Ataque automatizado via e-mail

beyond
(usa Outra)

Enviado em 16/03/2017 - 11:51h

Caros colegas,
Vamos imaginar uma realidade muito comum, a falta de um IP quente/valido.
João viveu e trabalha em zona rural. Seu acesso a internet é via radio. Sem chance de ter um IP quente. É tipo assim: uma provedora pega o IP quente e roteia via radio um IP frio, para várias antenas. Cada antena, re-roteia para varias casas de uma fazenda. E cada casa rere-roteia para vários dispositivos. A este nível o IP já esta congelado. Só pra da uma idéia de como é complicado, o TRACEROUTE ou TRACERT da 5 saltos até pegar o 1º IP quente.
Anda não conheço todo o potencial do KALI Linux e suas ferramentas, mas até agora, tudo que eu vi em termos de ataque, precisa de presença. Você precisa esta lá, atacando. E precisa de um IP quente.
Alguém conhece como podemos automatizar um ataque por email?
Vou contar no que estou pensando e vocês vão comentando o que é ou não possível de fazer.
O 1º e 2º passo é só engenharia social. Cada um faz a sua. Se não quiser ler, pula para o 3º passo.
Primeiro você tem que disfarçar seu email para ficar parecido com o email de uma empresa que esta solicitando um orçamento. Por exemplo, a coca-cola esta solicitando produtos de limpeza e passa a cotação para empresa limpabrasil. O email do atacante pode ser compras.coco-cola@gmail.com ou coisa do tipo.
2º, O corpo do email tem que fazer jus, deixar parecido com papel timbrado, com cabeçalho, rodapé e marca d’agua. O seu capricho vai fazer a diferença na hora de clicar ou não. E o papo é o mesmo: “Vimos através deste, convidá-los a participar da licitação “2017.03/05 – Produtos de limpeza e similares.” Pedimos que utilizem o nosso sistema orçamentário para uma comparação de preços rápida e objetiva. Para isso clique no link abaixo e entre com seu passaporte da gmail.”
3º, agora vem a automatização. A pois o clique, o navegador tem que abrir com a pagina da coca-cola ao fundo, e na frente tipo um pop-up pedindo o login e senha do gmail.
A pois a digitação e validação do login e senha. O pop-up tem que dizer: “O seu cadastro foi efetuado com sucesso. Para completar a ativação da sua conta, responda este email com código: a parte visível, coloca um código aleatório, qualquer coisa “0123456”. E na parte invisível coloca o login e a senha. Lembrando que se o fundo for da mesma cor da fonte já fica invisível.
Assim a vitima envia para você, por email o login e senha dela.
A ferramenta tem que adaptar o pop-up conforme a situação. Se for hotmail, ou facebook e etc. Eu já vi algo parecido, foi quando o Beef seqüestra o navegador.
Só lembrando que os emails são rastreáveis e de diversas formas.
Bom, gente é isso ai. Vamos discutir e acender idéias!

beyond
(usa Outra)

Enviado em 16/03/2017 - 21:10h

Achei duas video aulas que podem ajudar. Pelo menos para fecebook.
O problema é que não estão funcionando muito bem.
Não carregam a pagina completamente.

https://www.youtube.com/watch?v=uk3QjrgDFf0

https://www.youtube.com/watch?v=Do7CqdKXrCY
Se algem souber como ajudar eu agradeço.

beyond
(usa Outra)

Enviado em 18/03/2017 - 14:44h

Seguinte, a ideia era boa.
Mas o site que hospeda a pagina já limitou meu acesso. pede pra que eu entre em contado.
Segundo: o script já é reconhecido pelo anti-virus como maliciosu.
Então não vai rolar pra mim.
A não ser que chegue um fodão. e bote nos comentaris o o "passo a passo" pra resolver isso.
GENTE, VOLTAMOS A IDEIA ANTERIOS.
COMO FAVER UM EMAIL QUE PEGUE O LOGIN E SENHA DO USUARIO DO EMAIL.

cray
(usa Outra)

Enviado em 18/03/2017 - 21:06h

caro amigo fico com a ideia da engenharia social do começo ao fim mas de um meio muito mais antigo e eficaz
hackar facebook e muito pode consegir em 5 minutos ou em ate dias meses ou ate anos e meio embaracoso quando se trata de senhas sao instavel por a vitima pode alterar ou simplismente ignorar seu email
bom o jeito mais simples que vejo e eficas e descobrir o ip da vitima e lanchar um backdoor no computador ou sequestrar o navegador
e obrigar a vitima a a te dar a senha atravez de fhishing paginas fakes ou ate mesmos links
obrigado tenha uma boa noite mas dificil que pareca eu quebrei meu record em 2m e 50 segundos em uma conta do face
mas claro tudo com a autorizaçao da dona da conta e apenas engenharia social kkkk foi meio que um desafio pra mim
mas consegui