24 mayo, 2013

SMS Spoofing Attack Vector



Hola a tod@s

Ya vimos como Clonar una Web con SET y QRCode Generator Attack Vector, hoy es el turno de utilizar SET con los dispositivos móviles, como es la técnica de SMS Spoofing.

Los ciberdelincuentes realizan autenticas mega campañas con esta técnica enviado SMS masivos a multitud de teléfonos móviles y con diferentes tácticas, como suplantación de la web bancaria y varias plantillas realizadas a “manopla” por ellos mismos, se hacen pasar el banco, compañías de teléfonos, incluso un amigo o familiar.
Su objetivo es que a través del SMS recibido accedas a una URL maliciosa o clonada y pierdas tu passwords o ahorros €/$.


Para comenzar iniciamos SET, nos saldrá el menú de inicio.

Imagen 1: Social-Engineering Attacks




A continuación indicamos la opción deseada, en nuestro caso Social-Engineering Attacks.


Imagen 2: SMS Spoofing Attack Vector




En la siguiente imagen elegimos la técnica de SMS Spoofing Attack Vector.


Imagen 3: Perform a SMS Spoofing Attack



En este punto, la herramienta pregunta si deseas realizar una plantilla o utilizar las definidas por la aplicación.


Imagen 4: Teléfono Víctima



En la anterior imagen lo primero que nos pregunta es si el envío de SMS se va realizar de forma masiva, es decir a varios teléfonos o por el contrario a un solo teléfono, en nuestro caso el envío será a un solo teléfono, el mío.
 



Imagen 5: Elección de la Plantilla 



Ahora toca elegir la plantilla definida, pueden ser de Movistar, tu banco, Vodafone, para esta PoC elegiremos la opción número diez.


Imagen 6: Elección del Servicio



A continuación tendremos que elegir el servicio para el envío de SMS.
 


Imagen 7: SMS Enviado




Para finalizar el receptor recibirá el SMS spoofeado, como comente anteriormente, el SMS puede inducir a la víctima a que facilite sus credenciales de banco, correo electrónico, etcétera, o que haga clic en una URL maliciosa para la descarga de software malicioso o simplemente una web clonada en la que perdería sus credenciales.



Veamos de forma rápida otra prueba de concepto en la que nos "guisaremos" nosotros mismos el SMS.


Imagen 8: One-Time use SMS



Volvemos a la imagen cuatro del presente artículo y elegimos la opción la opción dos, One-Time use SMS.

A continuación le indicamos el supuesto número emisor, yo opte por ejemplo el 003 el antiguo número de información en España. Seguidamente podemos comenzar con la edición del mensaje.


Imagen 9: Elección del Servicio


Acto seguido, al igual que ocurría en la anterior Poc nos pedirá elegir un servicio para el envío se SMS.

Imagen 10: SMS Enviado





Y "voilá" el SMS llega a su receptor, como se puede apreciar el atacante quiere hacerle ver a la víctima que por tantos años como cliente en su compañía de teléfonos se ha ganado llamadas gratuitas para siempre, haciendo que accedan a su web maliciosa. Por cierto, una aclaración la herramienta no interpreta las tildes, ni la letra Ñ como se puede observar en el SMS recibido.


 
No seáis malos.  

5 comentarios:

  1. no tengo la opcion 7 de sms spoofing en de setoolkit como podria obtener es opcion acabo de actualizarlo sin embargo ya no sale mas en las opciones

    ResponderEliminar
    Respuestas
    1. Hola Malcom, he estado revisando y en esta nueva versión han quitado gran tecnica :(

      Eliminar
  2. como le hago para descargar , como uso la opcion 7 antes mencionada ?

    ResponderEliminar
  3. Tienen que descargar un archivo de mega llamado set.tar.gz,descomprimirlo y iniciarlo por terminal algo asi:
    cd Descargas
    ls
    cd set
    ls
    ./set
    Ahi les envia a el menu donde si aparece la opcion 7
    Ahora,tendran que ingeniarselas para instalar correctamente el emulador de android,o pagar
    Saludos

    ResponderEliminar
  4. Oye puedo hacer que en lugar de que le aparesca:Tu banco,Movistar
    Aparezca lo que yo quiera,como:+52443323838,Facebook
    O solo se pueden usar los remitentes predeterminados?

    ResponderEliminar