Hola a tod@s
Ya vimos como Clonar
una Web con SET y QRCode
Generator Attack Vector, hoy es el turno de utilizar SET con los dispositivos
móviles, como es la técnica de SMS Spoofing.
Los ciberdelincuentes realizan autenticas mega campañas con
esta técnica enviado SMS masivos a multitud de teléfonos móviles y con
diferentes tácticas, como suplantación de la web bancaria y varias plantillas
realizadas a “manopla” por ellos mismos, se hacen pasar el banco, compañías de teléfonos,
incluso un amigo o familiar.
Su objetivo es que a través del SMS recibido accedas a una
URL maliciosa o clonada y pierdas tu passwords o ahorros €/$.
Para comenzar iniciamos SET, nos saldrá el menú de inicio.
Imagen 1: Social-Engineering
Attacks
A continuación indicamos la opción deseada, en nuestro caso Social-Engineering Attacks.
Imagen 2: SMS Spoofing Attack Vector
En la siguiente imagen elegimos la técnica de SMS Spoofing Attack Vector.
Imagen 3: Perform a SMS Spoofing Attack
En este punto, la herramienta pregunta si deseas realizar una
plantilla o utilizar las definidas por la aplicación.
Imagen 4: Teléfono Víctima
En la anterior imagen lo primero que nos pregunta es si el
envío de SMS se va realizar de forma masiva, es decir a varios teléfonos o por
el contrario a un solo teléfono, en nuestro caso el envío será a un solo teléfono,
el mío.
Imagen 5: Elección de la Plantilla
Ahora toca elegir la plantilla definida, pueden ser de Movistar,
tu banco, Vodafone, para esta PoC elegiremos la opción número diez.
Imagen 6: Elección del Servicio
A continuación tendremos que
elegir el servicio para el envío de SMS.
Imagen 7: SMS Enviado
Para finalizar el receptor recibirá
el SMS spoofeado, como comente anteriormente, el SMS puede inducir a la víctima
a que facilite sus credenciales de banco, correo electrónico, etcétera, o que
haga clic en una URL maliciosa para la descarga de software malicioso o
simplemente una web clonada en la que perdería sus credenciales.
Veamos de forma rápida otra
prueba de concepto en la que nos "guisaremos" nosotros mismos el SMS.
Imagen 8: One-Time use SMS
Volvemos a la imagen cuatro del
presente artículo y elegimos la opción la opción dos, One-Time use SMS.
A continuación le indicamos el
supuesto número emisor, yo opte por ejemplo el 003 el antiguo número de
información en España. Seguidamente podemos comenzar con la edición del
mensaje.
Imagen 9: Elección del Servicio
Acto seguido, al igual que ocurría
en la anterior Poc nos pedirá elegir un servicio para el envío se SMS.
Imagen 10: SMS Enviado
Y "voilá" el SMS llega
a su receptor, como se puede apreciar el atacante quiere hacerle ver a la
víctima que por tantos años como cliente en su compañía de teléfonos se ha ganado llamadas
gratuitas para siempre, haciendo que accedan a su web maliciosa. Por cierto, una
aclaración la herramienta no interpreta las tildes, ni la letra Ñ como se puede observar en el SMS recibido.
No seáis malos. 
5 comentarios
comentariosno tengo la opcion 7 de sms spoofing en de setoolkit como podria obtener es opcion acabo de actualizarlo sin embargo ya no sale mas en las opciones
ReplyHola Malcom, he estado revisando y en esta nueva versión han quitado gran tecnica :(
Replycomo le hago para descargar , como uso la opcion 7 antes mencionada ?
ReplyTienen que descargar un archivo de mega llamado set.tar.gz,descomprimirlo y iniciarlo por terminal algo asi:
Replycd Descargas
ls
cd set
ls
./set
Ahi les envia a el menu donde si aparece la opcion 7
Ahora,tendran que ingeniarselas para instalar correctamente el emulador de android,o pagar
Saludos
Oye puedo hacer que en lugar de que le aparesca:Tu banco,Movistar
ReplyAparezca lo que yo quiera,como:+52443323838,Facebook
O solo se pueden usar los remitentes predeterminados?