Phishing Methodology

Reading time: 22 minutes

Methodology

1. Reconnaître la victime
2. Sélectionner le domaine de la victime.
3. Effectuer une énumération web de base à la recherche de portails de connexion utilisés par la victime et décider lequel vous allez imiter.
4. Utiliser des OSINT pour trouver des emails.
5. Préparer l'environnement
6. Acheter le domaine que vous allez utiliser pour l'évaluation de phishing
7. Configurer le service email et les enregistrements associés (SPF, DMARC, DKIM, rDNS)
8. Configurer le VPS avec gophish
9. Préparer la campagne
10. Préparer le modèle d'email
11. Préparer la page web pour voler les identifiants
12. Lancer la campagne !

Générer des noms de domaine similaires ou acheter un domaine de confiance

Techniques de variation de nom de domaine

• Mot-clé : Le nom de domaine contient un mot-clé important du domaine original (par exemple, zelster.com-management.com).
• sous-domaine hyphéné : Changer le point par un tiret d'un sous-domaine (par exemple, www-zelster.com).
• Nouveau TLD : Même domaine utilisant un nouveau TLD (par exemple, zelster.org)
• Homoglyph : Il remplace une lettre dans le nom de domaine par des lettres qui se ressemblent (par exemple, zelfser.com).

Homograph Attacks

• Transposition : Il échange deux lettres dans le nom de domaine (par exemple, zelsetr.com).
• Singularisation/Pluralisation : Ajoute ou enlève un “s” à la fin du nom de domaine (par exemple, zeltsers.com).
• Omission : Il supprime une des lettres du nom de domaine (par exemple, zelser.com).
• Répétition : Il répète une des lettres dans le nom de domaine (par exemple, zeltsser.com).
• Remplacement : Comme homoglyph mais moins furtif. Il remplace une des lettres dans le nom de domaine, peut-être par une lettre proche de la lettre originale sur le clavier (par exemple, zektser.com).
• Sous-domaine : Introduire un point à l'intérieur du nom de domaine (par exemple, ze.lster.com).
• Insertion : Il insère une lettre dans le nom de domaine (par exemple, zerltser.com).
• Point manquant : Ajouter le TLD au nom de domaine. (par exemple, zelstercom.com)

Outils automatiques

• dnstwist
• urlcrazy

Sites Web

• https://dnstwist.it/
• https://dnstwister.report/
• https://www.internetmarketingninjas.com/tools/free-tools/domain-typo-generator/

Bitflipping

Il y a une possibilité qu'un des bits stockés ou en communication puisse être automatiquement inversé en raison de divers facteurs comme des éruptions solaires, des rayons cosmiques ou des erreurs matérielles.

Lorsque ce concept est appliqué aux requêtes DNS, il est possible que le domaine reçu par le serveur DNS ne soit pas le même que le domaine initialement demandé.

Par exemple, une seule modification de bit dans le domaine "windows.com" peut le changer en "windnws.com."

Les attaquants peuvent profiter de cela en enregistrant plusieurs domaines à inversion de bits qui sont similaires au domaine de la victime. Leur intention est de rediriger les utilisateurs légitimes vers leur propre infrastructure.

Pour plus d'informations, lisez https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/

Acheter un domaine de confiance

Vous pouvez rechercher sur https://www.expireddomains.net/ un domaine expiré que vous pourriez utiliser.
Pour vous assurer que le domaine expiré que vous allez acheter a déjà un bon SEO, vous pouvez vérifier comment il est catégorisé dans :

• http://www.fortiguard.com/webfilter
• https://urlfiltering.paloaltonetworks.com/query/

Découverte d'emails

• https://github.com/laramies/theHarvester (100% gratuit)
• https://phonebook.cz/ (100% gratuit)
• https://maildb.io/
• https://hunter.io/
• https://anymailfinder.com/

Pour découvrir plus d'adresses email valides ou vérifier celles que vous avez déjà découvertes, vous pouvez vérifier si vous pouvez forcer les serveurs smtp de la victime. Apprenez à vérifier/découvrir une adresse email ici.
De plus, n'oubliez pas que si les utilisateurs utilisent un portail web pour accéder à leurs mails, vous pouvez vérifier s'il est vulnérable à la force brute sur le nom d'utilisateur, et exploiter la vulnérabilité si possible.

