Phishing Methodik

Reading time: 22 minutes

Methodik

1. Recon the victim
2. Select the victim domain.
3. Führe einige grundlegende Web-Enumeration durch, searching for login portals die vom Opfer genutzt werden, und decide, welches du impersonate wirst.
4. Use some OSINT to find emails.
5. Umgebung vorbereiten
6. Buy the domain die du für die Phishing-Bewertung verwenden wirst
7. Configure the email service zugehörige Einträge (SPF, DMARC, DKIM, rDNS)
8. Konfiguriere den VPS mit gophish
9. Kampagne vorbereiten
10. Bereite die email template vor
11. Bereite die web page vor, um die Zugangsdaten zu stehlen
12. Launch the campaign!

Generate similar domain names or buy a trusted domain

Domain Name Variation Techniques

• Keyword: Der Domainname contains ein wichtiges keyword der Originaldomain (z.B., zelster.com-management.com).
• hypened subdomain: Ersetze den Punkt durch einen Bindestrich einer Subdomain (z.B., www-zelster.com).
• New TLD: Gleiche Domain, andere TLD (z.B., zelster.org)
• Homoglyph: Ersetzt einen Buchstaben im Domainnamen durch ähnlich aussehende Zeichen (z.B., zelfser.com).

Homograph Attacks

• Transposition: Es tauscht zwei Buchstaben innerhalb des Domainnamens aus (z.B., zelsetr.com).
• Singularization/Pluralization: Fügt ein „s“ hinzu oder entfernt es am Ende des Domainnamens (z.B., zeltsers.com).
• Omission: Entfernt einen Buchstaben aus dem Domainnamen (z.B., zelser.com).
• Repetition: Wiederholt einen Buchstaben im Domainnamen (z.B., zeltsser.com).
• Replacement: Ähnlich wie Homoglyph, aber weniger unauffällig. Ersetzt einen Buchstaben im Domainnamen, z. B. durch einen benachbarten Tastaturbuchstaben (z.B., zektser.com).
• Subdomained: Füge einen Punkt in den Domainnamen ein (z.B., ze.lster.com).
• Insertion: Fügt einen Buchstaben in den Domainnamen ein (z.B., zerltser.com).
• Missing dot: Hängt die TLD an den Domainnamen an. (z.B., zelstercom.com)

Automatic Tools

• dnstwist
• urlcrazy

Websites

• https://dnstwist.it/
• https://dnstwister.report/
• https://www.internetmarketingninjas.com/tools/free-tools/domain-typo-generator/

Bitflipping

Es besteht die Möglichkeit, dass einige Bits, die gespeichert sind oder während der Kommunikation übertragen werden, sich automatisch umdrehen (flipped) — z. B. durch Sonnenstürme, kosmische Strahlung oder Hardwarefehler.

Wenn dieses Konzept auf DNS-Anfragen angewendet wird, kann es sein, dass die Domain, die der DNS-Server erhält, nicht mit der ursprünglich angeforderten Domain übereinstimmt.

Zum Beispiel kann eine einzelne Bit-Änderung in der Domain "windows.com" diese in "windnws.com" ändern.

Angreifer können dies ausnutzen, indem sie mehrere bit-flipping Domains registrieren, die der Domain des Opfers ähnlich sind. Ihr Ziel ist es, legitime Nutzer auf ihre Infrastruktur umzuleiten.

