Acquisisci e-mail degli utenti che hanno fatto clic sul mio link [chiuso]

Naviga le tue risposte
1

una domanda di follow-up a questo: Tracciamento del click-through per il test dell'e-mail di phishing a livello di organizzazione

Ho intenzione di inviare una email (falso phish) a tutta la mia org. utenti via email. Voglio testare gli utenti, quindi se fanno clic su un collegamento (falso) malevolo il loro indirizzo email verrà inviato a un elenco (o ricevo una notifica che dice all'utente X clic sul link di test) il nome di dominio verrà registrato / aggiunto a una lista da qualche parte Posso afferrare.

Metodo per acquisire l'indirizzo email degli utenti che hanno fatto clic sul mio link in un'email.

    
posta NULL.Dude 06.06.2018 - 18:56
fonte

4 risposte

1

Due opzioni

  1. Includi l'indirizzo email nell'URL (ospita un server su example.com/[email protected], quel server estrae i parametri url e scrive in un file)

  2. Includi il link nell'email con un ID di tracciamento (example.com/?trackid=1234) e archivia l'ID di tracciamento in un database con tutti i metadati.

In conclusione, hai bisogno di un URL univoco e un modo per catturare quell'URL e ricollegarlo all'utente (o all'utente e all'email).

    
risposta data 06.06.2018 - 22:26
fonte
5

Utilizza un link come [email protected] .

Puoi usare base64 o qualsiasi altra codifica per offuscare l'indirizzo email, ma il principio è lo stesso.

    
risposta data 06.06.2018 - 19:06
fonte
1

Se stai chiedendo se puoi in qualche modo interrogare tramite il browser stesso, allora no.

Il modo standard per farlo è includere un ID univoco per ciascun utente come parte del collegamento, quindi quando vedi / analizzi le richieste nei tuoi log del server, puoi quindi identificare da quale utente proviene la richiesta GET.

Puoi farlo con una pagina php, ma puoi farlo anche tramite un ciclo netcat (o qualsiasi server web che ascolta le richieste GET).

Quindi ad esempio:

email address | uid

[email protected] | 19243856

[email protected] | 54928490

sul server: while true; do nc -lvp 4444 | grep GET >> results.txt; done

nell'email: http://malicious.example.co:4444/phish?id=19243856

in results.txt: GET /phish?id=19243856

Potresti automatizzare un'intera campagna di phishing in un singolo (non molto lungo) script di bash, se lo desideri, con un paio di cicli e un file con l'elenco degli indirizzi email. : P

    
risposta data 06.06.2018 - 19:10
fonte
1

Probabilmente dovresti esaminare un framework, come Go Phishing che ti consente di progettare una campagna, vedere le percentuali di clic e i singoli utenti che hanno fatto clic e utenti che hanno inserito le credenziali.

Questo risolverà il problema e renderà l'analisi molto più semplice per te. Non c'è assolutamente alcun motivo per reinventare la ruota, quando c'è un prodotto per ciò che stai cercando di fare già disponibile.

(Non sono affiliato con Go Phishing in alcun modo e il prodotto è FLOSS)

    
risposta data 06.06.2018 - 19:37
fonte

Leggi altre domande sui tag

Indagare il file .eml di un'e-mail è sufficiente per ritenerlo dannoso? Perché funziona questo exploit di PHP object injection?