Oi, bem-vindo hoje, vou mostrar-lhe como criar páginas de phishing do WordPress. O phishing é a prática de enviar e-mails ou páginas falsas, a fim de enganar alvos, sem saber, fornecendo informações pessoais, como senhas e números de cartões de crédito e débito.
Os ataques de phishing são um método de engenharia social que se baseia unicamente em erros e enganações humanas.
CenárioVamos assumir que estamos fazendo um Pentest em um site popular do WordPress, o administrador nos deu permissão para tentar e divulgar informações dos membros da equipe sem invadir seu WordPress ou obter informações dos bancos SQL. O administrador do site gastou 1000's de dólar em manter a segurança de seu site e acredita que é bastante seguro, embora ele não possa ter certeza de que seus membros da equipe comprometem seu site por meio de um erro humano.
Muitas pessoas chegam à conclusão de que um usuário deve ser estúpido ou um idiota para se encaminhar para páginas de phishing. Este não é o caso com 1000 de e-mails por dia indo para empresas e caixas de entrada pessoais, pode ser bastante fácil de cair na armadilha, especialmente em caixas de entrada compartilhadas com vários funcionários lendo e respondendo às mensagens. As páginas de phishing podem parecer idênticas e muito credíveis. No entanto, não culpamos os alvos, já que a maioria não teve formação suficiente. A idéia dos Admins do Pentest não é fazer com que os funcionários se sintam estúpidos por se apaixonar pelas páginas de phishing, mas para educá-las para evitar futuros ataques no futuro.
Poderíamos usar o SEToolkit para clonar uma página de login no site do WordPress, mas isso pode ser pouco convencional se estiver executando ouvintes de longos períodos usando o PHP de saída do script do WP-Phishing-Maker, podemos armazenar texto simples, bases de dados MySQL, etc. Este método de Phishing exigirá um servidor Web para hospedar os arquivos gerados pelo script.
RequisitosSistema operacional baseado em Linux
WP-Phishing-Maker
WP-Phishing-Maker
Primeiro, baixe o WP-Phishing-Maker.
Você pode fazer o download do WP-Phishing Maker a partir do seguinte local de download.
Antes de tudo, precisamos navegar para o diretório do script usando o comando cd (alterar o diretório).
Por exemplo
cd Desktop / WP-Phishing-Maker
Então, precisamos fazer o script WP-Phishing-Maker bash script, podemos fazer isso usando o comando chmod.
Chmod + x WP-Phishin-Master
Agora, o script bash está pronto para ser executado a partir do mesmo comando de execução do diretório.
Bash WP-Phishing-Maker
Agora, o WP-Phishing-Maker carregou opções de uso 1. Iniciar.
O script solicitará um local de saída, este pode ser qualquer diretório que você gostaria de salvar a página de phishing do WordPress gerada pelo WP-Phisher-Maker. Eu criarei um novo diretório dentro da raiz.
Abra um novo terminal e crie um diretório vazio usando o comando mkdir.
mkdir / teste
O script agora solicitará um site WordPress para clonar como uma página de phishing.
Escolha se o alvo estiver usando HTTP ou HTTPS e pressione Enter quando o script terminar de gerar a página de phishing do WordPress, você verá uma mensagem informando que as páginas foram concluídas e prontas para usar. .
Agora podemos fazer o upload dos arquivos Php gerados pelo WP-Phishing-Maker para um Webhost.
Então, fizemos um clone de um site WordPress que possuímos para fins de teste chamado Iphonegiveaway.co.uk. A idéia desse tipo de ataque de phishing é enganar o administrador do site para fazer login em um falso painel de administração do WordPress.
Nós carregamos os arquivos Php gerados do diretório de saída dos scripts bash para um host compartilhado.
Demo (Não insira qualquer informação pessoal nesta página.)
Em seguida, você poderá coletar credenciais em texto simples e recebê-las do seu diretório de FTP.
Este tutorial é para fins educacionais apenas ataca sites que você possui ou tem permissão para participar.
Obrigado por apoiar Luiz Security