Für mehr Informationen siehe https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/

Buy a trusted domain

Du kannst auf https://www.expireddomains.net/ nach einer abgelaufenen Domain suchen, die du verwenden könntest.
Um sicherzustellen, dass die abgelaufene Domain, die du kaufen möchtest, bereits eine gute SEO hat, kannst du prüfen, wie sie in folgenden Services kategorisiert ist:

• http://www.fortiguard.com/webfilter
• https://urlfiltering.paloaltonetworks.com/query/

E-Mails entdecken

• https://github.com/laramies/theHarvester (100% free)
• https://phonebook.cz/ (100% free)
• https://maildb.io/
• https://hunter.io/
• https://anymailfinder.com/

Um mehr gültige E-Mail-Adressen zu entdecken oder die bereits gefundenen Adressen zu verifizieren, kannst du versuchen, sie gegen die SMTP-Server des Opfers zu brute-forcen. Learn how to verify/discover email address here.
Außerdem: Wenn die Nutzer ein Webportal nutzen, um auf ihre Mails zuzugreifen, kannst du prüfen, ob es für username brute force verwundbar ist, und die Schwachstelle ausnutzen, falls möglich.

Konfigurieren von GoPhish

Installation

Du kannst es von https://github.com/gophish/gophish/releases/tag/v0.11.0 herunterladen

Download und entpacke es in /opt/gophish und führe /opt/gophish/gophish aus
Im Output wird dir ein Passwort für den Admin-Benutzer auf Port 3333 angezeigt. Greife daher auf diesen Port zu und verwende diese Anmeldedaten, um das Admin-Passwort zu ändern. Möglicherweise musst du diesen Port lokal tunneln:

ssh -L 3333:127.0.0.1:3333 <user>@<ip>

Konfiguration

TLS certificate configuration

Vor diesem Schritt sollten Sie die Domain bereits gekauft haben, die Sie verwenden werden, und sie muss auf die IP des VPS zeigen, auf dem Sie gophish konfigurieren.

DOMAIN="<domain>"
wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
sudo apt install snapd
sudo snap install core
sudo snap refresh core
sudo apt-get remove certbot
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
certbot certonly --standalone -d "$DOMAIN"
mkdir /opt/gophish/ssl_keys
cp "/etc/letsencrypt/live/$DOMAIN/privkey.pem" /opt/gophish/ssl_keys/key.pem
cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt​

Mail-Konfiguration

Installation starten: apt-get install postfix

Füge dann die Domain zu folgenden Dateien hinzu:

• /etc/postfix/virtual_domains
• /etc/postfix/transport
• /etc/postfix/virtual_regexp

Ändere außerdem die Werte der folgenden Variablen in /etc/postfix/main.cf

myhostname = <domain>
mydestination = $myhostname, <domain>, localhost.com, localhost

Ändere abschließend die Dateien /etc/hostname und /etc/mailname auf deinen Domainnamen und starte deinen VPS neu.

Erstelle nun einen DNS A record für mail.<domain>, der auf die IP-Adresse des VPS zeigt, und einen DNS MX-Eintrag, der auf mail.<domain> zeigt.

Jetzt testen wir das Senden einer E-Mail:

apt install mailutils
echo "This is the body of the email" | mail -s "This is the subject line" test@email.com

Gophish configuration

Beenden Sie die Ausführung von gophish und konfigurieren Sie es.
Ändern Sie /opt/gophish/config.json wie folgt (beachten Sie die Verwendung von https):

{
"admin_server": {
"listen_url": "127.0.0.1:3333",
"use_tls": true,
"cert_path": "gophish_admin.crt",
"key_path": "gophish_admin.key"
},
"phish_server": {
"listen_url": "0.0.0.0:443",
"use_tls": true,
"cert_path": "/opt/gophish/ssl_keys/key.crt",
"key_path": "/opt/gophish/ssl_keys/key.pem"
},
"db_name": "sqlite3",
"db_path": "gophish.db",
"migrations_prefix": "db/db_",
"contact_address": "",
"logging": {
"filename": "",
"level": ""
}
}

Gophish-Dienst konfigurieren

Um den gophish-Dienst zu erstellen, damit er automatisch gestartet und als Dienst verwaltet werden kann, können Sie die Datei /etc/init.d/gophish mit folgendem Inhalt erstellen:

#!/bin/bash
# /etc/init.d/gophish
# initialization file for stop/start of gophish application server
#
# chkconfig: - 64 36
# description: stops/starts gophish application server
# processname:gophish
# config:/opt/gophish/config.json
# From https://github.com/gophish/gophish/issues/586

