PhishLulz - инструмент для автоматизированного проведения фишинговых атак


0-day yazvimostНа проведенной хакерской конференции Kiwicon, один из экспертов в области информационной безопасности представил инструмент для автоматизированного проведения фишинговых кампаний.

PhishLulz - инструмент, предназначенный для использования в тестах на проникновение и лучшего понимания слабых мест в защите компьютерных сетей компаний.

Инструмент написан на языке Ruby, использует облачный хостинг Amazon EC2 для проведения фишинговых кампаний и сочетает в себе функциональность графического пользовательского интерфейса PhishingFrenzy и фреймворка BeEF (Browser Exploitation Framework - инструмент для тестирования на проникновение, ориентированный на web-браузеры).

 

PhishLulz включает собственный Центр сертификации, ряд дополнительных шаблонов для различных сценариев фишинговых атак и возможность автоматической регистрации доменов, которую разработчик пообещал расширить в будущих версиях инструмента.

PhishLulz предоставляет атакующим возможность легко организовывать эффективные фишинговые кампании и составлять вредоносные сообщения, которые должны заинтересовать цель. При открытии жертвой такого сообщения, инструмент немедленно уведомляет об этом злоумышленника. PhishLulz также может внедрять эксплоиты и собирать информацию о пользователе, в том числе данные о версиях ОС, установленных браузеров и сведения об активных приложениях.

В ходе испытания инструмента удалось обмануть 40% сотрудников одной из австралийских правительственных организаций и получить доступ к учетным данным корпоративной сети VPN всего за два дня.


Обновлено (22.11.2016 20:57)