Να θυμάστε: Αυτό το εργαλείο δεν είναι για εκπαιδευτικούς σκοπούς! Η χρήση του UFONet για επίθεση σε στόχους που δεν έχουν συμφωνήσει είναι παράνομη! Είναι ευθύνη του χρήστη αν θα υπακούσει τους τοπικούς, κρατικούς και ομοσπονδιακούς νόμους και όχι του αρθρογράφου. Το UFONet είναι ένα δωρεάν λογισμικό, σχεδιασμένο για να τεστάρει επιθέσεις DDoS ενάντια σε έναν στόχο χρησιμοποιόντας φορείς "Open Redirect" σε εφαρμογές ιστού τρίτων, σαν τα botnet. Χαρακτηριστικά UFONet: Αυτόματη ενημέρωση. Καθαρός κώδικας(χρειάζεται μόνο python-pycurl). Documentation (οδηγοί) με παραδείγματα. Διεπαφή Web/GUI. Σύνδεση στα "zombies" μέσω proxy (π.χ TOR). Αλλαγή στις κεφαλίδες HTTP (User-Agent, Referrer, Host...). Ρύθμιση των αιτημάτων (Timeout, Retries, Delay). Αναζήτηση για "zombies" μέσω του google (με την χρήση κάποιου μοτίβου ή κάποιας λίστας με dorks). Δοκιμή κενών ασφαλείας "Open Redirect" πάνω στα "zombies". Κατέβασμα/Ανέβασμα "zombie" από/στην κοινότητα. Έλεγχος στόχου (μέγεθος αντικειμένου HTML). Επιλογή τοποθεσίας για "bit" στον στόχο (π.χ μεγάλο αρχείο). Έλεγχος αριθμών επίθεσης. Εφαρμογή τεχνικών αποφυγής cache. Υποστήριξη GET/POST. Multithreading. Διάφορα search engines για εύρεση dork. Geomapping / Visual Data (αναπαράσταση δεδομένων). Επιλογή να "δώσεις διαταγή" στα "zombies" να σου επιτεθούν, για benchmarking. [hide] Πρώτα από όλα κατεβάστε το UFONet από το sourceforge με αυτό το link: https://sourceforge.net/projects/ufonet/ Αποσυμπιέστε τον φάκελο, ανοίξτε ένα terminal, μεταφερθείτε στον αποσυμπιεσμένο φάκελο και δείτε όλες τις επιλογές που έχετε με την εντολή ./ufonet -help Τώρα πρέπει να κατεβάσουμε τα "zombies" τα οποία θα χρησιμοποιήσουμε στην επίθεση. Ανοίξτε terminal και γράψτε: ./ufonet -download-zombies Τώρα για να μπούμε στο GUI γράψτε ./ufonet -gui Αυτή η εντολή θα σας ανοίξει ένα παράθυρο φυλλομετρητή με διάφορες επιλογές. Πατήστε το "START MOTHERSHIP". Αυτό θα σας πάει σε μια σελίδα με άλλες επιλογές. Επιλέξτε το "Botnet". Εδώ σας δίνεται η δυνατότητα να κάνετε διάφορες ρυθμίσεις. Πατήστε στο "List Zombies" για να δείτε τα Zombies που θα χρησιμοποιηθούν στην επίθεση. Πατήστε το κουμπί "Attack". Ορίστε το URL ή την IP του στόχου και επιλέξτε όσους γύρους (rounds) χρείαζεστε. Τέλος, πατήστε "Start" ώστε να ξεκινήσει η επίθεση. Όπως βλέπετε ο πρώτος γύρος (round) επιθέσεων ξεκινάει από πολλά "zombies" και ο διακομιστής πέφτει μετά από λίγο. [/hide]

[hide]Καλησπέρα σε όλους σας σε αυτόν τον οδηγό θα αναλύσω ακριβώς τι είναι είναι το Email Spoofing ποια ιδεολογία έχει και για ποιο λόγο εφαρμόζεται σε κάποιον ακόμα και για το πώς μπορείτε να εφαρμόσετε εσείς μια τέτοια επίθεση. Στις μέρες μας πολλοί άνθρωποι συνήθισαν πλέον να έχουν ένα προσωπικό τους Email για να μιλάνε με δικά τ ους πρόσωπα ακόμα και για να έχουν κάποια μέσα κοινωνικά δικτύωσης σκεφτήκατε ποτέ όμως ότι αυτό μπορεί να γίνει και ένα ολοζώντανο σενάριο Ηλεκτρονικής παραβίασης; Όχι φυσικά. Οπότε ας πάμε να το αναλύσουμε όσο ποιο πολύ μπορούμε. Τι είναι ένα Email Spoofing? Ορισμός : Email spoofing είναι η δημιουργία των μηνυμάτων ηλεκτρονικού ταχυδρομείου με πλαστή διεύθυνση αποστολέα. Ουσιαστικά οι spammers ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν Email Spoofing για να ξεγελάσουν τα θύματά τους ώστε να πιστέψουν ότι ο αποστολέας είναι κάποιος, ο οποίος δεν είναι στην ουσία . Ένα παράδειγμα θα ήταν αν κάποιος στείλει ένα μια επίσημη φόρμα στο θύμα τους, ισχυρίζοντας ότι είναι από το Facebook, με σκοπό την κλοπή και παραπλάνηση του ατόμου. Πόσα άτομα πέφτουν στην απάτη αυτή καθημερινά? Μπορώ να σας πω ότι μέσα από την πείρα χρόνων που έχω τα άτομα τα οποία έχουν πέσει θύμα σε αυτές τις επιθέσεις ξεπερνάνε τις χιλιάδες σε παγκόσμια εμβέλεια καθημερινός. Για ποιους λόγους χρησιμοποιείτε το Email Spoofing? 