17 feb 2011

Crear phishing... es tan fácil

El presente artículo es la segunda parte de la serie sobre phishing que se está realizando en Flu Project. En el primer artículo se habló de los conceptos básicos del phishing. Esta vez se hablará de lo fácil que es crear un phishing bastante creíble y de manera rápida, ya que, hoy en día todo está automatizado. Lejos quedan, aunque siguen siendo fuente de phishing, aquellos correos que te mandaba el 'staff' de Hotmail pidiéndote que introdujeras tu contraseña porque habían tenido un fallo en la base de datos (FAKE!). Se va a realizar una prueba de concepto con la herramienta SET y Metasploit en una distribución Backtrack. El objetivo será crear un clon de un sitio web y ver como se puede engañar a una víctima a través de dicho fake. La presente prueba puede reflejar lo fácil que sería poner un servidor en Internet y engañar a los usuarios confundiéndoles colgándoles un sitio web idéntico al que ellos buscan. Otra manera de hacer daño sería que Spammers lanzaran links por toda Internet hacia dicho servidor y esta web lanzase un applet de Java, y cuando el usuario pincha en ejecutar... ¿Sabemos lo que pasará no?SETLa imagen muestra el menú de la aplicación SET (Social Engineering Toolkit). La opción que se utilizará para realizar la clonación y el ataque de un sitio web, es la opción 2 'Website Attack Vectors'. Después SET mostrará otro menú dónde se elegirá el método de ataque, hay 7 muy interesantes todos, pero esta vez se utilizará el método 'Java Applet Attack Method'. Este tipo de ataque consiste en mostrar un certificado falso de Java, indicando que se necesita ejecutar, cuando la víctima pinche en ejecutar, lo que realmente ejecutará será un payload. El método de ataque es el número 1 de dicho menú.En la imagen de la izquierda se puede observar las distintas opciones que propone SET para la creación del sitio web. La opción 1 da la posibilidad de utilizar plantillas que el propio SET incorpora. La opción 2 permite clonar un sitio web, bajo protocolo http o https, simplemente introduciendo su URL. La opción 3 permite al usuario importar su propio sitio web con sus propios códigos. La opción 4 hace retornar al paso anterior.Para esta prueba de concepto se utilizará una plantilla, al introducir el número 1 en el menú anterior, se obtiene una lista de plantillas: Java Required, Gmail, Google, Facebook, Twitter. Se elige la plantilla de Gmail, para ello se introduce el número 2. Después se pedirá al atacante que introduzca el payload que quiere utilizar, hay 11 distintos. Y después se debe introducir un encoding, hay una lista de 16. Por último se pedirá que se introduzca el puerto de escucha, si es HTTP será 80 y si es HTTPS será 443. Por último, antes de lanzar Metasploit, se pregunta al atacante si quiere que también se cree un payload para Linux/OSX.Una vez se ha rellenado este proceso, que como se ha comprobado esta bastante automatizado, se puede observar en la imagen como hay que esperar unos segundos a que se cargue metasploit y se prepare un servidor web con el recurso falso.ConectandoCuando la víctima conecte con el servidor web del que colgamos el recurso falso se encontrará una web como la de la siguiente imagen:Cuando el usuario haya conectado, le aparecerá un applet de java pidiendo que ejecute un elemento Java. Al pinchar sobre ejecutar, se está creando una sesión entre la víctima y el atacante, dónde el atacante tiene control, con nivel de privilegios que tenga la víctima en su máquina.En próximos artículos se explicará como alcanzar máximos privilegios en el equipo remoto del que se ha conseguido la conexión. Por otro lado, se explicará el método de DNS Spoofing, el cual facilitaría un ataque de phishing en una LAN. También se comentará como detectar este tipo de Fakes y como poner trabas para que no nos engañen y entren hasta la cocina de nuestra máquina.=============================================- Phishing, puro fakeCrear phishing... es tan fácilExplotando UAC Windows 7DNS Spofing============================================= 

14 comentarios:

  1. [...] This post was mentioned on Twitter by Juan Antonio Calles, hackplayers. hackplayers said: Crear phishing… es tan fácil: El presente artículo es la segunda parte de la serie sobre phishing que se está re... http://bit.ly/fzLmEo [...]

    ResponderEliminar
  2. hola que tal, tengo una pregunta.¿se puede utilizar estas herramientas, como son SET y Metasploit en otra distrubusion?por ejemplo yo utilizo fedora

    ResponderEliminar
  3. Si, sin problema ;)deberás bajarlas e instalarlas pero no hay problema ;)Saludos!

    ResponderEliminar
  4. [...] ============================================= - Phishing, puro fake - Crear phishing… es tan fácil [...]

    ResponderEliminar
  5. si se pueden tener esas herramientas el problemas es en las carpetas de metasploit y algunos agregados.

    ResponderEliminar
  6. [...] la sesión con Meterpreter iniciada en el artículo ‘Crear phishing… es tan fácil‘. En este punto tenemos unos privilegios iguales a los que tenga el usuario víctima, pueden [...]

    ResponderEliminar
  7. [...] - Crear phishing… es tan fácil [...]

    ResponderEliminar
  8. Lo bueno de estas distribuciones es que ya.. tienen todo incluido, o casi todo, no tienes que andar buscandote la vida para ir añadiendo.. extras!Interesante articulo.Deseando ver el proximo

    ResponderEliminar
  9. [...] El pasado fin de semana nuestro compañero Luis (@streaming10) tuvo el placer de realizar una entrevista para Flu Project al gran David Kennedy, creador de la popular herramienta para ataques de Ingeniería Social, SET (Social Engineering Toolkit). [...]

    ResponderEliminar
  10. Que bien que esta esto!!! y pensar que yo utilizaba al BT solo para claves wep wpa, pregunta como haces indetectables el ataque Java Applet???

    ResponderEliminar
  11. donde puedo descargar SET y metasploit?

    ResponderEliminar
  12. Una pregunta ?Este metodo solo sirve en local verda? si la respuesta es si ? como lo puedo hacer remotamente no local?

    ResponderEliminar