【セキュリティ教育】Kali Linux 2021.1でBlackphishを使用しフィッシング攻撃する

Kali Linux 2021.1でBlackphishを使用しフィッシング攻撃してみます。

Blackphish(https://github.com/iinc0gnit0/BlackPhish)は、ターゲットに対してフィッシング攻撃を行うことができる強力なオープンソースツールです。

なお、サイバーセキュリティ対策や情報セキュリティ教育が目的でツールを利用しますので、悪用・違法行為が目的はございません。ツールを利用することで発生したトラブルや損失、損害(ウイルス感染など)に対して、一切責任を負いません。

■PC環境

Windows 10 Pro

VirtualBox6.1

Kali Linux 2021.1(Debian (64-bit),Python3.9.2)

■Kali Linuxを起動する

クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。

クリックすると、Kali Linuxにログインすることができました。

ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。

$sudo su

起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ(root)権限に切り替えます。

■Blackphishのインストール

#git clone https://github.com/iinc0gnit0/BlackPhish

切り替えた後に、上記のコマンドを入力し、Enterキーを押します。リポジトリをクローンします。

Cloning into 'BlackPhish' ... remote: Enumerating objects: 1715, done. remote: Counting objects: 100% (123/123), done. remote: Compressing objects: 100% (103/103), done. remote: Total 1715 (delta 60), reused 40 (delta 16), pack-reused 1592 Receiving objects: 100% (1715/1715), 19.83 MiB 3.26 MiB/s, done. Resolving deltas: 100% (624/624), done.
#cd BlackPhish

クローン後、上記のコマンドを入力し、Enterキーを押します。「BlackPhish」ディレクトリに移動します。

#./install.sh

移動後、上記のコマンドを入力し、Enterキーを押します。anonym8をインストールします。

Enterキーを押すと、インストールが開始され、しばらくすると、「Is ngrok configured on this machine?」と質問されますので、「y」と入力し、Enterキーを押します。

Enterキーを押すと、「To run , use command: sudo python3 blackphish.py」と出力されますので、これが表示されればインストールは完了となります。

■Blackphishの起動

#python3 blackphish.py

インストール後、上記のコマンドを入力し、Enterキーを押します。Blackphishを起動します。

Enterキーを押すと、「Blackphish」と出力されます。これで起動は完了です。今回はバージョン3.4を使用します。

出力後、「Will you use this responsibly (y/n):これを責任を持って使用しますか(y / n):」を質問されますので、「y」と入力し、Enterキーを押します。今回はセキュリティ教育のために使用します。

Enterキーを押すと、「Instagram,Google,Facebook,Netflix,Twitter,Snapchat」といった項目が出力されますので、フィッシングページを作成したいものを選びます。今回は「Instagram」のフィッシングページを作成してみますので「[Blackphish]→」に「1」と入力し、Enterキーを押します。

Enterキーを押すと、「ngrok(recommended),Localtunnel,Localhost.run,Localhost only」という項目が出力されますので、今回は「3」の「Localhost.run」を選びます。[BlackPhish-Instagram]→3と入力し、Enterキーを押します。

Enterキーを押すと、「URL redirect to:(URLリダイレクト先)」と出力されますので、リダイレクト先を入力し、Enterキーを押します。

If prompt about RSA key, say yes The authenticity of host 'ssh.localhost.run( - )' can't be establi ished. RSA key fingerprint is SHA256:****** Are you sure you want to continue connecting (yes/no/[fingerprint])?

Enterキーを押すと、上記のメッセージが出力されます。出力されますので、「yes」と入力し、Enterキーを押します。

Enterキーを押すと、上記のメッセージが出力されます。

その後、メッセージで出力された「Local:127.0.1.1」というアドレスをコピーし、Webブラウザを起動します。起動後、アドレスバーにコピーしたアドレスを貼り付けます。

貼り付けたあと、アクセスします。アクセスすると、Instagramのフィッシングページが表示されます。表示されたページのログイン画面に、ユーザー名とパスワードを入力し、「Log in」ボタンをクリックします。クリックすると、先ほど入力した「URL redirect to:(URLリダイレクト先)」のリダイレクト先にリダイレクトされます。

リダイレクト後、Blackphishが起動しているターミナルを確認すると、「CREDENTIALS FOUND(認証情報が見つかりました)」と出力され、今回はユーザー名を入力しましたが、メールアドレスを入力した場合は、メールアドレスとパスワードが出力されます。

今回はセキュリティ教育のためにBlackphishを用いましたが、サイバー攻撃者はフィッシングページを簡単に作成し、メールアドレスやパスワードなどの情報を抜き取りますので、怪しいURLなどのページはアクセスしない方が賢明です。