phishery – Phishing via Basic Authentication

O phishery é uma ferramenta de Phishing que permite capturar as credencias de acesso via Basic Authentication.

Atenção :
Reforçe o trabalho de conscientização na sua empresa para evitar que os usuários informem suas credenciais de acesso em cenários como este.

O uso indevido desta ferramenta é de sua total responsabilidade, sujeita as penas da Lei. 12.737.

01 - Passo

Realize o download do projeto Phishery, em seguida descompacte o arquivo phishery1.0.2linux-amd64.tar.gz, renomeie o diretório phishery1.0.2linux-amd64 e liste os arquivos.

Linux

wget https://github.com/ryhanson/phishery/releases/download/v1.0.2/phishery1.0.2linux-amd64.tar.gz

tar xvf phishery1.0.2linux-amd64.tar.gz

mv phishery1.0.2linux-amd64/ phishery

cd phishery/

ls -l

02 - Passo

Realize uma cópia do arquivo template.dotx para Senhas.dotx, em seguida edite o arquivo settings.json.

Linux

cp template.dotx Senhas.dotx

vim settings.json

03 - Passo

Altere a linha "responseFile" para :

Linux

"responseFile": "Senhas.dotx"

04 - Passo

Execute o script phishery.py.

Linux

./phishery

05 - Passo

Este é o ponto onde os usuários movido pela curiosidade acabam abrindo os arquivos com nomes como : Senhas.dotx, Salarios.dotx, etc... e clicam em Sim para continuar.

06 - Passo

Assim que informa o Usuário e Senha do Computador o arquivo é liberado porém do outro lado o Atacante acaba de capturar a Senha digitada.

07 - Passo

Tela do Atacante :

Outra Abordagem

01 - Passo

Um link pode ser enviado para o Usuário, informando que a Conexão não é segura.

02 - Passo

O Usuário e Senha é solicitado.

03 - Passo

Tela do Atacante :