ReelPhish simplifica a técnica de phishing em tempo real. O componente principal da ferramenta de phishing está projetado para ser executado no sistema do invasor. Consiste em um script Python que escuta dados do site de phishing do invasor e dirige um navegador da Web instalado localmente usando o framework Selenium . A ferramenta é capaz de controlar o navegador da internet do atacante navegando para páginas da web especificadas, interagindo com objetos HTML e raspando o conteúdo.
O componente secundário do ReelPhish reside no próprio site de phishing. O código incorporado no site de phishing envia dados, como o nome de usuário e a senha capturados, à ferramenta de phishing que está sendo executada na máquina do invasor. Uma vez que a ferramenta de phishing recebe informações, ela usa o Selenium para iniciar um navegador e autenticar o site legítimo. Toda a comunicação entre o servidor web de phishing e o sistema do invasor é realizada através de um túnel SSH criptografado.
As vítimas são rastreadas através de tokens de sessão, que estão incluídas em todas as comunicações entre o site de phishing e ReelPhish. Este token permite que a ferramenta de phishing mantenha estados para fluxos de trabalho de autenticação que envolvam várias páginas com desafios exclusivos. Como a ferramenta de phishing é consciente do estado, é capaz de enviar informações da vítima para o legítimo portal de autenticação web e vice-versa.
Etapas de instalação
- A última versão do Python 2.7.x é necessária.
- Instale Selenium, uma dependência necessária para executar os drivers do navegador.
- pip install -r requirements.txt
- Baixe drivers de navegador para todos os navegadores da Web que você planeja usar. Os binários devem ser colocados neste diretório raiz com o seguinte esquema de nomeação.
- Internet Explorer: www.seleniumhq.org/download/
- Faça o download do Internet Explorer Driver Server para Windows IE de 32 bits. Descompacte o arquivo e renomeie o binário para: IEDriver.exe .
- Para que o driver do Internet Explorer funcione, certifique-se de que o modo protegido está desabilitado. No IE11 (Windows de 64 bits), você deve criar a chave de registro"HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Internet Explorer \ Main \ FeatureControl \ FEATURE_BFCACHE". Nesta chave, crie um valor DWORD chamado iexplore.exe e defina o valor como 0.
- Mais informações sobre os requisitos do Internet Explorer podem ser encontradas em www.github.com/SeleniumHQ/selenium/wiki/InternetExplorerDriver
- Firefox: www.github.com/mozilla/geckodriver/releases/
- Baixe o último lançamento do Firefox GeckoDriver para Windows 32 bits. Descompacte o arquivo e renomeie o binário para: FFDriver.exe .
- Em sistemas Linux, baixe a versão Linux do Firefox GeckoDriver e renomeie o binário para: FFDriver.bin . O suporte ao Linux é experimental.
- Gecko Driver tem requisitos especiais. Copie FFDriver.exe para geckodriver.exe e coloque-o em sua variável PATH. Além disso, adicione firefox.exe à sua variável PATH.
- Chrome: https://chromedriver.storage.googleapis.com/index.html?path=2.35/
- Baixe o último lançamento do Google Chrome Driver para Windows 32 bits. Descompacte o arquivo e renomeie o binário para: ChromeDriver.exe .
- Em sistemas Linux, baixe a versão Linux do Chrome Web Driver e renomeie o binário para: ChromeDriver.bin . O suporte ao Linux é experimental.
- Internet Explorer: www.seleniumhq.org/download/
Correndo ReelPhish
O ReelPhish consiste em dois componentes: o código de manipulação do site de phishing e este script. O site de phishing pode ser projetado conforme desejado. O código PHP de exemplo é fornecido em / examplesitecode. O código de exemplo receberá um nome de usuário e uma senha de um pedido HTTP POST e transmiti-lo-á ao script de phishing.
O script de phishing escuta uma porta local e aguarda um pacote de credenciais. Uma vez recebidas as credenciais, o script de phishing irá abrir uma nova instância do navegador web e navegar até o URL desejado (o site real onde você entrará nas credenciais de um usuário). As credenciais serão enviadas pelo navegador da Web.
A maneira recomendada de lidar com a comunicação entre o site de phishing e este script é usando um túnel inverso SSH. É por isso que o exemplo do código PHP phishing do site envia credenciais para localhost: 2135 .
Argumentos ReelPhish
- Você deve especificar o navegador que você usará com o parâmetro --browser. Os navegadores suportados incluem Internet Explorer ("--browser IE"), Firefox ("--browser FF") e Chrome ("--browser Chrome"). Windows e Linux são suportados. O Chrome requer a menor quantidade de etapas de configuração. Consulte as instruções de instalação acima para mais detalhes.
- Você deve especificar o URL. O script irá navegar para este URL e enviar credenciais em seu nome.
- Outros parâmetros opcionais estão disponíveis.
- Defina o parâmetro de log para depurar (--logging debug) para o log de eventos detalhados
- Defina o parâmetro de envio (--submit) para personalizar o elemento que é "clicado" pelo navegador
- Defina o parâmetro de substituição (--override) para ignorar os elementos de formulário perdidos
- Defina o parâmetro numpages (--numpages) para aumentar o número de páginas de autenticação (veja a seção abaixo)
Suporte de autenticação de várias páginas
O ReelPhish suporta múltiplas páginas de autenticação. Por exemplo, em alguns casos, um código de autenticação de dois fatores pode ser solicitado em uma segunda página. Para implementar este recurso, certifique-se de que --numpages esteja definido para o número de páginas de autenticação. Certifique-se também de que o ID da sessão seja devidamente rastreado no seu site de phishing. O ID da sessão é usado para rastrear usuários à medida que eles seguem cada etapa de autenticação.
Em alguns casos, talvez seja necessário esbarrar um conteúdo específico (como um código de desafio) fora de uma página de autenticação específica. O código de comentário comentado é fornecido no ReelPhish.py para executar uma operação de raspagem .
