Ultima modifica da un moderatore:
C'è un errore che ci induce nell'attribuire all'ingenuità delle vittime l'ampio utilizzo di questa tecnica, e chi usa questa tecnica in alcune occasioni viene chiamato hacker... Sapete, anche chi usa dei cheat nei videogiochi viene chiamato hacker... Non lo sapevate? Ora sì.
Il vero motivo, per cui il phishing è una tecnica di "hacking" molto diffusa è questo:
Su Github, molti developers hanno commesso l'errore di fornire dei tool già pronti, che assemblano del codice
Il bello è che la stessa operazione realizzata da questo programma, può essere effettuata anche da un semplice server Apache, con l'unica differenza che hostare questa roba su Apache e mandarla online bypassando i controlli dei browser richiede almeno la conoscenza delle basi del web hosting. Con questi too automatizzati, noi abbiamo tutto pronto e servito, dal momento che i servizi di TCP tunnelling, offrono già da sé tutto l'occorrente per hostare in sicurezza. E infatti, come potete immaginare, questi servizi nel corso degli anni hanno subito danni reputazionali enormi. Non si può più hostare niente (anche se legittimo) da Ngrok ad esempio, perché i danni reputazionali inducono alcuni EDR a pensare che Ngrok sia un cattivo host, e che quindi va bloccato a vista.
E perché questi servizi hanno subito danni reputazionali? Perché invece di insegnare in modo granulare, come funziona il phishing, si servono tool non solo già pronti, ma che abusano di questi servizi.
E' vero che io sono un grande fan di Metasploit, ma Metasploit non abusa di servizi esterni per hostare le reverse shell. Inoltre non è realmente un tool già pronto, perché msfvenom offre degli eseguibili (sia .exe che di altro formato) davvero molto prevedibili nel workflow per un AV moderno. Con il payload di base di Metasploit puoi fare dei test solo con l'AV spento, dal momento che molti hanno acquisito la capacità di rilevare il behavior pattern di Meterpreter in memory, oltre che dalle signature dei payload... Poi però arrivano tools che ti permettono di hostare il phishing con pochi click, bypassare AV e browser check grazie a una combinazione letale di HTTPS, TLS 1.3 e certificato valido offerto da Let's Encrypt.
Con questi elementi, e tenuta in conto della mole di abusatori/scammer presente in rete, ti aspetti che il phishing diventi una "tecnica di hacking" meno diffusa?
Il vero motivo, per cui il phishing è una tecnica di "hacking" molto diffusa è questo:
Su Github, molti developers hanno commesso l'errore di fornire dei tool già pronti, che assemblano del codice
HTML , PHP, insieme ad un eseguibile che consente di creare un relay fra LOCALHOST o più formalmente 127.0.0.1 e un servizio di shared hosting/tcp tunnelling, e nell'esempio linkato poc'anzi questi servizi sono Ngrok, Cloudflare, e LocalXpose. Il tutto viene facilitato ancor di più scrivendo un wrapper in bash che automatizza ancor di più la routine, permettendo di selezionare quale dei 3 servizi si desidera bindare a 127.0.0.1:8080 per hostare in WAN gli artefatti HTML.Il bello è che la stessa operazione realizzata da questo programma, può essere effettuata anche da un semplice server Apache, con l'unica differenza che hostare questa roba su Apache e mandarla online bypassando i controlli dei browser richiede almeno la conoscenza delle basi del web hosting. Con questi too automatizzati, noi abbiamo tutto pronto e servito, dal momento che i servizi di TCP tunnelling, offrono già da sé tutto l'occorrente per hostare in sicurezza. E infatti, come potete immaginare, questi servizi nel corso degli anni hanno subito danni reputazionali enormi. Non si può più hostare niente (anche se legittimo) da Ngrok ad esempio, perché i danni reputazionali inducono alcuni EDR a pensare che Ngrok sia un cattivo host, e che quindi va bloccato a vista.
E perché questi servizi hanno subito danni reputazionali? Perché invece di insegnare in modo granulare, come funziona il phishing, si servono tool non solo già pronti, ma che abusano di questi servizi.
E' vero che io sono un grande fan di Metasploit, ma Metasploit non abusa di servizi esterni per hostare le reverse shell. Inoltre non è realmente un tool già pronto, perché msfvenom offre degli eseguibili (sia .exe che di altro formato) davvero molto prevedibili nel workflow per un AV moderno. Con il payload di base di Metasploit puoi fare dei test solo con l'AV spento, dal momento che molti hanno acquisito la capacità di rilevare il behavior pattern di Meterpreter in memory, oltre che dalle signature dei payload... Poi però arrivano tools che ti permettono di hostare il phishing con pochi click, bypassare AV e browser check grazie a una combinazione letale di HTTPS, TLS 1.3 e certificato valido offerto da Let's Encrypt.
Con questi elementi, e tenuta in conto della mole di abusatori/scammer presente in rete, ti aspetti che il phishing diventi una "tecnica di hacking" meno diffusa?