Configuration de GoPhish

Installation

Vous pouvez le télécharger depuis https://github.com/gophish/gophish/releases/tag/v0.11.0

Téléchargez-le et décompressez-le dans /opt/gophish et exécutez /opt/gophish/gophish
Un mot de passe pour l'utilisateur admin sera donné sur le port 3333 dans la sortie. Par conséquent, accédez à ce port et utilisez ces identifiants pour changer le mot de passe admin. Vous devrez peut-être faire un tunnel de ce port vers local :

ssh -L 3333:127.0.0.1:3333 <user>@<ip>

Configuration

Configuration du certificat TLS

Avant cette étape, vous devez déjà avoir acheté le domaine que vous allez utiliser et il doit pointer vers l'IP du VPS où vous configurez gophish.

DOMAIN="<domain>"
wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
sudo apt install snapd
sudo snap install core
sudo snap refresh core
sudo apt-get remove certbot
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
certbot certonly --standalone -d "$DOMAIN"
mkdir /opt/gophish/ssl_keys
cp "/etc/letsencrypt/live/$DOMAIN/privkey.pem" /opt/gophish/ssl_keys/key.pem
cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt​

Configuration du mail

Commencez par installer : apt-get install postfix

Ajoutez ensuite le domaine aux fichiers suivants :

• /etc/postfix/virtual_domains
• /etc/postfix/transport
• /etc/postfix/virtual_regexp

Changez également les valeurs des variables suivantes dans /etc/postfix/main.cf

myhostname = <domain>
mydestination = $myhostname, <domain>, localhost.com, localhost

Enfin, modifiez les fichiers /etc/hostname et /etc/mailname avec votre nom de domaine et redémarrez votre VPS.

Maintenant, créez un enregistrement DNS A de mail.<domain> pointant vers l'adresse IP du VPS et un enregistrement DNS MX pointant vers mail.<domain>

Maintenant, testons l'envoi d'un email :

apt install mailutils
echo "This is the body of the email" | mail -s "This is the subject line" test@email.com

Configuration de Gophish

Arrêtez l'exécution de gophish et configurons-le.
Modifiez /opt/gophish/config.json comme suit (notez l'utilisation de https) :

{
"admin_server": {
"listen_url": "127.0.0.1:3333",
"use_tls": true,
"cert_path": "gophish_admin.crt",
"key_path": "gophish_admin.key"
},
"phish_server": {
"listen_url": "0.0.0.0:443",
"use_tls": true,
"cert_path": "/opt/gophish/ssl_keys/key.crt",
"key_path": "/opt/gophish/ssl_keys/key.pem"
},
"db_name": "sqlite3",
"db_path": "gophish.db",
"migrations_prefix": "db/db_",
"contact_address": "",
"logging": {
"filename": "",
"level": ""
}
}

Configurer le service gophish

Pour créer le service gophish afin qu'il puisse être démarré automatiquement et géré comme un service, vous pouvez créer le fichier /etc/init.d/gophish avec le contenu suivant :

#!/bin/bash
# /etc/init.d/gophish
# initialization file for stop/start of gophish application server
#
# chkconfig: - 64 36
# description: stops/starts gophish application server
# processname:gophish
# config:/opt/gophish/config.json
# From https://github.com/gophish/gophish/issues/586

