Hacer una camapaña de phishing es interesante pero normalmente solo tienes una oportunidad de hacerlo bien. Si lo haces mal, el usuario estará muy pendiente de las próximas.
Hay muchas herramientas para hacerlo;
- Lucy esta increíble (en teoría pero nunca la he usado) es de paga y cariiiisima
- Metasploit, esta ok, pero igual es de paga. Si la quieren probar hay versión PRO de prueba. Para ser honestos Metasploit es mucho más que solo phishing y su parte de phishing no es la mejor del mundo. No puedes ver las contraseñas fácil.
- Duo es gratis, la más fácil que he visto de usar porque corre en la nube, pero por ende pierdes control y no puedes ver las contraseñas (dicen que no las recopilan)
- King Phisher es una opción open source buena que compite con la que les voy a recomendar hoy.
- Y finalmente Gophish es una maravilla, fácil de instalar, open source, etc. Es la que yo recomiendo. Después de instalarla solo tienes que ir a: https://127.0.0.1:3333 default credentials: admin/gophish
- Las credenciales estan en plaintext. Para capturarlas tienes que hacer click en el “Capture Passwords” checkbox
- Gophish makes it easy to redirect users after they submit credentials. To redirect users, enter a URL in the “Redirect To:” text field that appears after the “Capture Submitted Data” checkbox is selected.Note: Make sure to include the full URL (including the scheme such as http:// or https://)
Los reportes son bonitos
.png?alt=media&token=9632e636-be64-42d9-906d-e783ee984a5a)
Igual puedes ver lo que hizo un usuario en particular:
If you selected the “Capture Credentials” option when building a landing page, Gophish displays the credentials in the results pane. To view them, click the “View Details” dropdown which renders the captured credentials in a table.
