19 jun 2013

SMS Spoofing Attack Vector

Hola a tod@s

Ya vimos como Clonar una Web con SET y QRCode Generator Attack Vector, hoy es el turno de utilizar SET con los dispositivos móviles, como es la técnica de SMS Spoofing.

Los ciberdelincuentes realizan autenticas mega campañas con esta técnica enviado SMS masivos a multitud de teléfonos móviles y con diferentes tácticas, como suplantación de la web bancaria y varias plantillas realizadas a “manopla” por ellos mismos, se hacen pasar el banco, compañías de teléfonos, incluso un amigo o familiar.Su objetivo es que a través del SMS recibido accedas a una URL maliciosa o clonada y pierdas tu passwords o ahorros €/$. Para comenzar iniciamos SET, nos saldrá el menú de inicio. A continuación indicamos la opción deseada, en nuestro caso Social-Engineering Attacks. En la siguiente imagen elegimos la técnica de SMS Spoofing Attack Vector. En este punto, la herramienta pregunta si deseas realizar una plantilla o utilizar las definidas por la aplicación.

En la anterior imagen lo primero que nos pregunta es si el envío de SMS se va realizar de forma masiva, es decir a varios teléfonos o por el contrario a un solo teléfono, en nuestro caso el envío será a un solo teléfono, el mío.

Ahora toca elegir la plantilla definida, pueden ser de Movistar, tu banco, Vodafone, para esta PoC elegiremos la opción número diez.

Para finalizar el receptor recibirá el SMS spoofeado, como comente anteriormente, el SMS puede inducir a la víctima a que facilite sus credenciales de banco, correo electrónico, etcétera, o que haga clic en una URL maliciosa para la descarga de software malicioso o simplemente una web clonada en la que perdería sus credenciales.

Y "voilá" el SMS llega a su receptor, como se puede apreciar el atacante quiere hacerle ver a la víctima que por tantos años como cliente en su compañía de teléfonos se ha ganado llamadas gratuitas para siempre, haciendo que accedan a su web maliciosa. Por cierto, una aclaración la herramienta no interpreta las tildes, ni la letra Ñ como se puede observar en el SMS recibido.

n0ipr0csNo seáis malos.

6 comentarios:

  1. En la nueva version del SET a travez de que servicio mandas los sms?Vienen servicios gratuitos que funcionen?Saludos

    ResponderEliminar
  2. Hola Iván, cuánto tiempo sin verte, estás perdido, jejeje.El único servicio gratuito hasta ahora es Lleida. Salu2.

    ResponderEliminar
  3. El problema ahora no es tanto el ataque inicial en el que se vieron comprometidas algunas webs importantes, sino la publicación de la vulnerabilidad usada y su consecuente exploit. Una vez desvelada la técnica usada para realizar este ataque, se ha tardado poco tiempo en incorporar esta nuevo agujero de seguridad a herramientas como Metasploit , de forma que queda automáticamente a disposición del público en general.

    ResponderEliminar
  4. [...] FluProject Share this:TwitterGoogle +1FacebookLinkedInCurtir isso:Curtir [...]

    ResponderEliminar
  5. ok entonces probare con Leida, Gracias.Hare algunas pruebas para intregar Veil o el androrat utilizando este vector de ataque. Saludos

    ResponderEliminar
  6. He dicho una currada como dicen por alla jajaja.Confundi Veil!! dios no escucheMi intencion era comentar sobre combinar la parte de ing social en sms con meterpreter para android... no veil! hahauna disculpa

    ResponderEliminar