В продолжении темы про подготовку Red Teaming инфраструктуры для проведения социо-технических этапов тестирований aka фишинга для получения первоначального доступа, обычно используется Evilgophish от fin3ss3g0d.

По сути это форк оригинальных Evilginx и Gophish с расширенной функциональностью, о котором я уже неоднократно писал и рассказывал. Этот инструмент прямо из коробки позволяет настроить использование Cloudflare Turnstile в качестве эффективного решения для противодействия ботам и автоматизированным сканерам, которое в отличии от классических решений CAPTCHA с выбором картинок и набором текста совсем не влияет на UX😎

В блоге автора подробно описано каким образом настроить Cloudflare Turnstile:
✅ Необходимо просто зарегать учетку Cloudflare (бесплатный уровень подписки), добавить домен фишинговой страницы и скопировать ключи для использования сервиса

./evilginx3 -feed -g ../gophish/gophish.db -turnstile <PUBLIC_KEY>:<PRIVATE_KEY>

✅ Поменять дизайн дефолтных страниц с антибот-проверкой evilginx3/templates/turnstile.html и 403 Forbidden evilginx3/templates/forbidden.html, LLM справится с этой задачей за 3 секунды🙈
✅ Let's go phishing🎣

К тому же злоумышленники уже давно используют эту технологию, поэтому по моему мнению очень важно проверить во время тестирований насколько используемые средства защиты и процессы в вашей организации позволяют противостоять подобным угрозам на практике.

#phishing #evilgophish #cloudflare_turnstile