Herramientas Phishing
Phishing es una técnica que consiste en engañar a las personas para que compartan información como contraseñas y números de tarjetas de crédito, mediante emails o sms.
Herramientas recopiladas por Fran Ramírez https://twitter.com/Sar_Ramirez.
(Busca las herramientas por tu cuenta)
Contents
King Phisher
King Phisher es una herramienta para probar y promover la conciencia de los usuarios mediante la simulación de ataques de phishing en el mundo real. Cuenta con una arquitectura fácil de usar pero muy flexible que permite un control total sobre los correos electrónicos y el contenido del servidor. King Phisher se puede utilizar para ejecutar campañas que van desde un simple entrenamiento de concientización hasta escenarios más complicados en los que se ofrece contenido consciente del usuario para recolectar credenciales.
Fuente: https://github.com/rsmusllp/king-phisher
Wifiphisher
Es un Framework de punto de acceso no autorizado para realizar compromisos de equipos rojos o pruebas de seguridad de Wi-Fi. Con Wifiphisher, los probadores de penetración pueden lograr fácilmente una posición intermedia contra los clientes inalámbricos mediante la realización de ataques de asociación de Wi-Fi dirigidos. Wifiphisher se puede utilizar además para montar ataques de phishing web personalizados por la víctima contra los clientes conectados con el fin de capturar credenciales (por ejemplo, de páginas de inicio de sesión de terceros o claves precompartidas WPA / WPA2) o infectar las estaciones de la víctima con malwares.
Fuente: https://github.com/wifiphisher/wifiphisher
Dnstwist
Encuentra dominios parecidos que los adversarios puedan usar para atacarte. Puede detectar typosquatters, ataques de phishing, fraude y suplantación de marca. Útil como fuente adicional de inteligencia sobre amenazas específicas.
Fuente: https://github.com/elceef/dnstwist
Gophish: Open-Source Phishing Toolkit
Gophish es un kit de herramientas de phishing de código abierto diseñado para empresas y probadores de penetración. Proporciona la capacidad de configurar y ejecutar rápida y fácilmente compromisos de phishing y capacitación en conciencia de seguridad.
Fuente: https://github.com/gophish/gophish
Blackeye
Actualización de ShellPish. con gran numero de plantillas para redes sociales. Dispone de una versión para dispositivos móviles.
CredSniper
Inicie fácilmente un nuevo sitio de phishing completamente presentado con SSL y capture credenciales junto con tokens 2FA utilizando CredSniper. La API proporciona acceso seguro a las credenciales capturadas actualmente que pueden ser consumidas por otras aplicaciones utilizando un token de API generado aleatoriamente.
Fuente: https://github.com/ustayready/CredSniper
Modlishka
Modlishka es un proxy inverso HTTP potente y flexible. Implementa un enfoque completamente nuevo e interesante de manejo del flujo de tráfico HTTP basado en navegador, que permite proxy de forma transparente el tráfico de destino multidominio, tanto TLS como no TLS, en un solo dominio, sin el requisito de instalar ningún certificado adicional en el cliente.
Fuente: https://github.com/drk1wi/Modlishka
Una herramienta de hacking todo en uno que incluye Phishing + Keylogger, Ingeniería social.
Fuente: https://github.com/DarkSecDevelopers/HiddenEye-Legacy
Fuente: https://github.com/Open-Security-Group-OSG/HiddenEyeReborn
Fuente
Como lo prometido es deuda, os dejo por aquí la infografia que he hecho con las que son para mi las mejores herramientas sobre campañas de phising. 👇
¡Espero que os sea de ayuda! pic.twitter.com/Mal0U3nQT4
— Fran Ramírez (@Sar_Ramirez) January 5, 2021