Мастерство фишинга с Evilginx [Breakdev]

Складчина: Мастерство фишинга с Evilginx [Breakdev]

Evilginx Mastery

Язык английский

​

Узнайте все о новейших методах фишинга, в том числе об использовании обратного прокси-сервера для обхода многофакторной аутентификации. Во время участия в red team научитесь мыслить как злоумышленник и станьте мастером фишинга с Evilgenx.
Вы узнаете, как использовать фишинговый фреймворк Evil nginx reverse proxy для запуска собственных продвинутых фишинговых атак, имитирующих фишинг, в обход различных средств защиты, включая многофакторную аутентификацию. Вы узнаете, как защитить своих пользователей от атак с использованием обратного прокси-сервера, а если вы веб-разработчик, то узнаете, как подготовить свой веб-сайт таким образом, чтобы злоумышленникам было намного сложнее фишинговать ваших пользователей. Вы узнаете, как создавать свои собственные фишлеты для Evilginx, и познакомитесь с процессом обхода различных средств защиты от фишинга на стороне клиента.

Ответы на часто задаваемые вопросы:

1) Для кого предназначен этот курс
Этот курс подходит для всех, кто хочет узнать, как проводятся продвинутые фишинговые атаки и как защитить пользователей от фишинга через обратный прокси-сервер.

2) Каковы требования для прохождения этого курса
Студентам необходимо иметь базовые знания о том, как работает всемирная паутина.
Знакомство с протоколом HTTP и JavaScript поможет извлечь максимальную пользу из этого курса.
Все уроки предполагают, что студенты будут использовать Windows 10 или 11, но большинство выполняемых задач также достижимы в операционных системах Linux.

3) Чему я научусь после завершения этого курса
Вы узнаете, как использовать фреймворк обратного прокси-фишинга Evilginx для запуска собственных расширенных атак имитации фишинга, обходя различные защиты, включая многофакторную аутентификацию.
Вы узнаете, как защитить своих пользователей от атак обратного прокси-сервера, а если вы веб-разработчик, вы узнаете, как подготовить свой веб-сайт, чтобы злоумышленникам было намного сложнее фишинговать ваших пользователей.
Вы узнаете, как создавать собственные фишлеты для Evilginx и узнаете мыслительный процесс обхода различных клиентских защит от фишинга.

Содержание

1. Вступление - Немного о фишинге, его истории и о том, что такое фишинг с обратным прокси-сервером.

• Введение
• Эволюция фишинга
• MFA и веб-безопасность
• Кража токена

2. Установка - Здесь мы настроим нашу среду тестирования.

• Введение
• Подготовка среды
• Учебная лаборатория

3.Приступая к работе - Узнайте, как создать свой первый фишлет и впервые использовать Evilginx для самостоятельного фишинга!

• Введение
• Создание фишлета
• Ловля фиша
• Персонализация приманок

4. Продвинутый фишинг - Узнайте о более продвинутых функциях Evilginx и о том, как полностью настроить свои фишинговые кампании.

• Введение
• Замена контента
• Принудительное применение параметров POST
• Обработка JSON и LocalStorage
• Внедрение JavaScript
• Перенаправления целевых страниц
• Массовый приманочный таргетинг
• Проксирование обратного прокси-сервера
• Управление черным списком

5. Улучшение защиты от фишинга - Узнайте о том, как веб-сайты могут защитить своих пользователей от фишинга через обратный прокси. Мы рассмотрим способы обхода таких средств защиты, а также научимся внедрять свои собственные.

• Введение
• Проверка местоположения
• Проверка секретного токена

6. Удаленное развертывание - Узнайте, как развернуть Evilgenx на удаленном сервере и правильно настроить его для использования в ваших фишинговых проектах.

• Введение
• Настройка сервера
• Настройка домена
• Развертывание Evilginx
• Удаленный фишинг
• Постоянство

7. Глубоководный фишинг - Здесь я продемонстрирую, как я подхожу к созданию фишинг-приложений для различных веб-сайтов и как я пытаюсь обойти реализованные средства защиты на стороне клиента.

• Введение
• Okta: преодоление защиты
• Okta: токены сеанса
• Okta: шаблоны фишлетов
• Microsoft 365 Personal
• Microsoft 365 Personal
• Microsoft 365 Enterprise

Спойлер: Оригинал

Learn everything about the latest methods of phishing, using reverse proxying to bypass Multi-Factor Authentication. Learn to think like an attacker, during your red team engagements, and become the master of phishing with Evilginx.

What's new?
The course is constantly receiving new updates!
The latest update added the 50-minute video guide on how to create your own phishlet for MS365.

Frequently asked questions

1) Who is this course for?
This course is suitable for anyone who's willing to learn how advanced phishing attacks are performed and how to protect users from reverse proxy phishing.

2) What are the requirements for undertaking this course?
Students are required to have basic knowledge of how world-wide web works.
Familiarity with HTTP protocol and JavaScript will help a lot to get the most out of this course.
All lessons assume the students will be using Windows 10 or 11, but most of the performed tasks are also achievable on Linux operating systems.

3) What will I learn after completing this course?
You will learn how to use Evilginx reverse proxy phishing framework to launch your own advanced phishing simulation attacks, bypassing various protections, including multi-factor authentication.
You will learn how to protect your users from reverse proxy attacks and if you are a web developer, you will find out how to prepare your website to make it much harder for attackers to phish your users.
You will learn how to create your own phishlets for Evilginx and learn the thought process of bypassing various client-side phishing protections.

Contents

1. Introduction
A bit of background on phishing, its history and what reversy proxy phishing is about.

• Intro
  
• Evolution of Phishing
  
• MFA & Web Security
• Stealing The Token

2. Setup
Here we will set up our testing environment.

• Intro
• Preparing The Environment
• Training Lab

3. Getting Started
Learn how to create your first phishlet and use Evilginx to phish yourself for the first time!

• Intro
  
• Creating a Phishlet
• Catching Phish
• Personalizing Lures

4. Advanced Phishing
Learn about more advanced features of Evilginx and how to fully customize your phishing campaigns.

• Intro
  
• Replacing Content
  
• Forcing POST Parameters
  
• Handling JSON & LocalStorage
  
• JavaScript Injection
• Landing Page Redirectors
• Mass Lure Targeting
• Proxying The Reverse Proxy
  
• Blacklist Management

5. Security Hardening
Learn about how websites can protect their users from reverse proxy phishing. We will explore ways of bypassing such protections and also learning how to implement our own.

• Intro
  
• Location Validation
• Secret Token Validation

6. Remote Deployment
Learn how to deploy Evilginx to remote server and properly set it up for use in your phishing engagements.

• Intro
  
• Set Up Your Server
• Domain Setup
• Deploy Evilginx
  
• Remote Phishing
  
• Persistence

7. Deep Sea Phishing
Here I will demonstrate the process of how I approach the creation of phishlets for different websites and how I attempt to circumvent the implemented client-side protections.

• Intro
  
• Okta: Defeating Protections
  
• Okta: Session Tokens
  
• Okta: Phishlet Templates
  
• Microsoft 365 Personal
• Microsoft 365 Personal
  
• Microsoft 365 Enterprise

Цена 399$
Скрытая ссылка