SlideShare a Scribd company logo
GOPHISH: CREIAMO UNA
CAMPAGNA DI PHISHING
L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
WHOAMI
+ Phishing Analysis and Contrast @ D3Lab
+ Python Developer
Matteo Flora
+ Team Member @ BackBox Linux
Andrea Draghetti
L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
Il Phishing è un tipo di truffa effettuata su Internet attraverso la
quale un malintenzionato cerca di ingannare la vittima
convincendola a fornire informazioni personali, dati finanziari o
codici di accesso, fingendosi un ente affidabile in una
comunicazione digitale.

{Wikipedia}
PHISHING
L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
STATISTICHE
400000
800000
1200000
1600000
2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019
Number of unique phishing e-mail reports
Number of unique phishing web sites
Fonte: Anti-Phishing Working Group
L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
STATISTICHE ITALIANE
Fonte: D3Lab
L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
2.750
5.500
8.250
11.000
2013 2014 2015 2016 2017 2018 2019
STATISTICHE
Countries targeted by malicious mailings

Fonte: Securelist
L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
ATTACCHI
L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
GOPHISH
L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
Web: https://getgophish.com/
Docs: https://docs.getgophish.com/
GitHub: https://github.com/gophish/gophish
GOPHISH INSTALLAZIONE - UBUNTU SERVER 20.04
L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
# wget https://github.com/gophish/gophish/releases/download/v0.11.0/gophish-v0.11.0-linux-64bit.zip
# unzip gophish-v0.11.0-linux-64bit.zip
# chmod +x gophish
# apt install snapd
# snap install core; snap refresh core
# snap install --classic certbot
# certbot certonly -d {your domain} --manual --preferred-challenges dns
Personalizzare il file config.json con il dominio sfruttato e i certificati SSL generati.
# ./gophish
GOPHISH SIMULAZIONE
L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
Simuliamo una campagna di phishing ai danni dell’utente Mario
il quale giornalmente sfrutta il navigatore del proprio
Smartphone per raggiungere il posto di lavoro.
Con l’intento di dimostragli che può essere una facile vittima
di una campagna di phishing.
⚠ Azione Dimostrativa ⚠
CONCLUSIONE
Photo by NeONBRAND on Unsplash
L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
CONCLUSIONE
L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
This presentation is licensed under a Creative Commons Attribution 4.0 International License.

More Related Content

Similar to Gophish: Simuliamo una campagna di phishing

Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trust
Davide Carboni
 
Rassegna 03 febbraio 2018
Rassegna 03 febbraio 2018Rassegna 03 febbraio 2018
Rassegna 03 febbraio 2018
Fabrizio Paventi - professional trainer
 
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of Trust
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of TrustIl Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of Trust
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of TrustSimone Onofri
 
OSINT su siti web
OSINT su siti webOSINT su siti web
OSINT su siti web
dalchecco
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
walk2talk srl
 
Quando un software è di qualità? - Agile Venture Milano 2020
Quando un software è di qualità? - Agile Venture Milano 2020Quando un software è di qualità? - Agile Venture Milano 2020
Quando un software è di qualità? - Agile Venture Milano 2020
Thomas Rossetto
 
Sicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamSicurezza in rete: Hacking Team
Sicurezza in rete: Hacking Team
NaLUG
 
Approfondimenti settimana 16 febbraio 2018
Approfondimenti settimana 16 febbraio 2018Approfondimenti settimana 16 febbraio 2018
Approfondimenti settimana 16 febbraio 2018
Fabrizio Paventi - professional trainer
 
L'assedio nella rete
L'assedio nella reteL'assedio nella rete
L'assedio nella rete
Elena Prestinice
 
Ugialtnet openid presentation
Ugialtnet openid presentationUgialtnet openid presentation
Ugialtnet openid presentationSamuele Reghenzi
 
Stop Spam in google analytics report
Stop Spam in google analytics reportStop Spam in google analytics report
Stop Spam in google analytics report
E2 Ict Snc
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
raffaele_forte
 
Luxochain Wine and Spirits Brochure
Luxochain Wine and Spirits BrochureLuxochain Wine and Spirits Brochure
Luxochain Wine and Spirits Brochure
DavideBaldi6
 

Similar to Gophish: Simuliamo una campagna di phishing (13)

Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trust
 
Rassegna 03 febbraio 2018
Rassegna 03 febbraio 2018Rassegna 03 febbraio 2018
Rassegna 03 febbraio 2018
 
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of Trust
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of TrustIl Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of Trust
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of Trust
 
OSINT su siti web
OSINT su siti webOSINT su siti web
OSINT su siti web
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
 
Quando un software è di qualità? - Agile Venture Milano 2020
Quando un software è di qualità? - Agile Venture Milano 2020Quando un software è di qualità? - Agile Venture Milano 2020
Quando un software è di qualità? - Agile Venture Milano 2020
 
Sicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamSicurezza in rete: Hacking Team
Sicurezza in rete: Hacking Team
 
Approfondimenti settimana 16 febbraio 2018
Approfondimenti settimana 16 febbraio 2018Approfondimenti settimana 16 febbraio 2018
Approfondimenti settimana 16 febbraio 2018
 