# define script variables

processName=Gophish
process=gophish
appDirectory=/opt/gophish
logfile=/var/log/gophish/gophish.log
errfile=/var/log/gophish/gophish.error

start() {
echo 'Starting '${processName}'...'
cd ${appDirectory}
nohup ./$process >>$logfile 2>>$errfile &
sleep 1
}

stop() {
echo 'Stopping '${processName}'...'
pid=$(/bin/pidof ${process})
kill ${pid}
sleep 1
}

status() {
pid=$(/bin/pidof ${process})
if [["$pid" != ""| "$pid" != "" ]]; then
echo ${processName}' is running...'
else
echo ${processName}' is not running...'
fi
}

case $1 in
start|stop|status) "$1" ;;
esac

Terminez de configurer le service et vérifiez-le en faisant :

mkdir /var/log/gophish
chmod +x /etc/init.d/gophish
update-rc.d gophish defaults
#Check the service
service gophish start
service gophish status
ss -l | grep "3333\|443"
service gophish stop

Configurer le serveur de messagerie et le domaine

Attendre & être légitime

Plus un domaine est ancien, moins il est probable qu'il soit considéré comme du spam. Vous devriez donc attendre le plus longtemps possible (au moins 1 semaine) avant l'évaluation de phishing. De plus, si vous mettez en place une page sur un secteur de réputation, la réputation obtenue sera meilleure.

Notez que même si vous devez attendre une semaine, vous pouvez terminer la configuration de tout maintenant.

Configurer l'enregistrement DNS inversé (rDNS)

Définissez un enregistrement rDNS (PTR) qui résout l'adresse IP du VPS au nom de domaine.

Enregistrement Sender Policy Framework (SPF)

Vous devez configurer un enregistrement SPF pour le nouveau domaine. Si vous ne savez pas ce qu'est un enregistrement SPF lisez cette page.

Vous pouvez utiliser https://www.spfwizard.net/ pour générer votre politique SPF (utilisez l'IP de la machine VPS)

Voici le contenu qui doit être défini à l'intérieur d'un enregistrement TXT dans le domaine :

v=spf1 mx a ip4:ip.ip.ip.ip ?all

Enregistrement DMARC (Domain-based Message Authentication, Reporting & Conformance)

Vous devez configurer un enregistrement DMARC pour le nouveau domaine. Si vous ne savez pas ce qu'est un enregistrement DMARC lisez cette page.

Vous devez créer un nouvel enregistrement DNS TXT pointant vers le nom d'hôte _dmarc.<domain> avec le contenu suivant :

v=DMARC1; p=none

DomainKeys Identified Mail (DKIM)

Vous devez configurer un DKIM pour le nouveau domaine. Si vous ne savez pas ce qu'est un enregistrement DMARC lisez cette page.

Ce tutoriel est basé sur : https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy

v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB

Testez votre score de configuration d'email

Vous pouvez le faire en utilisant https://www.mail-tester.com/
Il vous suffit d'accéder à la page et d'envoyer un email à l'adresse qu'ils vous donnent :

echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com

Vous pouvez également vérifier votre configuration email en envoyant un email à check-auth@verifier.port25.com et en lisant la réponse (pour cela, vous devrez ouvrir le port 25 et voir la réponse dans le fichier /var/mail/root si vous envoyez l'email en tant que root).
Vérifiez que vous réussissez tous les tests :

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         pass
Sender-ID check:    pass
SpamAssassin check: ham

Vous pouvez également envoyer un message à un Gmail sous votre contrôle et vérifier les en-têtes de l'email dans votre boîte de réception Gmail, dkim=pass devrait être présent dans le champ d'en-tête Authentication-Results.

Authentication-Results: mx.google.com;
spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
dkim=pass header.i=@example.com;

​Suppression de la liste noire de Spamhouse

La page www.mail-tester.com peut vous indiquer si votre domaine est bloqué par Spamhouse. Vous pouvez demander la suppression de votre domaine/IP à : ​https://www.spamhaus.org/lookup/

Suppression de la liste noire de Microsoft

​​Vous pouvez demander la suppression de votre domaine/IP à https://sender.office.com/.

