Zip File, мамкины хацкеры. Недавно один из камрадов написал под одним из роликов, мол Денчик всё фигня, хакинг скоро умрёт, будущее за фишингом и вообще пора уже начинать потихоньку переквалифицироваться. И несмотря на то, что большую часть аргументов своего оппонента я, как обычно, парировал в свойственной мне саркастичной манере, вынужден признать, что отчасти с этим тезисом я тоже согласен.

Во всяком случае будущее у фишинга точно есть. А в связке с социальной инженерией, такой подход приносит результат гораздо быстрее, нежели тот же брут или расшифровка комбо кейлоггера. С помощью фишинга можно угнать аккаунт от фэйсбука, контакта, снэпчата и даже инсты. Ну и т.к. про контакт я уже делал не мало видосов, а остальные сервисы из этого списка в нашей стране как-то не прижились.

Нынче мы остановимся на популярной инсте. Рассмотрим от А до Я алгоритм действий, который использует злоумышленник в процессе атаки на наивную инста-самку. И конечно поговорим о том, как можно эффективно защитить себя и своих близких от подобных уловок. Если интересно, как всё это провернуть. Тогда скорее бегите на кухню ставить чайник.

Устраивайтесь по удобнее с ноутом на мягком диване и пока водичка вскипает смотрите балдёжный гайд по инста-фишингу актуальный на осень 20-го года. Погнали.

Шаг 1. Запускаем терминал KaliLinux или Термухи и обновляем список системных пакетов.

Шаг 2. Далее, если работаете на Терме, проверьте установлен ли git.

Шаг 3. И, если всё ок, копируем с гитхаба одну из вариаций популярного скрипта shellphish. В моём случае это будет некто netpshisher от ноу-нейм разраба.

Шаг 4. После завершения процедуры заходим в каталог.

Шаг 5. И в зависимости от того в какой среде ведётся работа запускаем установочный пак. В случае с Kaliнеобходимо забашить setup, а в случае с Термуксом выбрать tmux.

Шаг 6. Врубаем nexphisher.

Шаг 7. И в открывшемся окне выбираем из списка сервис, под который будем косить. Я возьму инст.

Шаг 8. Со стандартной страницей для входа.

Шаг 9. И т.к. белый IP есть почему-то до сих пор не у всех моих зрителей, пропущу эту историю через Ngrok.

Шаг 10. Ссылка успешно сгенерирована. Копируем её и прогоняем через какой-нибудь сократитель.

Шаг 11. Ну а дальше дело за соц. инжой. Вариантов, как заманить людей на фейк и побудь авторизоваться существует огромное множество. От закоса под сотрудника техподдержки до организатора масштабного конкурса мотивирующего проголосовать за фото ради бабла. Надо лишь немножечко включить креатив.

Шаг 12. Сразу после авторизации в терминале отобразится долгожданная комбинация, состоящая из логина и пароля от пользовательского аккаунта.

Сразу скажу, что данный способ не идеален. Для тех занимается фишингом на постоянной основе он покажется слишком уж грубым и лишённым автомитизма. Более продвинутые скрипты умеют проводить моментальную проверку корректности ввода пассворда на официальном сервисе соц. сети. Пересылать на почту введённые комбинации и адаптировать страничку под мобильные различные экраны мобильных устройств.

Хотя последнее этот скрипт вроде как тоже умеет. В любом случае, для обучающих целей и понимания принципа фишинга в общих чертах, netpshisher подходит на все 100%. А для всего остального, как говорится, есть MasterCard и куча специализированных форумов в дарке, где вам буквально за пару сотых биткоина продадут действительно толковую рыбу.

Правда есть риск нарваться на злоумышленника, который либо попросту кинет вас как лоха, либо впарит софтину со вшитым ратом. Но это уже другая история. Авторитет в сообществе тоже надо прокачивать не один день. А без него, придётся довольствоваться такими вот скриптами-полумужами, успех которых напрямую зависит от ваших навыков прокачки жертвы на том конце провода.

Удастся убедить глупую тёлку в том, что нужна авторизоваться для голосования на левой страничке – получите пасс. А нет – ну значит вы ещё недостаточно хороши в этом деле и скорее всего даже более совершенный скрипт вам никак не поможет. Техническая составляющая не так важна, как психологическое воздействие. Во всяком случае в фишинге. Ну а если хотите переложить всю работу на тупую машину, то можно попробовать старый добрый брутфорс.

В принципе, могу даже как-нибудь сделать отдельный выпуск на эту тему и подогнать рабочий словарь. Но только в том случае, если соберёте под этим видосом пятихаточку лайков. На меньшее не согласен. Тем, кто впервые забрёл на канал, настоятельно рекомендую клацнуть на колокол. Нажмёшь и в твоей ленте будут регулярно появляться бодрейшие ролики на тему этичных взломов, пентестингу и информационной безопасности.

С олдов по традиции жду вдохновляющих комментариев. Братва, под последним подкастом я увидел столько искренних слов поддержки, что даже как-то стрёмно стало грустить. Большое спасибо вам за эти слова. На*уй хейтеров. Будем и дальше продолжать делать дело и популяризировать инфосек несмотря не на что. Главное сами не попадайтесь на эти уловки.

А то ведь, как водится, тонет тот водолаз, который больше всех был уверен в своей подготовке. При любом раскладе нужно всегда оставаться на чеку и не поддаваться на провокации внешней среды. Тогда и проблем от неё не возникнет. Ну а с вами, как обычно, был Денчик. Большое спасибо вам за просмотр. Напоследок по традции хочу пожелать вам удачи, успехов и самое главное отличного настроения.