SMS Spoofing Attack Vector

Hola a tod@s

Ya vimos como Clonar una Web con SET y QRCode Generator Attack Vector, hoy es el turno de utilizar SET con los dispositivos móviles, como es la técnica de SMS Spoofing.

Los ciberdelincuentes realizan autenticas mega campañas con esta técnica enviado SMS masivos a multitud de teléfonos móviles y con diferentes tácticas, como suplantación de la web bancaria y varias plantillas realizadas a “manopla” por ellos mismos, se hacen pasar el banco, compañías de teléfonos, incluso un amigo o familiar.Su objetivo es que a través del SMS recibido accedas a una URL maliciosa o clonada y pierdas tu passwords o ahorros €/$. Para comenzar iniciamos SET, nos saldrá el menú de inicio. A continuación indicamos la opción deseada, en nuestro caso Social-Engineering Attacks. En la siguiente imagen elegimos la técnica de SMS Spoofing Attack Vector. En este punto, la herramienta pregunta si deseas realizar una plantilla o utilizar las definidas por la aplicación.

En la anterior imagen lo primero que nos pregunta es si el envío de SMS se va realizar de forma masiva, es decir a varios teléfonos o por el contrario a un solo teléfono, en nuestro caso el envío será a un solo teléfono, el mío.

Ahora toca elegir la plantilla definida, pueden ser de Movistar, tu banco, Vodafone, para esta PoC elegiremos la opción número diez.

Para finalizar el receptor recibirá el SMS spoofeado, como comente anteriormente, el SMS puede inducir a la víctima a que facilite sus credenciales de banco, correo electrónico, etcétera, o que haga clic en una URL maliciosa para la descarga de software malicioso o simplemente una web clonada en la que perdería sus credenciales.

Y "voilá" el SMS llega a su receptor, como se puede apreciar el atacante quiere hacerle ver a la víctima que por tantos años como cliente en su compañía de teléfonos se ha ganado llamadas gratuitas para siempre, haciendo que accedan a su web maliciosa. Por cierto, una aclaración la herramienta no interpreta las tildes, ni la letra Ñ como se puede observar en el SMS recibido.

n0ipr0csNo seáis malos.