Discussione Il vero motivo per cui il phishing è una tecnica di hacking così diffusa

Stato
Discussione chiusa ad ulteriori risposte.

Netcat

Utente Jade
17 Gennaio 2022
452
128
331
691
Ultima modifica da un moderatore:
C'è un errore che ci induce nell'attribuire all'ingenuità delle vittime l'ampio utilizzo di questa tecnica, e chi usa questa tecnica in alcune occasioni viene chiamato hacker... Sapete, anche chi usa dei cheat nei videogiochi viene chiamato hacker... Non lo sapevate? Ora sì.

Il vero motivo, per cui il phishing è una tecnica di "hacking" molto diffusa è questo:

Su Github, molti developers hanno commesso l'errore di fornire dei tool già pronti, che assemblano del codice HTML , PHP, insieme ad un eseguibile che consente di creare un relay fra LOCALHOST o più formalmente 127.0.0.1 e un servizio di shared hosting/tcp tunnelling, e nell'esempio linkato poc'anzi questi servizi sono Ngrok, Cloudflare, e LocalXpose. Il tutto viene facilitato ancor di più scrivendo un wrapper in bash che automatizza ancor di più la routine, permettendo di selezionare quale dei 3 servizi si desidera bindare a 127.0.0.1:8080 per hostare in WAN gli artefatti HTML.

Il bello è che la stessa operazione realizzata da questo programma, può essere effettuata anche da un semplice server Apache, con l'unica differenza che hostare questa roba su Apache e mandarla online bypassando i controlli dei browser richiede almeno la conoscenza delle basi del web hosting. Con questi too automatizzati, noi abbiamo tutto pronto e servito, dal momento che i servizi di TCP tunnelling, offrono già da sé tutto l'occorrente per hostare in sicurezza. E infatti, come potete immaginare, questi servizi nel corso degli anni hanno subito danni reputazionali enormi. Non si può più hostare niente (anche se legittimo) da Ngrok ad esempio, perché i danni reputazionali inducono alcuni EDR a pensare che Ngrok sia un cattivo host, e che quindi va bloccato a vista.

E perché questi servizi hanno subito danni reputazionali? Perché invece di insegnare in modo granulare, come funziona il phishing, si servono tool non solo già pronti, ma che abusano di questi servizi.

E' vero che io sono un grande fan di Metasploit, ma Metasploit non abusa di servizi esterni per hostare le reverse shell. Inoltre non è realmente un tool già pronto, perché msfvenom offre degli eseguibili (sia .exe che di altro formato) davvero molto prevedibili nel workflow per un AV moderno. Con il payload di base di Metasploit puoi fare dei test solo con l'AV spento, dal momento che molti hanno acquisito la capacità di rilevare il behavior pattern di Meterpreter in memory, oltre che dalle signature dei payload... Poi però arrivano tools che ti permettono di hostare il phishing con pochi click, bypassare AV e browser check grazie a una combinazione letale di HTTPS, TLS 1.3 e certificato valido offerto da Let's Encrypt.

Con questi elementi, e tenuta in conto della mole di abusatori/scammer presente in rete, ti aspetti che il phishing diventi una "tecnica di hacking" meno diffusa?
 
  • Mi piace
Reazioni: MRPants
O buon Signore ma non lo sapevoooo, dove andremo a finire di questo passo.
No comunque ora sono serio, hai tipo scoperto l'acqua calda, Good Job Archimede.
 
Ma non si diceva che era perché la gente ci casca?

Entrambe le cose sono vere, se la gente non ci cascasse non avrebbe senso farlo, ed è vero che strumenti già pronti tanto semplici da usare abbassano ulteriormente i requisiti per lanciare un attacco ma non si può imputare tutta la diffusione a questi ultimi perché questa roba la facevano i ragazzini anche 15 anni fa e senza strumenti particolari, quindi pensa ai criminali che già lo facevano su larga scala senza pubblicare sorgenti dei loro tool. La discussione della reputazione è interessante e sono daccordo con te che questo genere di tool non dovrebbero fornire come feature l'abuso di servizi "cloud" come tunnel tcp, storage... Si sa che è possibile farlo ma sarebbe meglio non darlo già "weaponized" a chi non si conosce.
 
  • Mi piace
Reazioni: 0xbro
Stato
Discussione chiusa ad ulteriori risposte.