento dell’invio delle mail di Phishing, e creiamo un nuovo record selezionando il pulsante “New profile”

Andiamo a compilare le info richieste dal tool per il suo funzionamento:

1) Diamo un titolo nell mio caso “SettinMail”

2) L’interfaccia di default è SMTP

3) Inseriamo nel campo From la mail che utilizzerà il tool per inviare le mail di Phishing, come potete vedere l’indirizzo email è stato inserito tra i due segni di maggiore e minore “<>”, quello che verrà scritto prima dell’indirizzo mail sarà visibile come mail del mittente, (vedremo più avanti nel dettaglio).

4) Nel campo Host dovremo inserire ii parametri SMTP da utilizzare per l’invio delle mail.

5) Nel campo Username andremo inserire la user dell’indirizzo di posta che utilizzeremo per inviare le mail e nel campo password la relativa password scelta durante l’attivazione dell’indirizzo mail.

Adesso in base al tipo di attacco il malintenzionato creerà la pagina fake, selezionando la voce “New Landing page”

Adesso arriva la parte pi&#

Cracking delle password

Cari lettori , oggi riprenderemo l’argomento sul Cracking delle password, andremo a vedere il tool hashcat , uno strumento liberamente disponibile su Internet che quando si tratta di cracking di password è uno dei più potenti. Con hashcat possiamo testare password di qualsiasi forma o hash, SHA, MD5, WHIRLPOOL ecc.

HashCat è un software freeware multi-piattaforma in grado di recuperare password crittografate, tutto questo sfruttando il proprio processore.

Perfetto iniziamo il nostro test scaricando dal sito internet ufficiale (http://hashcat.net) l’ultima versione disponibile, e procediamo a scompattare l’archivio per rendere eseguibili i file binari del software attraverso il seguente comando:

chmod +x *.bin

Avviamo il tool:

./hashcat-cliXX.bin

Sostituiamo il campo “XX” con il valore “32” (per un sistema a 32Bit ) oppure il valore “64” (per un sistemi a 64Bit), aggiungiamo l’opzione --help per consultare la guida.

hashcat [options] hashfile [mask|wordfiles|directories]

Di seguito vedremo i due possibili attacchi:

Attacco Brute Force

Un attacco a forza brutta è sicuramente il metodo più completo per trovare una password smarrita, questa tecnica però necessita di grandi risorse e di molto tempo per trovare i primi frutti.

E’ fondamentale a mio parere conoscere al meglio tutte le opzioni che il software ci offre. È importante configurare correttamente i Chartsets e le relative maschere di implementazione.

Il tool ha a bordo otto tipi di Charsets , abbiamo la possibilità di crearne anche dei nuovi, ogni charset ufficiale è identificato da un punto interrogativo seguito da una lettera.

?l = abcdefghijklmnopqrstuvwxyz

?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ

?d = 0123456789

?s = !"#$%&'()*+,-./:;??@[]^_'{|}~

?h = 8 bit characters da 0xc0 - 0xff

?D = 8 bit characters dall'alfabeto Tedesco

?F = 8 bit characters dall'alfabeto Francese

?R = 8 bit characters dall'alfabeto Russo

HashCat supporta tantissimi algoritmi crittografici , MD5, SHA, MySQL, PHPass etc… nel nostro test vedremo un esempio di recupero di una password crittografata mediante l’algoritmo MD5, memorizzata nel file hash.txt e riporteremo l’ouput della nostra analisi nel file risultato.txt.

./hashcat-cliXX.bin -m 0 -a 3 --custom-charset1=?l?u?d?s --pw-min 3 --pw-max 6 hash.txt ?1?1?1?1?1?1 -o risultato.txt

Vediamo le opzioni presenti nel comando appena scritto:

-m (nel nostro caso l’algoritmo MD5 corrisponde al valore 0)

-a (tipo di attacco da effettuare)

3 (riferisce al software che deve effettuare un Brute Force)

-pw-min

-pw-max (imputiamo la lunghezza minima e massima della password).

?1?1?1?1?1?1 questo parametro ci permette di rendere più specifico l’attacco.

Sfruttiamo per ogni lettera il Charset personalizzato e precedentemente creato.

Facciamo un esempio, conosciamo la composizione della password da recuperare (es. nomeXX) , sappiamo che i primi 4 caratteri sono lettere e i rimanenti due numerici.

Potremo sfruttare la maschera ?l?l?l?l?l?l?l?d?d così da velocizzare notevolmente il processo, grazie all’opzione ?l ripetuta 4 volte specifichiamo che i primi caratteri sono lettere minuscole mentre con l’opzione ?d ripetuta due volte, specifichiamo che gli ultimi caratteri sono numerici.

Al termine della procedura il tool salverà nel file risultato.txt le password recuperate con successo.

Attacco Dizionario

Questo tipo di attacco è meno complesso in termini di opzioni e di comandi da imputare al tool, per ottenere un risultato soddisfacente però dobbiamo possedere dei dizionari completi.

Su internet ovviamente possiamo trovare diversi dizionari da utilizzare per i nostri test.

./hashcat-cliXX.bin -m 0