Créer et lancer une campagne GoPhish

Profil d'envoi

• Définissez un nom pour identifier le profil d'expéditeur
• Décidez de quel compte vous allez envoyer les emails de phishing. Suggestions : noreply, support, servicedesk, salesforce...
• Vous pouvez laisser le nom d'utilisateur et le mot de passe vides, mais assurez-vous de cocher l'option Ignorer les erreurs de certificat

Modèle d'email

• Définissez un nom pour identifier le modèle
• Ensuite, écrivez un sujet (rien d'étrange, juste quelque chose que vous pourriez vous attendre à lire dans un email régulier)
• Assurez-vous d'avoir coché "Ajouter une image de suivi"
• Rédigez le modèle d'email (vous pouvez utiliser des variables comme dans l'exemple suivant) :

<html>
<head>
<title></title>
</head>
<body>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:&quot;Verdana&quot;,sans-serif;color:black">Dear {{.FirstName}} {{.LastName}},</span></p>
<br />
Note: We require all user to login an a very suspicios page before the end of the week, thanks!<br />
<br />
Regards,</span></p>

WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY

<p>{{.Tracker}}</p>
</body>
</html>

Notez que pour augmenter la crédibilité de l'email, il est recommandé d'utiliser une signature d'un email du client. Suggestions :

• Envoyez un email à une adresse inexistante et vérifiez si la réponse contient une signature.
• Recherchez des emails publics comme info@ex.com ou press@ex.com ou public@ex.com et envoyez-leur un email et attendez la réponse.
• Essayez de contacter un email valide découvert et attendez la réponse.

Page de destination

• Écrivez un nom
• Écrivez le code HTML de la page web. Notez que vous pouvez importer des pages web.
• Cochez Capturer les données soumises et Capturer les mots de passe
• Définissez une redirection

Utilisateurs & Groupes

• Définissez un nom
• Importez les données (notez que pour utiliser le modèle pour l'exemple, vous avez besoin du prénom, du nom de famille et de l'adresse email de chaque utilisateur)

Campagne

Enfin, créez une campagne en sélectionnant un nom, le modèle d'email, la page de destination, l'URL, le profil d'envoi et le groupe. Notez que l'URL sera le lien envoyé aux victimes.

Notez que le profil d'envoi permet d'envoyer un email test pour voir à quoi ressemblera le phishing final :

Une fois que tout est prêt, lancez simplement la campagne !

Clonage de site web

Si pour une raison quelconque vous souhaitez cloner le site web, consultez la page suivante :

Clone a Website

Documents & Fichiers avec porte dérobée

Dans certaines évaluations de phishing (principalement pour les Red Teams), vous voudrez également envoyer des fichiers contenant une sorte de porte dérobée (peut-être un C2 ou peut-être juste quelque chose qui déclenchera une authentification).
Consultez la page suivante pour des exemples :

Phishing Files & Documents

Phishing MFA

Via Proxy MitM

L'attaque précédente est assez astucieuse car vous simulez un vrai site web et collectez les informations fournies par l'utilisateur. Malheureusement, si l'utilisateur n'a pas saisi le bon mot de passe ou si l'application que vous avez simulée est configurée avec 2FA, ces informations ne vous permettront pas d'usurper l'identité de l'utilisateur trompé.

C'est là que des outils comme evilginx2, CredSniper et muraena sont utiles. Cet outil vous permettra de générer une attaque de type MitM. En gros, l'attaque fonctionne de la manière suivante :

1. Vous usurpez le formulaire de connexion de la vraie page web.
2. L'utilisateur envoie ses identifiants à votre page factice et l'outil envoie ceux-ci à la vraie page web, vérifiant si les identifiants fonctionnent.
3. Si le compte est configuré avec 2FA, la page MitM demandera cela et une fois que l'utilisateur l'introduit, l'outil l'enverra à la vraie page web.
4. Une fois que l'utilisateur est authentifié, vous (en tant qu'attaquant) aurez capturé les identifiants, le 2FA, le cookie et toute information de chaque interaction pendant que l'outil effectue un MitM.