L'assedio nella rete
L'assedio nella reteL'assedio nella rete
L'assedio nella rete
 
Ugialtnet openid presentation
Ugialtnet openid presentationUgialtnet openid presentation
Ugialtnet openid presentation
 
Stop Spam in google analytics report
Stop Spam in google analytics reportStop Spam in google analytics report
Stop Spam in google analytics report
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
 
Luxochain Wine and Spirits Brochure
Luxochain Wine and Spirits BrochureLuxochain Wine and Spirits Brochure
Luxochain Wine and Spirits Brochure
 

More from Andrea Draghetti

Frodi online: Analisi, simulazione e contromisure
Frodi online: Analisi, simulazione e contromisureFrodi online: Analisi, simulazione e contromisure
Frodi online: Analisi, simulazione e contromisure
Andrea Draghetti
 
Phishing: tecniche e strategie di un fenomeno in evoluzione
Phishing: tecniche e strategie di un fenomeno in evoluzionePhishing: tecniche e strategie di un fenomeno in evoluzione
Phishing: tecniche e strategie di un fenomeno in evoluzione
Andrea Draghetti
 
Linux Day Orvieto: Analisi di una email, identifichiamo una minaccia!
Linux Day Orvieto: Analisi di una email, identifichiamo una minaccia!Linux Day Orvieto: Analisi di una email, identifichiamo una minaccia!
Linux Day Orvieto: Analisi di una email, identifichiamo una minaccia!
Andrea Draghetti
 
Let’s spread Phishing and escape the blocklists
Let’s spread Phishing and escape the blocklistsLet’s spread Phishing and escape the blocklists
Let’s spread Phishing and escape the blocklists
Andrea Draghetti
 
NFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaNFC: Tecnologia e Sicurezza
NFC: Tecnologia e Sicurezza
Andrea Draghetti
 
Errori informatici da non commettere nel mondo lavorativo
Errori informatici da non commettere nel mondo lavorativoErrori informatici da non commettere nel mondo lavorativo
Errori informatici da non commettere nel mondo lavorativo
Andrea Draghetti
 
Hacking Lab con ProxMox e Metasploitable
Hacking Lab con ProxMox e MetasploitableHacking Lab con ProxMox e Metasploitable
Hacking Lab con ProxMox e Metasploitable
Andrea Draghetti
 
Phishing: One Shot Many Victims
Phishing: One Shot Many VictimsPhishing: One Shot Many Victims
Phishing: One Shot Many Victims
Andrea Draghetti
 
Phishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisurePhishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e Contromisure
Andrea Draghetti
 
Coding for Hackers - Linux Day 2016
Coding for Hackers - Linux Day 2016Coding for Hackers - Linux Day 2016
Coding for Hackers - Linux Day 2016
Andrea Draghetti
 
BackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFBackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTF
Andrea Draghetti
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration Test
Andrea Draghetti
 
[English] BackBox Linux and Metasploit: A practical demonstration of the Shel...
[English] BackBox Linux and Metasploit: A practical demonstration of the Shel...[English] BackBox Linux and Metasploit: A practical demonstration of the Shel...
[English] BackBox Linux and Metasploit: A practical demonstration of the Shel...
Andrea Draghetti
 
BackBox Linux e Metasploit: Una dimostrazione pratica del shellshock
BackBox Linux e Metasploit: Una dimostrazione pratica del shellshockBackBox Linux e Metasploit: Una dimostrazione pratica del shellshock
BackBox Linux e Metasploit: Una dimostrazione pratica del shellshock
Andrea Draghetti
 
BackBox Linux e SET: Scopriamo il Phishing!
BackBox Linux e SET: Scopriamo il Phishing!BackBox Linux e SET: Scopriamo il Phishing!
BackBox Linux e SET: Scopriamo il Phishing!
Andrea Draghetti
 
BackBox: WiFi Libero? Ti spio!
BackBox: WiFi Libero? Ti spio!BackBox: WiFi Libero? Ti spio!
BackBox: WiFi Libero? Ti spio!
Andrea Draghetti
 
Linux Day 2013 - Attacchi informatici a Smartphone e Tablet via WiFi
Linux Day 2013 - Attacchi informatici a Smartphone e Tablet via WiFiLinux Day 2013 - Attacchi informatici a Smartphone e Tablet via WiFi
Linux Day 2013 - Attacchi informatici a Smartphone e Tablet via WiFi
Andrea Draghetti
 

More from Andrea Draghetti (17)

Frodi online: Analisi, simulazione e contromisure
Frodi online: Analisi, simulazione e contromisureFrodi online: Analisi, simulazione e contromisure
Frodi online: Analisi, simulazione e contromisure
 
Phishing: tecniche e strategie di un fenomeno in evoluzione
Phishing: tecniche e strategie di un fenomeno in evoluzionePhishing: tecniche e strategie di un fenomeno in evoluzione
Phishing: tecniche e strategie di un fenomeno in evoluzione
 
Linux Day Orvieto: Analisi di una email, identifichiamo una minaccia!
Linux Day Orvieto: Analisi di una email, identifichiamo una minaccia!Linux Day Orvieto: Analisi di una email, identifichiamo una minaccia!
Linux Day Orvieto: Analisi di una email, identifichiamo una minaccia!
 
