[CS-161]网络钓鱼(phishing)

最新推荐文章于 2024-05-30 22:10:24 发布
最新推荐文章于 2024-05-30 22:10:24 发布
阅读量1.3k 收藏 1
点赞数 1
文章标签: 网络 网络钓鱼 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cplus_ruler/article/details/121997628
版权

[CS-161]网络钓鱼(phishing)


试想你收到了一封邮件,上面显示你的paypal账号已经被封,需要你人工解封,你点击了link,然后到了下面这个界面
在这里插入图片描述
在这里插入图片描述
你点击了confirm My Account Now,然后浏览器将你导入另一个页面
在这里插入图片描述
你输入了邮箱和密码
在这里插入图片描述
确认了你的个人信息后,paypal要求你确认信用卡信息
在这里插入图片描述
你输入了你的信用卡的信息以后,进入到了这个界面
在这里插入图片描述
你看到了网址有个绿色的标记(certificate),觉得很放心,殊不知很可能已经将个人信息泄露给attacker

网络钓鱼(phishing)

欺骗受害者,使受害者给攻击者发个人信息

受骗原因(main vulnerability)

受害者无法区别网站是否是官方网站

检查url

www.pnc.com/webapp/unsec/homepage.var.cn
对于上面这个url.很多人可能认为domain是pnc.com.但是,attacker可以把这一整个作为domain. attacker可以为这个valid domain注册一个HTTPS certificate

相似的字符

在这里插入图片描述
你看到这个苹果网站,是不是觉得这个是苹果官方网站的url.实际上并不是,这里‘.’并不是一个拉丁字符.它实际上来自西里尔字母,他们render的时候是一样的,但是在存贮的时候用的byte并不相同

Homograph attack

创建url,这个url看起来和legitimate url几乎(完全)一模一样

browser in browser attack

就像我之前说的一样,你会检查url前面的绿色的padlock或者其他类似的浏览器保证的security feature.
attacker 可以使用JavaScript模拟出符合上述要求的网站
在这里插入图片描述
实际上,phishing并不能全怪user,因为他们不是网络安全的专家。而且专家也很难做到完全不被这些东西欺骗
在这里插入图片描述

two-factor authentication(双重认证)

用户必须以两种不同的方式证明其身份,然后才能成功进行身份验证

3 main ways

用户知道的内容:密码、安全问题(例如,您的第一只宠物的名字)
用户拥有的东西:他们的手机、他们的电子邮件、他们的安全令牌
用户是什么:指纹,面部ID

使用2FA后,如果attack只知道一个密码,那么他并不能做任何事
但是即便如此,2FA也不是没有办法破解的

破解2FA(relay attack)

attack可以使用Phishing将两个factor都拿到

考虑下面一个场景

双因素身份验证方案

第一个因素:用户的密码(用户知道的东西)
第二个因素:发送到用户手机的代码(用户拥有的东西)

攻击

网络钓鱼网站要求用户输入其密码(第一个因素)
攻击者立即尝试以用户身份登录到实际网站
实际网站向用户发送代码
网络钓鱼网站要求用户输入代码(第二个因素)
攻击者输入代码以用户身份登录

在这里插入图片描述

更强的2FA

使用security key
用法
当用户注册网站时,安全密钥会生成一个新的公钥/私钥对,并将公钥提供给网站
当用户想要登录时,服务器会向安全密钥发送一个随机数
安全密钥对随机数、网站名称(来自浏览器)和密钥 ID 进行签名,并将签名提供给服务器

安全密钥可防止网上诱骗
在网络钓鱼攻击中,安全密钥会生成包含攻击者网站名称的签名(signature),而不是合法的网站名称
不受中relay attack的影响!

