ReelPhish：一种实时双因素钓鱼工具

"社工技术性与双要素认证体制

社会工程学主题活动针对公司而言始终全是挺大的威协，由于这类进攻方式对于的是全部安全性阶段中最基础薄弱的二环：人。在通常的进攻情景中，网络攻击会盗取总体目标客户的账户密码，并储存出来以作事件应用，而双要素身份认证（2FI）或是多要素身份认证（MFA）就是说专做解决这种威协的。

2FI等于在一般的账户密码之中又加了一层层认证体制，最常用的二种2FI是“一次登陆密码”和“消息推送通告”。“一次登陆密码”是由这种一级机器设备转化成的，例如密码生成器，这类机器设备是跟客户关联的。这类登陆密码通常会在40秒到65秒以后到期，而且不能同用。“消息推送通告”必须给客户的移动终端上传确定post请求，客户确定以后便可取得成功登陆。因而，这二种方式能够合理避免传统式的垂钓主题活动。

即时垂钓

尽管安全性权威专家强烈要求本人或商业软件选用2FI，可是这并非这种靠谱的解决方法，由于即时钓鱼技术能够轻轻松松击败2FI。这类钓鱼攻击技术性必须涉及到网络攻击跟总体目标客户中间的即时互交，例如在诈骗网站会提醒客户键入登录名、登陆密码和一次登陆密码，点一下登陆以后会显示信息1个“登陆取得成功”网页页面，可是这一一次登陆密码并沒有被应用，只是发送至了网络攻击手上。这时，网络攻击就会有个十分短的时间窗口并在客户凭据到期以前去应用它了。

许多网络攻击在社工主题活动中都是应用这种技术性，并且距今2007年就早已出現了即时钓鱼攻击了。可是这类种类的进攻在挺大水平上却被大家忽视了，由于这类进攻的执行难度系数十分大。文中的目地就是说让大家更改这类意识，并让大家观念到这一难题，随后激励安全社区去产品研发新的解决方法。

专用工具详细介绍

以便提高社工技术性评定的工作能力，人们产品研发了这款全名是ReelPhish的专用工具，而这个专用工具能够简易演试即时钓鱼技术。该专用工具的关键部件运作在网络攻击的系统软件中，它运作了1个Python脚本制作并即时监视网络攻击所构建的诈骗网站，并应用了Selenium架构来驱动器web端。该专用工具可以操纵网络攻击的web电脑浏览器并浏览特殊web网页页面、跟html语言构造函数互交、及其抓取內容。

ReelPhish的一级部件就是说诈骗网站自身，置入在诈骗网站中的编码能够将捕获的客户凭据发送至网络攻击的机器设备中。当钓鱼工具接到凭据以后，它会应用Selenium来启动浏览器，并在合理合法网址上应用凭据进行登陆。诈骗网站网络服务器跟网络攻击系统软件中间的全部通讯全是根据数据加密SSH信道进行的。

图为显示信息的是ReelPhish的工作内容：

专用工具免费下载

【GitHub编码库】

安裝流程

1.   安裝最新版的Python 2.7.x；

2.   安裝Selenium；

3.   免费下载web伺服驱动器：

ie浏览器-【下载链接】

Firefox-【下载链接】

谷歌浏览-【下载链接】

运作ReelPhish

ReelPhish由两一部分构成：诈骗网站解决编码及其Python脚本制作。诈骗网站能够依据要求设计制作，Python样版编码在GitHub编码库的/examplesitecode文件目录中，样版编码的作用是将账户密码从.com POSTpost请求中获取出去并发给Python垂钓脚本制作。垂钓脚本制作会监视1个当地端口号，并等你包括凭据的数据文件到达。到达以后，垂钓脚本制作会开启1个新的电脑浏览器对话框案例，随后浏览特殊的URL详细地址，并应用电脑浏览器递交搜集到的凭据。

人们提议大伙儿应用反方向SSH信道来解决诈骗网站和Python脚本制作中间的通讯，因而人们的样版Python诈骗网站编码会将凭据递交到localhost:2135。

ReelPhish主要参数

1.   你必需在–browser主要参数中指定你所需应用的电脑浏览器。可适用的电脑浏览器包含InternetExplorer (“–browser ie浏览器”)、Firefox(“–browser FF”)和谷歌浏览 (“–browserChrome”)，适用的电脑操作系统包含Windows和Linux，谷歌浏览的配备较为不便，主要请参照【这篇文本文档】。

2.   你必需特定URL详细地址，脚本制作将会全自动浏览这一URL并递交凭据统计数据。

3.   别的能选的主要参数包含：

-设定用以调节的系统日志主要参数（–loggingdebug），观查并纪录事件日志；

-设定递交主要参数(–submit)来源于界定电脑浏览器的递交原素；

-设定遮盖主要参数(–override)来忽视遗失的表单元素；

-设定网页页面总数主要参数(–numpages)来提升验证网页页面的总数；