新闻快讯
< >

政府和企业要当心了,PhishLulz高级自动化网络钓鱼工具正式发布

E安全11月21日讯 上周举办的新西兰黑客大会Kiwicon上,意大利网络安全专家Michele Orru发布了一款自动化网络钓鱼工具。这款网络钓鱼工具为网络安全工程师及黑客提供建议如何通过全世界最热门的攻击媒介成功攻击企业和政府。

政府和企业要当心了,PhishLulz高级自动化网络钓鱼工具 - E安全

这款工具被称为“PhishLulz”,Michele Orru根据自己在网络钓鱼方面的专业知识构建了这款基于Ruby的钓鱼工具。“PhishLulz”为每起钓鱼活动生成新Amazon EC2云实例,结合PhishingFrenzy工具的GUI,并使用BeEF浏览器客户端攻击框架。

这款工具还具有自我签名凭证授权,以及黑客可能遇到的新型钓鱼场景模板,今后甚至会具备自动域名注册功能,目前仅限于NameCheap。

总之,黑客使用该工具能从看似合法的域名更快发送更多具说服力的网络钓鱼邮件,收到登录凭证时会立即提醒,并发送漏洞利用获取用户目标配置信息,例如操作系统、浏览器版本和通过BeEF的其它运行软件。

PhishLulz的钓鱼电子邮件专门用来欺骗有辨识能力的目标。不具名的澳大利亚政府机构有40%的员工打开了Michele Orru的钓鱼电子邮件,并在先前的安全测试中给他发送了公司VPN凭证。

该政府机构员工通过钓鱼邮件提供了VPN登录凭证,Michele Orru只花费了两天时间便获取了域名管理员凭证。

Michele Orru透露,“我在波兰,他们在澳大利亚,因此,我必须选取合适的时间发送钓鱼邮件。” PhishLulz VM运行五分钟,五分钟开始修改模板并上传需要的凭证。”

Michele Orru表示,PhishLulz将帮助黑客通过第一时效性敏感获取并利用被盗凭证。管理员撤销之前,攻击者也许将有一小时的时间利用收到的登录凭证。需要尽量自动化,一旦获得凭证,速度就是关键。

他指出,发送钓鱼邮件的最佳时间为早上,或午餐后,员工在这个时间段敏锐度稍弱。很少有员工能识别链接中的点和破折号,也不会识别.co和.com。

Michele Orru表示,大多数钓鱼邮件需要高度定制。除非目标“是个网络白痴”。作为开源倡导者,Michele Orru邀请有兴趣的安全人员和黑客加入该项目。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。