PhishX – инструмент для фишинга и перехвата данных учетных записей
PhishX – это инструмент, который написан на языке программирования python, который может перехватывать учетные данные пользователя, используя фишинг-атаку. Для запуска такой атаки требуется некоторая информация о человеке. Поскольку PhishX используется для захвата учетных данных пользователя, инструмент генерирует поддельные страницы и добавляет туда целевую информацию. Страницей делятся с целевыми пользователями. Если пользователи оставляют какие-либо данные на поддельных страницах, информация передается и сохраняется на компьютере хакера. Вот список страниц, которые могут быть использованы (клонированы) для фишинга:
- Facebook.
- Google.
- Twitter.
- Instagram.
- LinkedIn.
- Pinterest.
- Quora.
- Steam.
Все доступные страницы поддерживают мобильную версию, кроме LinkedIn.
Установка PhishX
PhishX работает на операционной системе Kali Linux и Parrot-Sec. Вы также можете установить Kali Linux на Windows 10.
Чтобы установить PhishX, нужно клонировать репозиторий Github, используя следующую команду:
git clone https://github.com/WeebSec/PhishX.git
После клонирования выполните следующие команды для установки инструмента и всех необходимых зависимостей:
cd PhishX
chmod +x installer.sh
bash installer.sh
Запуск и использование PhishX
Для запуска скрипта необходимо выполнить следующую команду:
python3 PhishX.py
Вышеупомянутая команда загружает интерфейс PhishX на котором указаны страницы, которые могут использоваться для фишинга, как показано ниже.
В списке мы можем выбрать любую из нужных нам страниц, например, давайте выберем Google.
Для проведения фишинговой атаки нам необходимо знать, в данном случае:
- электронная почта;
- имя пользователя;
- номер телефона(необязательно);
- местоположение(если известно лучше указать, но не обязательно).
Как только будет предоставлена нужная информация, PhishX сгенерирует ссылку, которой нужно будет поделиться с целью. После того, как человек по ней перейдет вы сможете увидеть всю активность, которая происходит по общей ссылке.
Если пользователь попытается войти в учетную запись Google, учетные данные будут перехвачены инструментом вместе с другой информацией, такой как местоположение пользователя и IP-адрес.
Выводы о скрипте PhishX
Безусловно, скрипт хороший и дает возможность перехватить данные пользователей с помощью фишинговых атак, однако как и любого другого скрипта у него есть недостаток, который пока что исправить никак не получается. URL адрес генерируется далеко не такой, как у настоящей социальной сети, а следовательно, если целевой пользователь хоть немного заботиться о своей безопасности, он увидит ссылку и не будет вводить свои данные. Следовательно, можно сказать, что при должном умении и знании социальной инженерии вы сможете получить всё, что вам нужно, но без навыков убеждения будет сложно заставить кого-то заполнить логин и пароль по внешней ссылке.
Подписывайтесь на обновление сайта, а также на наш Telegram.