Avant de vous lancer dans l’aventure du phishing il vous faudra évidemment une/des pages de phishing. Avant de trouver l’endroit ou trouver votre page, vous devez choisir votre cible. Par exemple Instagram vise déjà une plus grande majorité de personne, mais LinkedIn est remplis de professionnels. Steam concerne les gameurs, et Le Bon Coin ceux qui on de l’argent à dépenser ou des objets à vendre. Pour trouver une page qui vous convient je vous invite à regarder ici : https://instant-hack.to/threads/pack-phishing-pages-the-best.153426/ Il est également possible de créer soit même ses pages de phishing, je n’aborderais pas ça ici étant donné les facilités de trouver la page souhaité sur internet. Cependant, une page récente est nécessaire au bon fonctionnement de votre mission. Une page qui paraît vieille ou obsolète fera moins de victimes, et c’est pas notre but.
II – L’Hebergement et le nom de domaine
Comprenez par le mot « site » : hebergement + nom de domaine C’est une partie très importante du tutoriel.Votre site ne doit pas fermer en 2 jours, c’est pour cela que le choix de votre hebergeur et de votre registrar est très important.
Tout d’abord je vous conseillerais de choisir un hebergeur
offshore, même si dans leurs ToS il est précisé que le phishing est interdis, cela leur permettera à eux de n’avoir aucun problème et donc réduire les chances qu’ils vous en causent à vous.
Choisissez un hébergeur en Inde, Panama ou encore dans
des endroits lointains et peu regardant vis à vis des lois concernant le numérique.
Je vous conseil un hébergeur dont le support n’est pas
forcément le meilleur. Tout simplement parce que si le support ne fais pas attention à se qu’il se passe sur leurs serveurs, votre site peut durer pendant des mois.
Je vous conseil aussi de payer en BTC et de vous inscrire
(et de vous connectez) via un VPN. (No-Logs) Cela évitera un minimum les chances de vous retrouvez.
Choisissez un hébergeur « Abuse Ignored », si un petit
malin remonte à l’IP de votre site (si vous n’utilisez pas de CDN type CloudFlare par exemple) vous serez déjà plus tranquille. Concernant le registrar, c’est un peu la roulette russe. J’ai eu des domaines qui tiennent encore aujourd’hui sur Namecheap et d’autres bannis dessus. Mais je conseil quand même celui la, par rapport à OVH par exemple.
La chance que votre domaine/serveur soit bannis est
grande, les sécurités mises en place par Google et compagnies nous obliges à ré investir dans plusieurs domaines/serveurs.
M’enfin bref, gardez en tête que le plus important dans tout
ça est que vous devez garder votre anonymat.
Si un de vos serveurs/domaines se font sauter, pas de
problème, ré investissez sur le moment même ou même 1 semaine après.
III – Comment utiliser ma page de Phishing ?
Une fois votre serveur Web prêt, des bases en lecture et écriture anglaise/française vous serons demandé concernant l’édition de la page pour la mettre à votre guise. Que cela soit sont design, son langage ou sa modernité.
L’architecture d’une page peut changer d’une page à l’autre,
l’adaptation dans les moyens de l’utiliser est donc primordial. Apprenez les bases en PHP/HTML/CSS (pas forcément savoir écrire, mais plutôt comprendre comment fonctionne le code de la page en question) Concernant celles que je vous ai « donné » en haut, c’est assez simple. Uploadez le dossier de la page en question (ou les fichiers dans l’index de votre site).
Les gens ré apparaiterons sur le vrais site une fois
« connecté » mais ceci est modifiable et je vous invite grandement à le faire (en mettant une page de maintenance par exemple) ceci est faisable en regardant un peu le code d’un des fichiers .PHP de la page, si vous n’y arrivez pas, je vous invite à venir me voir en pv ( et à faire un test de QI par la même occasion ).
Vous pouvez accéder aux mots de passes en allant sur
« votresite.com/votrepage/usernames.txt ». Je conseil grandement aussi de changer le chemin des mdp, cela permetteras de jamais vous faire chopper par un gars qui connais ce genre de page. (et donc qu’il accède aux mdp)
IV – Comment me faire des victimes ?
Le mailing n’est plus un moyen qui fonctionne vraiment.
Je vous conseil de faire plutôt ma technique qui consiste à utilisez un compte piratés pour ensuite partager votre page et ainsi de suites. En Story sur Instagram/Snapchat par exemple. Utilisez un site qui paraît attirant, comme un site de nudes, de shopping avec grosses promos ou des conneries de ce genre. En 24h et avec de 5h de travail je me suis fais plus de 500 comptes. Instagram/Snapchat confondu. La double authentification est facile à bypasser avec du SE, si vous tomber sur celle ci avec un compte qui vous interesse grandement je vous conseil tout simplement d’essayer de changer d’IP. Une IP française (ou du pays du compte) à déjà de plus grandes chances de passer.
Et voilà vous être prêt pour l’aventure du Phishing, un peu
de courage et de travail seront demandés cependant cela rapporte beaucoup.