14 feb 2011

Phishing, puro fake

Hoy se da comienzo a una serie de artículos sobre el phising en Internet y lo que se puede llegar a hacer. Quizá el decir 'lo que se puede llegar a hacer' es erróneo, ya que el límite se encuentra en vuestra imaginación. Pero durante esta serie de artículos se intentará dotar al lector de unos firmes conceptos y de alguna prueba de concepto que ayude a comprender la esencia mejor. Según la wikipedia, el phising es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).Es una definición bastante intuitiva, en otras palabras, el atacante ofrecerá algún servicio que se parecerá y mucho al servicio que la víctima utiliza en el día a día. La víctima caerá en la trampa del atacante, ya que no reconocerá, este tipo de servicio como un fraude. El atacante busca con este tipo de ataques credenciales importantes o conseguir el control total de la máquina remota.A modo de encuesta, ¿qué puede ser mejor? conseguir credenciales bancarias o el control total del equipo, ambas cosas son muy interesantes para los atacantes.DespliegueLa mayoría de las técnicas phising se realizar mediante servicios falsos, los cuales son muy parecidos o idénticos a los originales. Una de las técnicas más utilizadas por los phishers es la de alojar una página clonada de algún dominio. Lo interesante de esto para los phishers es vender el siguiente mensaje, en el momento que el usuario introduce los credenciales de login, el servidor del phisher obtiene esos datos y devuelve un mensaje de sistema desbordado o fallo interno del servidor y que el usuario pruebe en unos minutos. Es una técnica muy vieja, pero que sigue dando resultados.Otro tipo de phising que se realiza es el del blanqueo de dinero mediante empresas ficticias en la red. Empresas ficticias reclutan gente para trabajar con ellas vía Internet. Además de que esas personas trabajaban desde casa se les ofrecía un jugoso salario. En el momento que estas personas formaban parte de esa empresa ficticia incurrían en un delito de blanqueo de dinero, divertido ¿no?SET & Metasploit con el phisingSET es un kit de herramientas de Ingeniería Social. Permite realizar ataques contra un elemento humano, es decir, permite realizar ataques de phising para intentar engañar a una persona.Metasploit es una herramienta para desarrollar y ejecutar exploits contra una máquina remota. Además del lanzamiento de estos exploits contra esas máquinas remotas.Uniendo SET junto a Metasploit se puede realizar un phising que devuelva el control de una máquina remota. Esto se verá en las próximas entregas de la serie.Distribuir el phisingAquí se explicarán 3 escenarios:- Internet. El atacante compra un dominio, y hace que spammers inunden la red con links hacia ese servidor. Se podría hacer que el servidor en el momento que recibe la visita explote alguna vulnerabilidad del navegador o esperar a que la página falsa pida algo al usuario y en ese momento se produzca el robo de credenciales o la toma del control remoto del equipo.- LAN. El atacante se encuentra en la misma red que la víctima. Como prueba de concepto decir que el usuario conecta a la IP de la víctima y el usuario recibe la página falsa y queda un poco a disposición del atacante.- LAN + DNS spoofing. El atacante y la víctima se encuentran en la misma LAN, pero ahora no hay prueba de concepto. Lo que sería un caso real, sería que mediante un MiTM todo el tráfico de la víctima pasase por el atacante. El atacante realizaría dns spoofing, es decir, resolvería las peticiones de DNS de la víctima pero falseándolas. En otras palabras, cuando la víctima quiera resolver la dirección google.com, el atacante interceptará esa petición y contestará con la IP del servidor falso y no la IP del servidor de google. En este momento la víctima recibe la página falsa, pensando que se encuentra en la dirección real.En próximos artículos se hablará de la prueba de concepto de DNS Spoofing y la utilización de SET y Metasploit.=============================================- Phishing, puro fakeCrear phishing... es tan fácilExplotando UAC Windows 7DNS Spofing============================================= 

8 comentarios:

  1. [...] This post was mentioned on Twitter by luis valdovinos, Flu. Flu said: RT @fluproject Phising, puro fake http://bit.ly/f4Rjqb [...]

    ResponderEliminar
  2. Vamos Pablillo......que esto tiene muy buena pinta... seguid asì que vais por buen camino.

    ResponderEliminar
  3. [...] sobre phishing que se está realizando en Flu Project. En el primer artículo se habló de los conceptos básicos del phishing. Esta vez se hablará de lo fácil que es crear un phishing bastante creíble y de manera rápida, [...]

    ResponderEliminar
  4. [...] Primera parte de la cadena de posts de Pablo sobre phising: Phising, puro fake. [...]

    ResponderEliminar
  5. [...] - Phishing, puro fake - Crear phishing… es tan fácil [...]

    ResponderEliminar
  6. [...] os descargáis y seguir consejos como los que os hemos proporcionado sobre seguridad en Internet y phising. Recordando algunos de los más importantes, tened el navegador en modo seguro, utilizad una cuenta [...]

    ResponderEliminar
  7. [...] uno de nuestros contactos, con estas características es un suplemento ideal para las técnicas de Phishing y [...]

    ResponderEliminar