PhishX – инструмент для фишинга и перехвата данных учетных записей

PhishX – это инструмент, который написан на языке программирования python, который может перехватывать учетные данные пользователя, используя фишинг-атаку. Для запуска такой атаки требуется некоторая информация о человеке. Поскольку PhishX используется для захвата учетных данных пользователя, инструмент генерирует поддельные страницы и добавляет туда целевую информацию. Страницей делятся с целевыми пользователями. Если пользователи оставляют какие-либо данные на поддельных страницах, информация передается и сохраняется на компьютере хакера. Вот список страниц, которые могут быть использованы (клонированы) для фишинга:

1. Facebook.
2. Google.
3. Twitter.
4. Instagram.
5. LinkedIn.
6. Pinterest.
7. Quora.
8. Steam.

Все доступные страницы поддерживают мобильную версию, кроме LinkedIn.

Установка PhishX

PhishX работает на операционной системе Kali Linux и Parrot-Sec. Вы также можете установить Kali Linux на Windows 10.

Чтобы установить PhishX, нужно клонировать репозиторий Github, используя следующую команду:

git clone https://github.com/WeebSec/PhishX.git

После клонирования выполните следующие команды для установки инструмента и всех необходимых зависимостей:

cd PhishX
chmod +x installer.sh
bash installer.sh

Запуск и использование PhishX

Для запуска скрипта необходимо выполнить следующую команду:

python3 PhishX.py

Вышеупомянутая команда загружает интерфейс PhishX на котором указаны страницы, которые могут использоваться для фишинга, как показано ниже.

В списке мы можем выбрать любую из нужных нам страниц, например, давайте выберем Google.

Для проведения фишинговой атаки нам необходимо знать, в данном случае:

• электронная почта;
• имя пользователя;
• номер телефона(необязательно);
• местоположение(если известно лучше указать, но не обязательно).

Как только будет предоставлена нужная информация, PhishX сгенерирует ссылку, которой нужно будет поделиться с целью. После того, как человек по ней перейдет вы сможете увидеть всю активность, которая происходит по общей ссылке.

Если пользователь попытается войти в учетную запись Google, учетные данные будут перехвачены инструментом вместе с другой информацией, такой как местоположение пользователя и IP-адрес.

Выводы о скрипте PhishX

Безусловно, скрипт хороший и дает возможность перехватить данные пользователей с помощью фишинговых атак, однако как и любого другого скрипта у него есть недостаток, который пока что исправить никак не получается. URL адрес генерируется далеко не такой, как у настоящей социальной сети, а следовательно, если целевой пользователь хоть немного заботиться о своей безопасности, он увидит ссылку и не будет вводить свои данные. Следовательно, можно сказать, что при должном умении и знании социальной инженерии вы сможете получить всё, что вам нужно, но без навыков убеждения будет сложно заставить кого-то заполнить логин и пароль по внешней ссылке.

Подписывайтесь на обновление сайта, а также на наш Telegram.