Download Resumen:: phising con las herramientas SET y Metasploit incluidas en la distibución de Kali...
Resumen: El propósito del documento es demostrar los pasos necesarios para realizar un ataque de phising con las herramientas SET y Metasploit incluidas en la distibución de Kali
Introducción: El phishing es un ataque de ingeniería social, que tiene como objetivo engañar personas, en vez de generar implementaciones técnicas sofisticadas, tal como lo explica Greg Aaron investigador del Anti-Phishing Work Group mismo organismo que declaro al 2016 como el peor año de este tipo de ataque en la historia con un total de 1,220,523. En México en el mismo año la Condusef declaro cerca de 78,788 posibles casos de robo de identidad relacionados con el phishing. La gran mayoría de estos incidentes están relacionados a correos electrónicos donde los atacantes simulan ser entidades bancarias en ellos solicitan proporcione datos relacionados con su cuenta, según Condusef el monto reclamado ascendió a 3, 244 millones de pesos. Una de las características del éxito de este tipo de taque es por la simplicidad con la cual pueden ser ejecutados tal como lo aborda Howard F. Lipson en un documento del 2002 titulado Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues del cual tomo la siguiente gráfica:
1
En la gráfica se expone claramente la situación de los ataques donde debido a la gran cantidad de herramientas disponibles y su sofisticación, ya no se requiere que los atacantes cuenten con grandes conocimientos para conducir ataques efectivos. Como a continuación se demuestra se pueden realizar con facilidad por medio de herramientas que están disponibles a todo el público.
Ataque mediante SET (Social-Engineering Toolkit) Es una de las herramientas con las que cuenta la distribución de Kali y está diseñado especialmente diseñado para realizar ataques contra el elemento humano, la forma de realizarlo es: 1. Ejecutar la aplicación de SET ubicada dentro de Herramientas de Ingeniería Social de Kali. Una vez ejecutada se abrirá una sesión de terminal
2
En el menú que se despliega se deberá de elegir la opción 1 la cual ejecutará ataques de ingeniería social 2. Dentro del menú de ataques de ingeniería social deberemos de elegir la opción 2 “Website Attack Vector”
3. Dentro del menú deberemos de elegir la opción 3 “Credential Harvester Attack Method” el cual permite obtener las credenciales de la victima
4. Realizado el paso anterior se nos mostrarán tres opciones, para este ejercicio utilizaremos la opción 2 la cual permitirá realizar un clon de una página la cual se nos recomienda sea la que contenga los campos de autentificación
3
5. La aplicación nos solicitará que le proporcionemos la dirección del atacante, la cual deberá ser la dirección ip del equipo donde estemos ejecuntando el SET, asi como la url
de
la
página
a
clonar,
para
nuestro
ejercicio
pondremos
http://www.facebook.com
4
6. La aplicación realizara una copia de la dirección que le proporcionamos (http://www.facebook.com ) y abre un puerto donde escuchará la información captada por la página falsa.
7. Una vez que la víctima trata de autentificarse la aplicación capta su información y la redirige a la página original donde, desde la perspectiva de la víctima, algo fallo y deberá de volver a ingresar la información logrando el acceso a la página, en muchos de los casos sin advertir que fue tacada. Por otra parte, la aplicación nos entregara la información que la víctima capturo
En este ejemplo la víctima se autentifico como “
[email protected]” y su contraseña es “demo1234”
Ataque mediante Metasploit Metasploit es otra de las herramientas contenidas dentro de la distribución de Kali a mi jucio no es tan sencilla de operar como SET puesto que equiere de mayor interaccion de comandos La forma de realizar un ataque es la siguiente: 5
1. Se ejecutará la cual se encuentra en la barra de herramientas, una vez ejecutada la aplicación
se
deberá
de
utilizar
el
comando:
“use
auxiliary/server/capture/http_basic” el cual activará el módulo de recolección de credenciales de autentificación provocando que la mayoría de navegadores soliciten una credencial por medio de un pop-up.
2. Por medio del comando “set REALM” estableceremos el nombre del supuesto dominio que solicita la autentificación para nuestro ejercicio utilizaremos el nombre de Banamex
3. Ahora deberemos de formar la url con la cual se atraerá a la víctima esto se realiza por medio del comando “set URIPATH /” e iniciamos por medio del comando “run”
6
Con lo que iniciara la escucha del puerto 80 y recolectando la información del popup que se desplegaría en el navegador
4. Una vez que la víctima se autentifica la aplicación captura la información y la muestra al atacante indicándole de donde fue obtenida, así como el usuario y contraseña que proporciono cada victima
7
Conclusiones Como se podrá apreciar no resulta ser de gran dificultad el conducir un ataque phishing contando con las herramientas correctas y vuelvo a tomar el punto, en la actualidad ya no es requerido un alto nivel técnico para llevar a cabo un ataque solo contar con el tempo, la dedicación y la mala intención (para este caso) será suficiente para lograrlo.
Bibliografía
Help Net Security. (2017). With 1.2 million phishing attacks, 2016 was a success for cybercriminals.
02/12/2017,
de
Help
Net
Security
Sitio
web:
https://www.helpnetsecurity.com/2017/03/01/phishing-attacks-2016/
Ruy Alonso Rebolledo. (2017). Phishing y otros 5 casos de fraudes bancarios en el 2017.
02/12/2017,
de
El
Economista
Sitio
web:
https://www.eleconomista.com.mx/finanzaspersonales/Phishing-y-otros-5-casosde-fraudes-bancarios-en-el-2017-20170815-0130.html
Howard F. Lipson. (202). Problems with Internet Security. En Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues(9). Pittsburgh, PA: Carnegie Mellon. 8
OFFENSIVE security. (2017). Working with Active and Passive Exploits in Metasploit (Metasploit Fundamentals). 02/12/2017, de OFFENSIVE security Sitio web: https://www.offensive-security.com/metasploit-unleashed/exploits/
Jorge Romero. (2016). Ingenieria Social LAB-1 Phishing con SET (Social Engineering
Toolkit).
01/12/2017,
de
XenTech
Sitio
web:
http://www.blog.xentech.cl/2016/01/15/ingenieria-social-lab-1-phishing-con-setsocial-engineering-toolkit/
9