# define script variables

processName=Gophish
process=gophish
appDirectory=/opt/gophish
logfile=/var/log/gophish/gophish.log
errfile=/var/log/gophish/gophish.error

start() {
echo 'Starting '${processName}'...'
cd ${appDirectory}
nohup ./$process >>$logfile 2>>$errfile &
sleep 1
}

stop() {
echo 'Stopping '${processName}'...'
pid=$(/bin/pidof ${process})
kill ${pid}
sleep 1
}

status() {
pid=$(/bin/pidof ${process})
if [["$pid" != ""| "$pid" != "" ]]; then
echo ${processName}' is running...'
else
echo ${processName}' is not running...'
fi
}

case $1 in
start|stop|status) "$1" ;;
esac

Beende die Konfiguration des Dienstes und prüfe, ob er funktioniert:

mkdir /var/log/gophish
chmod +x /etc/init.d/gophish
update-rc.d gophish defaults
#Check the service
service gophish start
service gophish status
ss -l | grep "3333\|443"
service gophish stop

Konfigurieren des Mailservers und der Domain

Warten & legitim wirken

Je älter eine Domain ist, desto unwahrscheinlicher wird sie als Spam erkannt. Daher sollten Sie so lange wie möglich warten (mindestens 1 Woche) vor der phishing-Bewertung. Außerdem: wenn Sie eine Seite zu einem reputationsstarken Bereich veröffentlichen, wird die erzielte Reputation besser sein.

Beachten Sie, dass Sie, auch wenn Sie eine Woche warten müssen, jetzt bereits alles konfigurieren können.

Reverse DNS (rDNS) Eintrag konfigurieren

Setzen Sie einen rDNS (PTR)-Eintrag, der die IP-Adresse des VPS auf den Domainnamen auflöst.

Sender Policy Framework (SPF)-Eintrag

Sie müssen einen SPF-Eintrag für die neue Domain konfigurieren. Wenn Sie nicht wissen, was ein SPF-Record ist, lesen Sie diese Seite.

Sie können https://www.spfwizard.net/ verwenden, um Ihre SPF-Policy zu generieren (verwenden Sie die IP der VPS-Maschine)

Dies ist der Inhalt, der in einen TXT-Record der Domain gesetzt werden muss:

v=spf1 mx a ip4:ip.ip.ip.ip ?all

Domain-based Message Authentication, Reporting & Conformance (DMARC) Record

Du musst einen DMARC-Eintrag für die neue Domain konfigurieren. Wenn du nicht weißt, was ein DMARC-Eintrag ist read this page.

Du musst einen neuen DNS TXT-Eintrag erstellen, der auf den Hostnamen _dmarc.<domain> zeigt, mit folgendem Inhalt:

v=DMARC1; p=none

DomainKeys Identified Mail (DKIM)

Du musst einen DKIM für die neue Domain konfigurieren. Wenn du nicht weißt, was ein DMARC record ist, lies diese Seite.

Dieses Tutorial basiert auf: https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy

v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB

Test your email configuration score

Das kannst du mit https://www.mail-tester.com/
Rufe einfach die Seite auf und sende eine E-Mail an die Adresse, die sie dir geben:

echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com

Du kannst auch deine E-Mail-Konfiguration überprüfen, indem du eine E-Mail an check-auth@verifier.port25.com sendest und die Antwort liest (dafür musst du Port 25 öffnen und die Antwort in der Datei /var/mail/root nachsehen, wenn du die E-Mail als root sendest).
Prüfe, dass du alle Tests bestehst:

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         pass
Sender-ID check:    pass
SpamAssassin check: ham

Du könntest auch eine Nachricht an ein Gmail-Konto, das du kontrollierst, senden und die email’s headers in deinem Gmail-Posteingang prüfen; dkim=pass sollte im Authentication-Results-Headerfeld vorhanden sein.

