Ya habíamos hablado sobre la Ingeniería Social, pero no de SET (Social-Engineering Toolkit), es una herramienta de ingeniería social creada por David Kennedy y se ha convertido en una herramienta indispensable para cualquier pentester.
Con esta herramienta se puede llevar a cabo test de intrusión, destacando el envío de SMS falsos o clonar cualquier pagina web en cuestión de segundos, de hecho esto último será lo que hagamos hoy.
Bien vamos a comenzar, para ello abrir SET en mi caso lo tengo integrado con la distribición bugtraq.
Realmente SET no tiene ninguna dificultad, es mucho más sencillo de utilizar e intuitivo que Metasploit.
Imagen 1: Pantalla Inicio SET
Como verás es muy sencillo, tan sólo hay que indicar la opción deseada con su número correspondiente, en este caso marcamos el 1, ataque de ingeniería social.
Imagen 2: Website Attack Vectors
En el siguiente paso marcamos el numero 2, vector de ataque a un sitio web.
Imagen 3: Credential Harvester Attack Method
A continuación marcamos el número 3, método de ataque credencial.
Imagen 4: Métodos de Clonación
En el siguiente paso elegiremos el método de clonación que se adapte a las necesidades, elegiremos el número 1, también está la opción de clonar cualquier sitio.
Imagen 5: Selección de Plantillas
Como puedes observar SET trae consigo las plantillas de las webs más importantes y visitadas de Internet, sin embargo sino actualizáis frecuentemente la herramienta estas platillas pueden quedar obsoletas debido a los cambios que realizan dichas webs, por ello es recomendable la clonación manual.
Nosotros haremos esta prueba de concepto con Gmail, así que pulsamos 2.
Los malos tienen muchas formas de llevar a cabo esta prueba de concepto que estamos realizando en el post de hoy. Si el atacante se ha hecho con el control de tu PC puede realizar un ataque DNS Spoofing, con ello la víctima cada vez que acceda gmail.com le redirecionará al servidor del atacante con la web falsa.
Ejemplo:
www.gmail.com A 127.0.0.1
Para esta prueba de concepto se me ocurrió utilizar la web tinyurl.
Imagen 6: Web tinyurl.com
Imagen 7: Conversión IP a tinyurl
Con este gesto lo que conseguimos es vincular nuestra IP, es decir la que está corriendo en SET a la URL proporcionada.
A continuación se prepara el ataque, va consistir en el envío de un correo a la víctima, anunciándole novedades en Gmail.
Imagen 8: Envio del Correo
Se ha utilizado tinyurl, no obstante le cambiamos el texto a mostrar por http://gmail.com la víctima no podrá dudar de la veracidad de la url.
Imagen 9: Web Gmail Falsa
Como comentamos anteriormente se podría haber efectuado un DNS Spoofing, ya lo veremos en otras PoC.
Imagen 10: Robo de Credenciales
La víctima introduce sus credenciales, automáticamente estas son enviadas al atacante y la victima es redireccionada a la web legítima.
No hay comentarios:
Publicar un comentario