Cplus_ruler
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用CobaltStrike制作钓鱼网站
问题很多的小明
08-13 2967
0x01 寻找网站模板 找有登录框的或者你想克隆的网站 0x02 CS克隆网站,并开启输入监听 填写克隆地址,勾选键盘监听 下一步填写VPS公网地址: 然后点击site按钮后,可以查看到钓鱼的服务端口以及状态 0x03访问测试 访问vps的ip以及对应端口 输入测试 查看web日志 看到用户输入账号密码 ...
webkit-blocker-phishing网络钓鱼的WebKit Blocker
02-07
WebKit Blocker是一款专门针对网络钓鱼攻击的工具,它利用WebKit渲染引擎的强大功能,提供了一种有效的方式来检测和阻止恶意网站。网络钓鱼是一种常见的网络犯罪手段,通过伪装成可信赖的实体,如银行、电子商务网站...
CS钓鱼网站实操
wutiangui的博客
05-19 312
使用火狐打开钓鱼网站,设置里选择更多攻击–web开发者工具调出网页代码,选择下图选取页面元素,点击登录,右键编辑。装完后选择内网连接进入,使用给出的用户名和密码登录。首先kali上用以下命令安装phpstudy。编辑替换后上传chaoxing.html。替换里面的onclick为真实点击代码。注意下图路径需先切换到wwwroot下。到kali的phpstudy中。
42-渗透测试工具Cobalt strike-3.CS邮件钓鱼及cs免杀
最新发布
XLbb的博客
05-30 914
LoaderGo软件安装加密 LoaderGo采取的是远程分离加载,我们先对原生shellcode进行加密。 导入shellcode,选择加密方式,这里只写了一种,所以不用选择,直接生成即可。 原邮件连接成功替换成钓鱼连接;照片马也成功发送)。Ladon是一个自动化工具,主要用于快速枚举和测试目标系统上的多个漏洞或弱点。
网络安全入门学习练手——CS伪装钓鱼网站
p36273的博客
05-19 1663
输入账号密码后,点击登录,会自动刷新跳回原来的登录页面,这个可能是CS平台自带的机制,不清楚的还以为是密码不正确导致登录失败呢。这时候就是可以随时监听钓鱼网站,而不用每次都得克隆网址了。Cobalt Strike平台(CS)
CS使用之生成钓鱼网站和生成木马进行后渗透操作
jxy158212的博客
08-16 2133
使用CS生成钓鱼网站、生成木马进行后渗透操作
网络钓鱼网站代码
weixin_34050389的博客
06-29 1766
非常实用的网络钓鱼代码,PAYPAL网站。 转载于:https://blog.51cto.com/tombook/340665
zelda-anti-phishing:Segasec 的反网络钓鱼浏览器扩展
08-03
Zelda Anti-Phishing 浏览器扩展通过阻止这些站点并通知您来防止您与已知的诈骗和网络钓鱼攻击进行交互。 您可以忽略风险并继续访问此站点,或者如果您认为此域被错误地列入黑名单,请告诉我们。 Zelda Anti ...
phishing-frenzy-cookbook:Phishing Frenzy 的自动安装过程
07-10
网络钓鱼狂热食谱使用 Chef 自动安装网络钓鱼狂潮支持的平台Debian 7.0属性钥匙类型描述默认['网络钓鱼狂热食谱']['培根'] 布尔值是否包括培根真的用法网络钓鱼狂热食谱::默认在节点的run_list包含phishing-frenzy-...
social-pay:贝宝网络钓鱼工具
05-09
社会工资贝宝网络钓鱼工具此脚本是与Ngrok一起使用的贝宝网络钓鱼工具。 当一个人登录时,他会记录使用的ID,IP和用户代理。 IP和用户代理写在server / www / ip.txt中ID编写在server / www / fat.txt中#用法:git ...
phishing_catcher:使用Certstream的网络钓鱼捕获器
05-13
网络钓鱼守望者 通过查找通过 API报告给可疑TLS证书颁发,以接近实时的方式捕获可能的网络钓鱼域。 “可疑”发行是指那些域名的得分超过基于配置文件的特定阈值的发行。 这只是一个有效的PoC。 随意贡献和调整代码...
phishing-url-detection:使用LSTM和CNN的网络钓鱼URL检测实施
05-14
仿冒网址检测 使用LSTM和CNN的网络钓鱼URL检测实施
网络钓鱼摘要
02-14
网络钓鱼摘要
网络钓鱼技术实现
03-03
本文分析了网络钓鱼技术的实现方法,介绍了网络钓鱼的准备工具以及钓鱼策略。
Phishing
03-20
Phishing
使用CS-SVM的网络钓鱼电子邮件检测
03-08
使用CS-SVM的网络钓鱼电子邮件检测
cs钓鱼实操
2301_76227305的博客
01-24 1276
CS 是Cobalt Strike的简称,是一款渗透测试的神器,通常称为cs。它分为客户端和服务端,服务端一般都安装再kali上面,而客户端则随意。服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。CobaltStrike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。1.学会CS的安装,在客户机和服务端进行不同的命令操作。
利用cs进行钓鱼攻击(加壳)
qq_36836233的博客
03-04 313
cs攻击
网络钓鱼 phishing
张彤的专栏
01-07 1406
 如果有一天你查看博客时收到了这样的信息:嘿,请查看这篇有关你的有趣博客,那么千万不要点击,这是“网络钓鱼”式攻击手段。点击后,用户将被指向一个虚假的登录页面,并被窃取登录密码。更糟糕的是,有些网银客户还因此被窃取了银行卡账号密码等信息,导致账户中的存款不翼而飞。请看外电的报道:This weekend, Twitter admitted that it is the most rec
上下文驱动的网络钓鱼防御:工作小组与社交网络视角
"这篇研究论文探讨了网络钓鱼易受害性的多层次上下文视图,强调了在防范此类攻击时,单纯依赖个人特征、信息特征和干预措施是不够的,需要引入上下文驱动的理解。作者提出了一个网络钓鱼敏感性模型,该模型结合了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值