Authentication-Results: mx.google.com;
spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
dkim=pass header.i=@example.com;

Entfernen aus der Spamhouse-Blacklist

Die Seite www.mail-tester.com kann anzeigen, ob Ihre Domain von Spamhouse blockiert wird. Sie können die Entfernung Ihrer Domain/IP hier beantragen: ​https://www.spamhaus.org/lookup/

Entfernen aus der Microsoft-Blacklist

Sie können die Entfernung Ihrer Domain/IP hier beantragen: https://sender.office.com/.

Erstellen & Starten einer GoPhish-Kampagne

Absenderprofil

• Wählen Sie einen Namen zur Identifikation des Absenderprofils
• Entscheiden Sie, von welchem Konto Sie die phishing-E-Mails senden werden. Vorschläge: noreply, support, servicedesk, salesforce...
• Sie können Benutzername und Passwort leer lassen, aber stellen Sie sicher, dass die Option "Ignore Certificate Errors" aktiviert ist

E-Mail-Vorlage

• Vergeben Sie einen Namen zur Identifikation der Vorlage
• Schreiben Sie dann einen Betreff (nichts Verdächtiges, einfach etwas, das man in einer normalen E-Mail erwarten würde)
• Stellen Sie sicher, dass "Add Tracking Image" aktiviert ist
• Schreiben Sie die E-Mail-Vorlage (Sie können Variablen wie im folgenden Beispiel verwenden):

<html>
<head>
<title></title>
</head>
<body>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:&quot;Verdana&quot;,sans-serif;color:black">Dear {{.FirstName}} {{.LastName}},</span></p>
<br />
Note: We require all user to login an a very suspicios page before the end of the week, thanks!<br />
<br />
Regards,</span></p>

WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY

<p>{{.Tracker}}</p>
</body>
</html>

Beachte, dass um die Glaubwürdigkeit der E‑Mail zu erhöhen, es empfohlen wird, eine Signatur aus einer E‑Mail des Kunden zu verwenden. Vorschläge:

• Sende eine E‑Mail an eine nicht existierende Adresse und prüfe, ob die Antwort eine Signatur enthält.
• Suche nach öffentlichen E‑Mails wie info@ex.com oder press@ex.com oder public@ex.com und sende ihnen eine E‑Mail und warte auf die Antwort.
• Versuche, eine gefundene gültige E‑Mail‑Adresse zu kontaktieren und warte auf die Antwort.

Landing-Page

• Schreibe einen Namen
• Schreibe den HTML‑Code der Webseite. Beachte, dass du Webseiten importieren kannst.
• Markiere Capture Submitted Data und Capture Passwords
• Setze eine redirection

Benutzer & Gruppen

• Vergib einen Namen
• Importiere die Daten (beachte: um die Vorlage für das Beispiel zu verwenden, benötigst du Vorname, Nachname und E‑Mail‑Adresse jedes Nutzers)

Kampagne

Erstelle abschließend eine Kampagne, indem du einen Namen, die Email‑Template, die Landing‑Page, die URL, das Sending Profile und die Gruppe auswählst. Beachte, dass die URL der Link ist, der an die Opfer gesendet wird.

Beachte, dass das Sending Profile erlaubt, eine Test‑E‑Mail zu senden, um zu sehen, wie die finale Phishing‑E‑Mail aussieht:

Sobald alles bereit ist, starte einfach die Kampagne!

Website klonen

Wenn du aus irgendeinem Grund die Website klonen möchtest, siehe die folgende Seite:

Clone a Website

Dokumente & Dateien mit Backdoor

Bei manchen Phishing‑Assessments (hauptsächlich für Red Teams) möchtest du möglicherweise auch Dateien mit einer Backdoor versenden (z. B. ein C2 oder etwas, das eine Authentifizierung auslöst).
Sieh dir die folgende Seite für einige Beispiele an:

Phishing Files & Documents

Phishing MFA

Via Proxy MitM

Der vorherige Angriff ist recht clever, da du eine echte Webseite nachahmst und die vom Nutzer eingegebenen Informationen sammelt. Leider, wenn der Nutzer das falsche Passwort eingibt oder die von dir gefälschte Anwendung mit 2FA konfiguriert ist, ermöglichen diese Informationen dir nicht, das getäuschte Konto zu übernehmen.