1. Για να τους κάνετε να τρέξουν κάποιο κακόβουλο λογισμικό δικό σας ( Στην περίπτωση μου έκανα τα θύματα να τρέχουν Meterpreters ) 2. Να κάνουν επίσκεψη σε μία σελίδα που θέλετε εσείς ( Λογικά για τα Views Per Click η για να προσαρμόσετε κάποιο Cookie Stealer / Session Hijack ) 3. Να πληροφορήσετε το θύμα σας με εσφαλμένες πληροφορίες ( Π.Χ ότι κάποιος γνωστός τους απεβίωσε για δικούς σας λόγους πάντα ) 4. Ηλεκτρονικό Ψάρεμα / Υποκλοπές Το Email spoofing είναι ένας ισχυρός σύμμαχος, αν χρησιμοποιηθεί σωστά μπορείτε να χειραγωγήσετε όποιον θέλετε. Αυτά είναι τα 4 βασικά στοιχεία που αποτελούν την δομή του Email Spoofing. Ας ξεκινήσουμε λοιπόν στην σύνθεση του. Η γλώσσα PhP είναι μια πολύ δυνατή γλώσσα μέσω αυτής μπορούμε να δημιουργήσουμε έναν απλό τύπου Email Spoofing σε php και να το ανεβάσουμε σε κάποια σελίδα δικιά μας,το θέμα μας εδώ είναι ότι κάθε πράγμα που θα αποστείλουμε μέσω του Script θα πάει κατευθείαν στο Spam Folder λόγο του ότι το gmail έχει παραμέτρους για τέτοια Script και τα φιλτράρει οπότε θα βρούμε μια μέθοδο προσπέλασης ας αρχίσουμε λοιπόν. Θα πρέπει να κάνουμε έναν λογαριασμό αρχικά στο ManDrill από εδώ : Εγγραφή Εδώ! Προτού πάω παρακάτω θα πω τι είναι το ManDrill.Tο ManDrill είναι ένα Web Based Email Spooder που μας επιτρέπει να αποστείλουμε Email χωρίς το φίλτρο να καταλάβει ότι είναι κακόβουλο το Script με αποτέλεσμα να πάει κατευθείαν στο inbox του προορισμό που ορίσαμε. Ας συνεχίσουμε λοιπόν. Μόλις κάνετε τον λογαριασμό θα πάτε στην μπάρα πάνω στην αριστερή πλευρά σας και θα επιλέξετε την επιλογή "OutBound" και θα πατήσετε "Compose Message" για όσους δεν κατάλαβαν που πρέπει να πάτε παραθέτω και μία εικόνα Κάνε Κλικ για να δεις την εικόνα! Αμέσως μετά θα σας λέει να συμπληρώσετε στοιχεία αποστολέα και email ακόμα και το μήνυμα θα σας εξηγήσω τι βάζετε ακριβώς. - Από Email / From Email : Η διεύθυνση ηλεκτρονικού ταχυδρομείου που θέλετε να εμφανίζεται από όπου προήλθε το email π.χ μπορείτε να βάλετε από της αστυνομίας η από όποιον οργανισμό θέλετε. - Για Email / Τo Email : η διεύθυνση ηλεκτρονικού ταχυδρομείου που θέλετε το μήνυμα σύνθεσής σας που πρόκειται να παραδοθεί π.χ στον φίλο σας. - Θέμα / Subject : Εδώ βάζετε καθαρά το Θέμα που θα έχει το μήνυμα π.χ " Facebook Support " - Και το μεγάλο λευκό κείμενο : Είναι για να κάνετε σύνταξη του μηνύματος που θέλετε να στείλετε στο θύμα σας. Παραθέτω μια εικόνα για το πως είναι. Κάνε Κλικ για να δεις την εικόνα! Το ποιο σημαντικό κομμάτι είναι να κάνετε το Email σας να είναι πραγματικό οπότε μην ξεχάσετε να εφαρμόσετε και μερικά HTML Elements τι εννοώ με αυτό; Μπορείτε να πλαστογραφήσετε ένα ολόκληρο μήνυμα που σας στείλανε και να το βάλετε στην φόρμα σας κανονικό περιεχόμενο με αλλαγμένους τους σύνδεσμους. Παραθέτω μια εικόνα. Κάνε Κλικ για να δεις την εικόνα! Μόλις τα έχετε όλα έτοιμα πατήστε " Send / Αποστολή " Το μήνυμα θα έρθει στο θύμα μας μέσα σε μερικά λεπτά και θα είναι στο Inbox του. Παραθέτω εικόνα του τελικού προϊόντος. Κάνε Κλικ για να δεις την Εικόνα 1! Κάνε Κλικ για να δεις την Εικόνα 2! Τελευταίο και καλύτερο από όλα το ManDrill έχει την δυνατότητα να ξέρει πότε ο χρήστης έκανε κλίκ στο Email που το στείλαμε! Οπότε θα είστε ενημερωμένη πάντα αν το έλαβε και αν το διάβασε και δεν έπεσε θύμα.