SniperPhish Kit de Herramientas Spear Phishing por Correo Electrónico
SniperPhish Kit de Herramientas Spear Phishing por Correo Electrónico
Hacking
·4 Minutos de lectura

SniperPhish: Kit de Herramientas Spear Phishing por Correo Electrónico

SniperPhish es un kit de herramientas de phishing para pentester o profesionales de la seguridad para mejorar la conciencia de los usuarios mediante la simulación de ataques de phishing del mundo real.

SniperPhish ayuda a combinar tanto los correos electrónicos de phishing como los sitios web de phishing creados para realizar un seguimiento centralizado de las acciones de los usuarios. La herramienta está diseñada con vistas a realizar un ejercicio de phishing profesional y se recuerda que se debe obtener el permiso previo de la organización objetivo para evitar implicaciones legales.

Spear Phishing

El Spear Phishing es una variante del phishing que se dirige a una organización o individuo específico. Aprende más sobre las variantes de Phishing en este artículo.

Tabla de Contenido

Instalación

Requisitos básicos

  • Sistema operativo: Windows o Linux. El soporte de macOS no está verificado.
  • Servidor web: Cualquier servidor web que soporte PHP con un mínimo de v7.3 (bueno, tienes Apache).
  • Base de datos: MySQL

Clona el repo o descarga la última versión

git clone https://github.com/GemGeorge/SniperPhish.git
  • Coloca el contenido en la carpeta raíz de tu web
  • Abre la página de instalación http://localhost/install en tu navegador y sigue los pasos
  • Después de la instalación, SniperPhish redirigirá a la página de inicio de sesión http://localhost/spear

Acceso

Inicio de sesión por defecto – Nombre de usuario: admin Contraseña: sniperphish

Características Principales

  • Generación de código de rastreo web – rastrea las visitas a tu sitio web y los envíos de formularios de forma independiente
  • Rastrea los datos de un sitio web de phishing que contenga cualquier número de páginas
  • Crea y programa campañas de correo de phishing
  • Combina tu sitio de phishing con una campaña de correo electrónico para realizar un seguimiento centralizado
  • Un módulo independiente “Quick Tracker” para el seguimiento rápido de un correo electrónico o una visita a una página web
  • Generación avanzada de informes: genera informes basados en los datos de seguimiento que necesites
  • Campañas de correo con soporte de códigos QR/Bar (tanto local como remotamente incrustados en los correos)
  • Seguimiento de las respuestas a los mensajes de phishing
  • Soporte de correo firmado y encriptado
  • Personalización avanzada de las campañas de correo: lectura de la recepción, correos electrónicos TO/CC/BCC, etc.
  • Control antifuga para los correos electrónicos
  • Soporte de correo electrónico y dominio no ASCII (transcripción Punycode)

Capturas de Pantalla

Panel de control de SniperPhish
Panel de control de SniperPhish

Creación de una Campaña de Correo Web

En resumen, creamos un rastreador web -> añadimos el rastreador web al sitio web de phishing -> creamos una campaña de correo con un enlace que apunte al sitio web de phishing -> iniciamos la campaña de correo.

Crear un rastreador web:

  1. Diseña tu sitio web en tu lenguaje de programación favorito. Asegúrate de proporcionar un valor único de “id” y “name” para los campos HTML como el campo de texto, la casilla de verificación, etc.
  2. Genera un código de rastreador web Web Tracker -> New Tracker  para tu sitio de Phishing, La pestaña “Web Pages” muestra las págonas que deseas rastrear.
    • Para rastrear los datos de envío de formularios, proporciona los valores “id” o “name” de los campos HTML presentes en el formulario de tu sitio de phishing.
    • Repite lo anterior para cada página de tu sitio de phishing que debas rastrear.
  3. Del resultado final, copia el enlace JS generado y colócalo entre las secciones <head> y </head> de cada página del sitio web. Este script JS contiene el código de seguimiento.
  4. Por último, guarda el rastreador creado. Ahora el rastreador está activado y escuchando en segundo plano. La apertura de las páginas de tu sitio de phishing o los envíos de formularios son rastreados.

Creación de una campaña de correo electrónico:

  1. Ve a Email Campaign -> User Group y añade los usuarios objetivo
  2. Ve a Email Campaign -> Sender List y configura los detalles del servidor de correo
  3. Ve a Email Campaign -> Email Template y crea una plantilla de correo. Aquí, puedes enlazar tu sitio web de phishing basado en el rastreador web que creaste. Para ello, haz clic en el menú Insertar del editor de plantillas de correo electrónico y elige Link to Web Tracker. Selecciona tu rastreador web en la ventana emergente e insértalo.
  4. Ahora ve a Email Campaign -> Campaign List -> New Mail Campaign y selecciona/rellena los campos para crear la campaña.
  5. Inicia la campaña de correo

Nota

SniperPhish rastrea tu sitio web de phishing sólo si la página se llama añadiendo el parámetro cid (es decir, ?cid={{CID}}) al final. Por ejemplo, si se abre http://yourphishingsite.com/login?cid=abcd, se rastreará, pero no http://yourphishingsite.com/login. El tercer paso anterior lo hace por defecto.

Ver el resultado combinado del Web-Email

Ve al Web-MailCamp Dashboard -> Select Campaign. . Luego selecciona el rastreador web y la campaña de correo electrónico que creaste.

Resultados de campaña email para SniperPhish
Resultados de campaña email para SniperPhish

Más

Dark Mode

SniperPhish (este enlace se abre en una nueva ventana) por GemGeorge (este enlace se abre en una nueva ventana)

SniperPhish – The Web-Email Spear Phishing Toolkit

11 suscriptores 482 observadores 113 forks Echa un vistazo a este repositorio en GitHub.com (este enlace se abre en una nueva ventana)

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda