Hola a tod@s
Ya habíamos hablado sobre la Ingeniería
Social, pero no de SET (Social-Engineering Toolkit), es una herramienta de
ingeniería social creada por David Kennedy y se ha convertido en una
herramienta indispensable para cualquier pentester.
Con esta herramienta se puede llevar a cabo test de
intrusión, destacando el envío de SMS falsos o clonar cualquier pagina web en
cuestión de segundos, de hecho esto último será lo que hagamos hoy.
Bien vamos a comenzar, para ello abrir SET en mi caso lo
tengo integrado con la distribición bugtraq.
Realmente SET no tiene ninguna dificultad, es mucho más
sencillo de utilizar e intuitivo que Metasploit.
Imagen 1: Pantalla Inicio SET
Como veis es muy sencillo, tan sólo hay que indicar la
opción deseada con su número correspondiente, en este caso marcamos el 1, ataque
de ingeniería social.
Imagen 2: Website Attack Vectors
En el siguiente paso marcamos el numero 2, vector de ataque a un sitio web.
Imagen 3: Credential Harvester Attack Method
A continuación marcamos el número 3, método de ataque
credencial.
Imagen 4: Métodos de Clonación
En el siguiente paso elegiremos el método de clonación que
se adapte a las necesidades, elegiremos el número 1, también está la opción de
clonar cualquier sitio.
Imagen 5: Selección de Plantillas
Como podéis observar SET trae consigo las plantillas de las
webs más importantes y visitadas de Internet, sin embargo sino actualizáis
frecuentemente la herramienta estas platillas pueden quedar obsoletas debido a
los cambios que realizan dichas webs, por ello es recomendable la clonación
manual.
Nosotros haremos esta prueba de concepto con Gmail, así que
pulsamos 2.
Los malos tienen muchas formas de llevar a cabo esta prueba
de concepto que estamos realizando en el post de hoy. Si el atacante se ha
hecho con el control de tu PC puede realizar un ataque DNS Spoofing, con ello
la víctima cada vez que acceda gmail.com le redirecionará al servidor del atacante
con la web falsa.
Ejemplo:
www.gmail.com A 127.0.0.1
Para esta prueba de concepto se me ocurrió utilizar la web
tinyurl.
Imagen 6: Web tinyurl.com
Imagen 7: Conversión IP a tinyurl
Con este gesto lo que conseguimos es vincular nuestra IP,
es decir la que está corriendo en SET a la URL proporcionada.
A continuación se prepara el ataque, va consistir en el
envío de un correo a la víctima, anunciándole novedades en Gmail.
Imagen 8: Envio del Correo
Se ha utilizado tinyurl, no obstante le cambiamos el texto a
mostrar por http://gmail.com la víctima no podrá
dudar de la veracidad de la url.
Imagen 9: Web Gmail Falsa
Como comentamos anteriormente se podría haber efectuado un DNS
Spoofing, ya lo veremos en otras PoC.
Imagen 10: Robo de Credenciales
La víctima introduce sus credenciales, automáticamente estas
son enviadas al atacante y la victima es redireccionada a la web legítima.
No seáis malos. 
3 comentarios
comentariosme podrias explicar como hiciste para poner "gmail.com" en el correo y que en verdad entrara a la direccion IP qe corria en SET?
ReplyPorque "gmail.com" es el texto a mostrar la url va por debajo.
ReplyPor eso, siempre es recomendable expandir los enlances antes de acceder a ellos. De esta manera podemos saber si se esta tratando de un enlace autentico a gmail o no.
Reply