Via VNC

Que se passerait-il si au lieu de rediriger la victime vers une page malveillante ayant le même aspect que l'originale, vous l'envoyiez vers une session VNC avec un navigateur connecté à la vraie page web ? Vous pourrez voir ce qu'il fait, voler le mot de passe, le MFA utilisé, les cookies...
Vous pouvez faire cela avec EvilnVNC

Détection de la détection

Évidemment, l'un des meilleurs moyens de savoir si vous avez été démasqué est de chercher votre domaine dans les listes noires. S'il apparaît, d'une manière ou d'une autre, votre domaine a été détecté comme suspect.
Un moyen facile de vérifier si votre domaine apparaît dans une liste noire est d'utiliser https://malwareworld.com/

Cependant, il existe d'autres moyens de savoir si la victime cherche activement des activités de phishing suspectes dans la nature, comme expliqué dans :

Detecting Phishing

Vous pouvez acheter un domaine avec un nom très similaire à celui du domaine de la victime et/ou générer un certificat pour un sous-domaine d'un domaine contrôlé par vous contenant le mot-clé du domaine de la victime. Si la victime effectue une sorte d'interaction DNS ou HTTP avec eux, vous saurez qu'elle cherche activement des domaines suspects et vous devrez être très discret.

Évaluer le phishing

Utilisez Phishious pour évaluer si votre email va finir dans le dossier spam ou s'il va être bloqué ou réussi.

Compromission d'identité à fort contact (Réinitialisation MFA du support technique)

Les ensembles d'intrusion modernes contournent de plus en plus complètement les leurres par email et ciblent directement le service d'assistance / le flux de récupération d'identité pour contourner le MFA. L'attaque est entièrement "vivre de la terre" : une fois que l'opérateur possède des identifiants valides, il pivote avec des outils d'administration intégrés – aucun malware n'est requis.

Flux d'attaque

1. Reconnaissance de la victime

• Collectez des détails personnels et d'entreprise à partir de LinkedIn, de violations de données, de GitHub public, etc.
• Identifiez des identités de grande valeur (dirigeants, informatique, finance) et énumérez le processus exact du support technique pour la réinitialisation de mot de passe / MFA.

2. Ingénierie sociale en temps réel

• Appelez, utilisez Teams ou discutez avec le support technique tout en usurpant la cible (souvent avec un ID d'appel falsifié ou une voix clonée).
• Fournissez les PII collectées précédemment pour passer la vérification basée sur les connaissances.
• Convainquez l'agent de réinitialiser le secret MFA ou d'effectuer un échange de carte SIM sur un numéro de mobile enregistré.

3. Actions immédiates après accès (≤60 min dans des cas réels)

• Établissez une prise de contrôle via n'importe quel portail SSO web.
• Énumérez AD / AzureAD avec des outils intégrés (aucun binaire déposé) :

# lister les groupes de répertoire & rôles privilégiés
Get-ADGroup -Filter * -Properties Members | ?{$_.Members -match $env:USERNAME}

# AzureAD / Graph – lister les rôles de répertoire
Get-MgDirectoryRole | ft DisplayName,Id

# Énumérer les appareils sur lesquels le compte peut se connecter
Get-MgUserRegisteredDevice -UserId <user@corp.local>

• Mouvement latéral avec WMI, PsExec, ou des agents RMM légitimes déjà sur liste blanche dans l'environnement.

Détection & Atténuation

• Traitez la récupération d'identité du support technique comme une opération privilégiée – exigez une authentification renforcée et l'approbation d'un manager.
• Déployez des règles de Détection et Réponse aux Menaces d'Identité (ITDR) / UEBA qui alertent sur :
• Méthode MFA changée + authentification depuis un nouvel appareil / géo.
• Élévation immédiate du même principal (utilisateur-→-admin).
• Enregistrez les appels du support technique et imposez un appel de retour à un numéro déjà enregistré avant toute réinitialisation.
• Mettez en œuvre un Accès Juste à Temps (JIT) / Accès Privilégié afin que les comptes nouvellement réinitialisés ne héritent pas automatiquement de jetons à haut privilège.