Hier kommen Tools wie evilginx2, CredSniper und muraena ins Spiel. Diese Tools erlauben dir, einen MitM‑ähnlichen Angriff zu erzeugen. Im Grunde funktioniert der Angriff wie folgt:

1. Du imitationierst das Login‑Formular der echten Webseite.
2. Der Nutzer sendet seine credentials an deine gefälschte Seite und das Tool leitet diese an die echte Webseite weiter, um zu prüfen, ob die credentials funktionieren.
3. Wenn das Konto mit 2FA konfiguriert ist, fragt die MitM‑Seite danach, und sobald der Nutzer diese eingibt, sendet das Tool sie an die echte Webseite.
4. Sobald der Nutzer authentifiziert ist, hast du (als Angreifer) credentials, die 2FA, den Cookie und alle Interaktionen erfasst, während das Tool als MitM agiert.

Via VNC

Was, wenn du statt den Nutzer auf eine bösartige Seite mit identischem Aussehen zu schicken, ihn in eine VNC‑Session mit einem Browser, der zur echten Webseite verbunden ist, bringst? Du kannst sehen, was er tut, das Passwort stehlen, die verwendete MFA, die Cookies ...
Das geht z. B. mit EvilnVNC

Erkennen, ob du entdeckt wurdest

Offensichtlich ist eine der besten Möglichkeiten herauszufinden, ob du auffliegen bist, deine Domain in Blacklists zu suchen. Wenn sie gelistet ist, wurde deine Domain als verdächtig erkannt.
Eine einfache Möglichkeit, zu prüfen, ob deine Domain in einer Blacklist auftaucht, ist die Nutzung von https://malwareworld.com/

Es gibt jedoch weitere Wege, um herauszufinden, ob das Opfer aktiv nach verdächtigen Phishing‑Aktivitäten im Netz sucht, wie in:

Detecting Phishing

Du kannst eine Domain mit einem sehr ähnlichen Namen wie die des Opfers kaufen und/oder ein Zertifikat für eine Subdomain einer von dir kontrollierten Domain erzeugen, die das Schlüsselwort der Domain des Opfers enthält. Wenn das Opfer irgendeine Art von DNS‑ oder HTTP‑Interaktion mit diesen Domains durchführt, weißt du, dass es aktiv nach verdächtigen Domains sucht und du sehr stealth arbeiten musst.

Phishing bewerten

Nutze Phishious , um zu bewerten, ob deine E‑Mail im Spam‑Ordner landet, blockiert wird oder erfolgreich ist.

High-Touch Identity Compromise (Help-Desk MFA Reset)

Modernere Intrusion‑Sets überspringen zunehmend E‑Mail‑Köder und zielen direkt auf den Service‑Desk / Identity‑Recovery‑Workflow ab, um MFA zu umgehen. Der Angriff ist vollständig "living‑off‑the‑land": Sobald der Operator gültige credentials besitzt, pivotiert er mit eingebauten Admin‑Tools – keine Malware ist erforderlich.

Angriffsablauf

1. Recon des Opfers

• Sammle persönliche und firmenbezogene Details von LinkedIn, data breaches, public GitHub etc.
• Identifiziere hochrangige Identitäten (Executives, IT, Finance) und ermittle den genauen Help‑Desk‑Prozess für Passwort‑/MFA‑Resets.

2. Social Engineering in Echtzeit

• Rufe den Help‑Desk an, kontaktiere ihn per Teams oder Chat und gib dich als Zielperson aus (oft mit gespoofter Caller‑ID oder geklonter Stimme).
• Gib die zuvor gesammelten PII an, um die wissensbasierte Verifizierung zu bestehen.
• Überzeuge den Agenten, das MFA‑Secret zurückzusetzen oder einen SIM‑Swap für eine registrierte Mobilnummer durchzuführen.

