Hướng dẫn tạo web phishing với SEtoolkit

Web phishing là gì?

Phishing hay còn được gọi là Tấn công giả mạo. Là hành động đánh lừa người dùng cung cấp thông tin mật cho hacker bằng cách giả mạo cuộc gọi, email, hay website chính chủ nên Phishing được xếp vào nhóm Social Engineering Attack.
Web phishing hay Website phishing là cách tạo một trang web giả để đánh lừa người dùng nhập vào thông tin vào đó, và hacker chỉ việc ngồi đợi là đã chiếm được những thông tin từ chính nạn nhân mà họ không hề hay biết.

Thực hiện như thế nào?

Để thực hiện được ta có rất nhiều cách, và một trong số đó là phần mềm SEtoolkit được tích hợp sẵn trên Kali Linux. SEtoolkit (SET) là phần mềm mã nguồn mở được viết bằng ngôn ngữ python và phát triển bởi TrustedSec. Bao gồm các công cụ kiểm thử bảo mật bằng phương thức Social Engineering.
social engineering toolkit.
Trang chủ: https://www.trustedsec.com/social-engineer-toolkit/
Github: https://github.com/trustedsec/social-engineer-toolkit/



Bắt đầu thôi!

Đầu tiên hãy mở SET lên.
# setoolkit
hoặc Application > Social Engineering Tools > Social Engineering Toolkit
Main menu SET.
Ta chọn vào 1) Social-Engineering Attacks, nhập vào số 1Enter.
Social-Engineering Attacks.
Chọn tiếp 2) Website Attack Vectors, ta nhập vào số 2Enter.
Website Attack Vectors.
Ta chọn tiếp 3) Credential Harvester Attack Method, nhập số 3Enter.
Vậy tóm gọn lần lượt là 1 > Enter > 2 > Enter > 3 > Enter
Bước tiếp theo ta cần cấu hình cho Web phishing.
Web phishing config.
Điền vào các thiếp lập sau:
  • IP address for the POST back in Harvester/Tabnabbing: Nhập vào IP của máy tính hiện tại.
  • Enter the url to clone: Nhập vào tên website muốn làm giả.
Sau khi thiết lập xong SET sẽ mở port 80 và bắt đầu nghe ngóng dữ liệu. 
Ở đây mình thử dùng thiết bị Android có IP là 192.168.10.23 truy cập vào IP 192.168.10.5 của máy tính. Nó sẽ hiển thị ra một trang web có giao diện đăng nhập y như trang ta muốn. Sau khi nhập vào form thì ấn submit. Ta sẽ nhận được kết quả từ SET.
Bingo!!!
Bạn thấy đấy, tất cả những dữ liệu được POST tới đề được ghi lại.
POSSIBLE USERNAME FIELD FOUND: email=Hackerbzead
POSSIBLE PASSWORD FIELD FOUND: pass=matkhaugiadinh
Vậy là quá trình kiểm thử đã thành công, bạn có thể ghi chép lại hoặc xuất báo cáo ra tập xin .xml bằng cách nhấn Ctrl + C.

Lời kết:

Lưu ý rằng bài viết chỉ mang tính chất tham khảo, và thực hiện trên môi trường giả định. Không khuyến khích đi phá phách người khác.

Post a Comment

4 Comments

  1. cái này hax fb với gg là ngon, mà chỉ lừa dc mấy đứa kid :D

    ReplyDelete
  2. AnhTaiDatQuang: old-kid cũng dính thính nhé ;-(

    ReplyDelete
  3. tay nhanh hơn não mới dính chứ mấy lão đại chỉ có cố tình dính xem nó là cái giống quái gì thôi =))

    ReplyDelete
  4. anh ơi cho xem hỏi lỗi này khắc phục sao ạ Printing error: zipimporter() argument 1 must be string, not function

    ReplyDelete