Let’s spread Phishing and escape the blocklists
Let’s spread Phishing and escape the blocklistsLet’s spread Phishing and escape the blocklists
Let’s spread Phishing and escape the blocklists
 
NFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaNFC: Tecnologia e Sicurezza
NFC: Tecnologia e Sicurezza
 
Errori informatici da non commettere nel mondo lavorativo
Errori informatici da non commettere nel mondo lavorativoErrori informatici da non commettere nel mondo lavorativo
Errori informatici da non commettere nel mondo lavorativo
 
Hacking Lab con ProxMox e Metasploitable
Hacking Lab con ProxMox e MetasploitableHacking Lab con ProxMox e Metasploitable
Hacking Lab con ProxMox e Metasploitable
 
Phishing: One Shot Many Victims
Phishing: One Shot Many VictimsPhishing: One Shot Many Victims
Phishing: One Shot Many Victims
 
Phishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisurePhishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e Contromisure
 
Coding for Hackers - Linux Day 2016
Coding for Hackers - Linux Day 2016Coding for Hackers - Linux Day 2016
Coding for Hackers - Linux Day 2016
 
BackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFBackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTF
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration Test
 
[English] BackBox Linux and Metasploit: A practical demonstration of the Shel...
[English] BackBox Linux and Metasploit: A practical demonstration of the Shel...[English] BackBox Linux and Metasploit: A practical demonstration of the Shel...
[English] BackBox Linux and Metasploit: A practical demonstration of the Shel...
 
BackBox Linux e Metasploit: Una dimostrazione pratica del shellshock
BackBox Linux e Metasploit: Una dimostrazione pratica del shellshockBackBox Linux e Metasploit: Una dimostrazione pratica del shellshock
BackBox Linux e Metasploit: Una dimostrazione pratica del shellshock
 
BackBox Linux e SET: Scopriamo il Phishing!
BackBox Linux e SET: Scopriamo il Phishing!BackBox Linux e SET: Scopriamo il Phishing!
BackBox Linux e SET: Scopriamo il Phishing!
 
BackBox: WiFi Libero? Ti spio!
BackBox: WiFi Libero? Ti spio!BackBox: WiFi Libero? Ti spio!
BackBox: WiFi Libero? Ti spio!
 
Linux Day 2013 - Attacchi informatici a Smartphone e Tablet via WiFi
Linux Day 2013 - Attacchi informatici a Smartphone e Tablet via WiFiLinux Day 2013 - Attacchi informatici a Smartphone e Tablet via WiFi
Linux Day 2013 - Attacchi informatici a Smartphone e Tablet via WiFi
 

Gophish: Simuliamo una campagna di phishing

  • 1. GOPHISH: CREIAMO UNA CAMPAGNA DI PHISHING L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
  • 2. WHOAMI + Phishing Analysis and Contrast @ D3Lab + Python Developer Matteo Flora + Team Member @ BackBox Linux Andrea Draghetti L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
  • 3. Il Phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale. {Wikipedia} PHISHING L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
  • 4. STATISTICHE 400000 800000 1200000 1600000 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 Number of unique phishing e-mail reports Number of unique phishing web sites Fonte: Anti-Phishing Working Group L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
  • 5. STATISTICHE ITALIANE Fonte: D3Lab L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I 2.750 5.500 8.250 11.000 2013 2014 2015 2016 2017 2018 2019
  • 6. STATISTICHE Countries targeted by malicious mailings Fonte: Securelist L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
  • 7. ATTACCHI L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
  • 8. GOPHISH L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I Web: https://getgophish.com/ Docs: https://docs.getgophish.com/ GitHub: https://github.com/gophish/gophish
  • 9. GOPHISH INSTALLAZIONE - UBUNTU SERVER 20.04 L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I # wget https://github.com/gophish/gophish/releases/download/v0.11.0/gophish-v0.11.0-linux-64bit.zip # unzip gophish-v0.11.0-linux-64bit.zip # chmod +x gophish # apt install snapd # snap install core; snap refresh core # snap install --classic certbot # certbot certonly -d {your domain} --manual --preferred-challenges dns Personalizzare il file config.json con il dominio sfruttato e i certificati SSL generati. # ./gophish
  • 10. GOPHISH SIMULAZIONE L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I Simuliamo una campagna di phishing ai danni dell’utente Mario il quale giornalmente sfrutta il navigatore del proprio Smartphone per raggiungere il posto di lavoro. Con l’intento di dimostragli che può essere una facile vittima di una campagna di phishing. ⚠ Azione Dimostrativa ⚠
  • 11. CONCLUSIONE Photo by NeONBRAND on Unsplash L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I
  • 12. CONCLUSIONE L I N U X D A Y O N L I N E - 2 4 / 2 5 O T T O B R E 2 0 2 0 - A N D R E A D R A G H E T T I This presentation is licensed under a Creative Commons Attribution 4.0 International License.