3. Sofortige Post‑Access‑Aktionen (≤60 min in echten Fällen)

• Etabliere einen Footprint über ein beliebiges Web‑SSO‑Portal.
• Enumeriere AD / AzureAD mit eingebauten Tools (keine Binaries ablegen):

# list directory groups & privileged roles
Get-ADGroup -Filter * -Properties Members | ?{$_.Members -match $env:USERNAME}

# AzureAD / Graph – list directory roles
Get-MgDirectoryRole | ft DisplayName,Id

# Enumerate devices the account can login to
Get-MgUserRegisteredDevice -UserId <user@corp.local>

• Laterale Bewegung mit WMI, PsExec oder legitimen RMM‑Agents, die bereits in der Umgebung whitelisted sind.

Detection & Mitigation

• Behandle Help‑Desk Identity‑Recovery als eine privilegierte Operation – erfordere step‑up Auth & Manager‑Freigabe.
• Setze Identity Threat Detection & Response (ITDR) / UEBA‑Regeln ein, die alarmieren bei:
• MFA‑Methode geändert + Authentifizierung von neuem Gerät / Geo.
• Sofortige Erhöhung desselben Prinzips (User → Admin).
• Nimm Help‑Desk‑Anrufe auf und erzwinge einen Rückruf an eine bereits registrierte Nummer, bevor ein Reset durchgeführt wird.
• Implementiere Just‑In‑Time (JIT) / Privileged Access, sodass neu zurückgesetzte Accounts nicht automatisch hochprivilegierte Tokens erhalten.

At‑Scale Deception – SEO Poisoning & “ClickFix”‑Kampagnen

Commodity‑Crews kompensieren die Kosten für High‑Touch‑Operationen mit Massenangriffen, die Suchmaschinen & Werbenetzwerke als Lieferkanal nutzen.

1. SEO poisoning / malvertising schiebt ein gefälschtes Ergebnis wie chromium-update[.]site an die Spitze der Suchanzeigen.
2. Das Opfer lädt einen kleinen First‑Stage‑Loader herunter (oft JS/HTA/ISO). Beispiele, die Unit 42 gesehen hat:

• RedLine stealer
• Lumma stealer
• Lampion Trojan

3. Der Loader exfiltriert Browser‑Cookies + credential‑DBs und lädt dann einen silent loader, der in Echtzeit entscheidet, ob er deployt:

• RAT (z. B. AsyncRAT, RustDesk)
• ransomware / wiper
• persistence component (Registry Run‑Key + Scheduled Task)

Hardening‑Tipps

• Blockiere neu registrierte Domains & erzwinge Advanced DNS / URL Filtering für Such‑Ads sowie E‑Mail.
• Beschränke Software‑Installation auf signierte MSI / Store‑Pakete, verbiete die Ausführung von HTA, ISO, VBS per Richtlinie.
• Überwache Child‑Prozesse von Browsern, die Installer öffnen:

- parent_image: /Program Files/Google/Chrome/*
and child_image: *\\*.exe

• Suche nach häufig von First‑Stage‑Loadern missbrauchten LOLBins (z. B. regsvr32, curl, mshta).

AI‑unterstützte Phishing‑Operationen

Angreifer verketten jetzt LLM & voice‑clone APIs für vollständig personalisierte Köder und Echtzeit‑Interaktion.

Verteidigung: • Füge dynamische Banner ein, die Nachrichten hervorheben, die von untrusted Automation gesendet wurden (via ARC/DKIM‑Anomalien).
• Setze Voice‑Biometric Challenge Phrases für risikoreiche Telefonanfragen ein.
• Simuliere kontinuierlich AI‑generierte Köder in Awareness‑Programmen – statische Templates sind veraltet.

