Nesse artigo vamos aprender como realizar um ataque de phishing no Android. Mas para quem não sabe, phishing é a tentativa fraudulenta de obter informações confidenciais como nomes de usuário, senhas e detalhes de cartão de crédito, por meio de disfarce de entidade confiável em uma comunicação eletrônica.
Vamos utilizar o Termux que é um emulador de terminal Android e um aplicativo de ambiente Linux que funciona diretamente, sem necessidade de instalação ou root. O sistema básico mínimo é instalado automaticamente e os pacotes adicionais estão disponíveis usando o gerenciador de pacotes.
Com Termux temos algumas ferramentas que podem ajudá-lo com Pentest no Android. Por exemplo: Aircrack-ng (conjunto de utilitários para teste de segurança Wi-Fi), Hydra (ferramenta de força bruta), Metasploit (ferramenta de testes contra vulnerabilidades conhecidas) ou Nmap.
Para aprender mais técnicas como essa, conheça a nossa plataforma de Treinamentos de Cibersegurança.
Utilizaremos uma ferramenta chamada NEXPHISHER que nos permite automatizar um ataque Phishing.
- Primeiro devemos instalar o Termux no Android, disponível na Play Store.
- Abra o Termux é faça a instalação da ferramenta NEXPHISHER:
apt update
– Atualiza os repositórios.apt install git -y
– Instala o git.git clone git://github.com/htr-tech/NEXPHISHER.git
– Baixa e instala o NEXPHISHER.cd nexphiser
- Agora executamos a ferramenta:
bash setup
bash tmux_setup
bash nexphiser
- Então vamos clonar a página de login de uma rede social, por exemplo: digite 1.
- Escolha a opção “localhostrun”, digite 5.
- Agora para acessar do navegador basta usar o endereço: http://127.0.0.1:4545/
- Quando a vítima colocar o e-mail e senha dela nessa tela de login o nexphiser vai capturar isso em texto puro.
- * Vale lembrar que a vítima deve estar na mesma rede que a sua.