Capturar correos electrónicos de usuarios que hicieron clic en mi enlace [cerrado]

Navega tus respuestas
1

una pregunta de seguimiento para esto: Seguimiento de clics para la prueba de correo electrónico de phishing en toda la organización

Voy a enviar un correo electrónico (falso phish) a toda mi organización. usuarios por correo electrónico. Quiero probar a los usuarios, así que si hacen clic en un enlace malicioso (falso), su dirección de correo electrónico se enviará a una lista (o recibo una notificación que dice que el usuario X hace clic en su enlace de prueba) el nombre de dominio se registrará / agregará a una lista en algún lugar Puedo agarrar.

Método para capturar la dirección de correo electrónico de los usuarios que hicieron clic en mi enlace en un correo electrónico.

    
pregunta NULL.Dude 06.06.2018 - 18:56
fuente

4 respuestas

1

Dos opciones

  1. Incluya la dirección de correo electrónico en la URL (aloje un servidor en example.com/[email protected], ese servidor extrae los parámetros de URL y escribe en un archivo)

    / li>

  2. Incluya el enlace en el correo electrónico con un ID de seguimiento (example.com/?trackid=1234), y almacene el ID de seguimiento en una base de datos con todos los metadatos.

En pocas palabras, necesita una URL única y una forma de capturar esa URL y asignarla al usuario (o al usuario y al correo electrónico).

    
respondido por el Jonathan 06.06.2018 - 22:26
fuente
5

Usa un enlace como [email protected] .

Puedes usar base64 o cualquier otra codificación para ofuscar la dirección de correo electrónico, pero el principio es el mismo.

    
respondido por el ThoriumBR 06.06.2018 - 19:06
fuente
1

Si está preguntando si puede realizar alguna consulta a través del propio navegador, entonces no.

La forma estándar de lograr esto es incluir una ID única para cada usuario como parte del enlace, de modo que cuando vea / analice las solicitudes en sus registros del servidor, puede identificar de qué usuario proviene la solicitud GET.

Puede hacerlo con una página php, pero también puede hacerlo a través de un bucle netcat (o cualquier servidor web que escuche solicitudes GET).

Entonces, por ejemplo:

email address | uid

[email protected] | 19243856

[email protected] | 54928490

en el servidor: while true; do nc -lvp 4444 | grep GET >> results.txt; done

en el correo electrónico: http://malicious.example.co:4444/phish?id=19243856

en results.txt: GET /phish?id=19243856

Puede automatizar una campaña de phishing completa en un solo script bash (no muy largo), si lo desea, con un par de bucles y un archivo con la lista de direcciones de correo electrónico. : P

    
respondido por el Angelo Schilling 06.06.2018 - 19:10
fuente
1

Probablemente debería buscar en un marco, como Go Phishing que le permite diseñar una campaña, ver tasas de clics y usuarios individuales que hicieron clic , y usuarios que ingresaron credenciales.

Esto hará el trabajo pesado y hará que los análisis sean mucho más fáciles para usted. No hay absolutamente ninguna razón para reinventar la rueda, cuando hay un producto para lo que estás intentando hacer ya disponible.

(No estoy afiliado a Go Phishing de ninguna manera, y el producto es FLOSS)

    
respondido por el vidarlo 06.06.2018 - 19:37
fuente

Lea otras preguntas en las etiquetas

Auditoría del código fuente ¿Cómo prevenir el auto-XSS?