Siehe auch – agentic browsing abuse for credential phishing:

Ai Agent Mode Phishing Abusing Hosted Agent Browsers

Siehe auch – AI agent abuse of local CLI tools and MCP (for secrets inventory and detection):

Ai Agent Abuse Local Ai Cli Tools And Mcp

MFA Fatigue / Push Bombing Variant – Forced Reset

Neben klassischem Push‑Bombing erzwingen Operatoren einfach eine neue MFA‑Registrierung während des Help‑Desk‑Anrufs und machen damit das bestehende Token des Nutzers ungültig. Jeder anschließende Login‑Prompt erscheint für das Opfer legitim.

[Attacker]  →  Help-Desk:  “I lost my phone while travelling, can you unenrol it so I can add a new authenticator?”
[Help-Desk] →  AzureAD: ‘Delete existing methods’ → sends registration e-mail
[Attacker]  →  Completes new TOTP enrolment on their own device

Überwache AzureAD/AWS/Okta-Ereignisse, bei denen deleteMFA + addMFA innerhalb weniger Minuten von derselben IP auftreten.

Clipboard Hijacking / Pastejacking

Angreifer können heimlich bösartige Befehle in die Zwischenablage des Opfers von einer compromised oder typosquatted web page kopieren und dann den Benutzer dazu bringen, sie in Win + R, Win + X oder ein terminal window einzufügen, wodurch beliebiger Code ausgeführt wird, ohne dass ein Download oder Anhang nötig ist.

Clipboard Hijacking

Mobile Phishing & Malicious App Distribution (Android & iOS)

Mobile Phishing Malicious Apps

Mobile‑gated phishing, um crawlers/sandboxes zu umgehen

Operatoren stellen ihre phishing flows zunehmend hinter eine einfache Geräteprüfung, sodass desktop crawlers niemals die finalen Seiten erreichen. Ein übliches Muster ist ein kleines Script, das für einen touch-capable DOM testet und das Ergebnis an ein server endpoint postet; non‑mobile clients erhalten HTTP 500 (oder eine leere Seite), während mobile users den vollständigen Flow serviert bekommen.

Minimal client snippet (typische Logik):

<script src="/static/detect_device.js"></script>

detect_device.js Logik (vereinfacht):

const isMobile = ('ontouchstart' in document.documentElement);
fetch('/detect', {method:'POST', headers:{'Content-Type':'application/json'}, body: JSON.stringify({is_mobile:isMobile})})
.then(()=>location.reload());

Häufig beobachtetes Serververhalten:

• Setzt beim ersten Laden ein Session-Cookie.
• Akzeptiert POST /detect {"is_mobile":true|false}.
• Gibt bei nachfolgenden GETs einen 500-Fehler (oder Platzhalter) zurück, wenn is_mobile=false; liefert Phishing nur, wenn true.

Hunting- und Erkennungsheuristiken:

• urlscan-Abfrage: filename:"detect_device.js" AND page.status:500
• Web-Telemetrie: Sequenz von GET /static/detect_device.js → POST /detect → HTTP 500 für Nicht‑mobile; legitime mobile Opferpfade liefern 200 mit nachfolgendem HTML/JS.
• Seiten blockieren oder genauer prüfen, die Inhalte ausschließlich anhand von ontouchstart oder ähnlichen Gerätechecks abhängig machen.

Schutzmaßnahmen:

• Crawler mit mobil-ähnlichen Fingerprints und aktiviertem JS ausführen, um zugangsbeschränkte Inhalte aufzudecken.
• Alarm bei verdächtigen 500-Antworten nach POST /detect für neu registrierte Domains.

Referenzen

• https://zeltser.com/domain-name-variations-in-phishing/
• https://0xpatrik.com/phishing-domains/
• https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/
• https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy
• 2025 Unit 42 Global Incident Response Report – Social Engineering Edition
• Silent Smishing – mobile-gated phishing infra and heuristics (Sekoia.io)