Tromperie à grande échelle – Poisonnement SEO & Campagnes “ClickFix”

Les équipes de commodité compensent le coût des opérations à fort contact avec des attaques de masse qui transforment les moteurs de recherche et les réseaux publicitaires en canal de livraison.

1. Le poisonnement SEO / malvertising pousse un faux résultat tel que chromium-update[.]site en haut des annonces de recherche.
2. La victime télécharge un petit chargeur de première étape (souvent JS/HTA/ISO). Exemples vus par l'Unité 42 :

• RedLine stealer
• Lumma stealer
• Lampion Trojan

3. Le chargeur exfiltre les cookies du navigateur + les bases de données d'identifiants, puis tire un chargeur silencieux qui décide – en temps réel – s'il faut déployer :

• RAT (par exemple, AsyncRAT, RustDesk)
• ransomware / wiper
• composant de persistance (clé d'exécution du registre + tâche planifiée)

Conseils de durcissement

• Bloquez les domaines nouvellement enregistrés et appliquez un Filtrage DNS / URL Avancé sur les annonces de recherche ainsi que sur les e-mails.
• Restreignez l'installation de logiciels aux packages MSI / Store signés, refusez l'exécution de HTA, ISO, VBS par politique.
• Surveillez les processus enfants des navigateurs ouvrant des installateurs :

- parent_image: /Program Files/Google/Chrome/*
and child_image: *\\*.exe

• Chassez les LOLBins souvent abusés par les chargeurs de première étape (par exemple, regsvr32, curl, mshta).

Opérations de phishing améliorées par l'IA

Les attaquants enchaînent désormais des API LLM & de clonage vocal pour des leurres entièrement personnalisés et une interaction en temps réel.

Défense : • Ajoutez des bannières dynamiques mettant en évidence les messages envoyés par une automatisation non fiable (via des anomalies ARC/DKIM). • Déployez des phrases de défi biométrique vocal pour les demandes téléphoniques à haut risque. • Simulez continuellement des leurres générés par l'IA dans des programmes de sensibilisation – les modèles statiques sont obsolètes.

Fatigue MFA / Variante de Bombardement de Push – Réinitialisation forcée

En plus du bombardement classique par push, les opérateurs forcent simplement un nouvel enregistrement MFA lors de l'appel au support technique, annulant le jeton existant de l'utilisateur. Tout prompt de connexion ultérieur apparaît légitime pour la victime.

[Attacker]  →  Help-Desk:  “I lost my phone while travelling, can you unenrol it so I can add a new authenticator?”
[Help-Desk] →  AzureAD: ‘Delete existing methods’ → sends registration e-mail
[Attacker]  →  Completes new TOTP enrolment on their own device

Surveillez les événements AzureAD/AWS/Okta où deleteMFA + addMFA se produisent dans les minutes suivant la même IP.

Détournement de Presse-papiers / Pastejacking

Les attaquants peuvent silencieusement copier des commandes malveillantes dans le presse-papiers de la victime à partir d'une page web compromise ou de type erreur de frappe, puis tromper l'utilisateur pour qu'il les colle dans Win + R, Win + X ou une fenêtre de terminal, exécutant du code arbitraire sans aucun téléchargement ni pièce jointe.

Clipboard Hijacking

Phishing Mobile & Distribution d'Applications Malveillantes (Android & iOS)

Mobile Phishing Malicious Apps

Références

• https://zeltser.com/domain-name-variations-in-phishing/
• https://0xpatrik.com/phishing-domains/
• https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/
• https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy
• 2025 Unit 42 Global Incident Response Report – Social Engineering Edition