CARGANDO

Escribe para buscar

CyberSeguridad
Tags: , , , , , , , , ,

Phising con SET y Gophish

Daniel Consentini octubre 2, 2023

Phising con SET y Gophish

Disclamer: Todas las pruebas, ejemplos, códigos y/o explicaciones que aquí se exponen tienen un ámbito didáctico. Se rechaza cualquier actividad ilícita generada por lo expuesto en este escrito.

En la actualidad, estamos llegando a un punto en el que recibir correos maliciosos se ha vuelto una costumbre. Es raro el día que no tenemos un mensaje donde nos ha tocado la lotería o simplemente nos solicitan entrar en nuestra cuenta banco, entre otros. Este tipo de ataques de ingeniería social, cada día son mas sofisticados, y evolucionando las nuevas tecnologías. Así los podemos encontrar en llamadas, mensajes de texto, perfiles redes sociales, etc.

Cuando hablo de sitio web “malicioso” me refiero, por ejemplo, a una suplantación de un portal web que solicite unas credenciales. De esta forma, cuando un posible usuario introduzca dichas credenciales, estas quedarán registradas.

Correo malicioso Correos

En esta entrada quiero mostrar como sería realizar uno de estos ataques con fines académicos. Y esto es así, porque son muchas las empresas que contratan estos servicios para enseñar las buenas prácticas a los empleados.

Esta prueba de concepto utiliza las herramienta SET y Gophish; y consta de dos partes. En primer lugar, crearemos un sitio web “malicioso” con la herramienta SET. En segundo lugar, distribuiremos este sitio web mediante GoPhish.

Paso I. Crear sitio “malicioso”

Esto mismo es lo que haremos con la herramienta SET (o Social-Engineer Toolkit). Esta aplicación la podemos encontrar en un Kali Linux, y es muy útil para realizar clonados de sitios web. Es decir, en este ejemplo, se utilizará para clonar el sitio web de Twitter (o también llamado por algunos “X”…).

Por ello, en primer lugar iniciamos la herramienta ejecutando “setoolkit”:

Herramienta SET

En este punto, nos dirigimos a la ruta,

Social-Engineering Attacks > Website Attack Vectors > Credential Harvester Attack Method

Y seleccionamos “Site cloner”. Ahora nos solicita una serie de datos referentes al sitio web y la IP de la máquina de vuelta, que tenemos que completar.

Clonado de sitio web por SET

Tras esperar un poco, SET clonará el sitio web. Si accedemos ahora mediante la IP de la máquina, podemos observar que nos muestra un sitio muy parecido al de Twitter.

Muestra de sitio web clonado por SET

Esto tiene un pequeño problema, y es que solo es accesible internamente. Hay múltiples soluciones, como publicarlo con una IP pública, subirlo a un servicio en la nube o utilizar un mecanismo como Ngrok, donde nos crea una VPN hacia sus servidores. Por extensión de la entrada, no se explorarán estas vías 🙁

Paso II. Distribución de la web

Para este caso concreto, la distribución se realizará mediante correo electrónico. Por ello, lo mas importante en este caso, es saber si se trata de un correo masivo o algo dirigido. En esta ocasión, será un correo especifico para Sybeards, por lo que construiremos algo creíble y que pueda entender fácilmente:

Creación de correo malicioso

Una vez tenemos el correo, y como ya se adelantó anteriormente, se utilizará la herramienta especifica GoPhish para la distribución. Esta aplicación está disponible para los entorno Linux y Windows, y levanta un servidor web desde donde operar.

La herramienta es muy intuitiva, y para distribuir este correo, podemos seleccionar la opción de plantillas (Email Templates) para crear una nueva.

Definición de correo malicioso en Gophish

Como se puede observar, dentro de la plantilla incluimos el correo electrónico que hemos desarrollado previamente con sus respectivos estilos.

Lo siguiente que haremos es crear un perfil (Sending profiles). Desde aquí seleccionamos los datos referentes al envío del correo. Esto es, el servidor que lo envía y el “From”.

Creación de perfil de envío

Es posible elegir un servidor externo de envío como puede Gmail. Para este caso concreto, utilizaré un MailHog de cara a hacer la demostración.

Igualmente, si se observa con atención, el “from” seleccionado es “twitler.com”. Si se mandara directamente con el dominio oficial, el correo sería fácilmente rechazado, en cambio, al escribir un dominio parecido, pero no igual, es posible tener mas opciones.

El siguiente paso, es crear el usuario donde se va a enviar el correo (Users & Groups). Esto es seleccionar la cuenta de correo destino y una información sobre el nombre:

Definición de remitente

Llegados a este punto, ya es posible enviar el correo con toda la información. Para ello, creamos una nueva campaña (New Campaign), donde establecemos los detalles oportunos:

Creación de campaña

Por último, en el apartado de detalles podemos ver la evolución de esta campaña. Es decir, si se ha abierto el correo o se ha seleccionado algún enlace:

Estadisticas de campaña

Conclusiones

Como se puede observar, crear una campaña y un correo malicioso no es una tarea compleja. Es cierto que existen muchos elementos de protección para que correos como estos no sean recibidos tan fácilmente. Esto lo vimos en anteriores post.

Aun así, siempre se trata de evolucionar en ambos sentidos, y herramientas como SET y GoPhish, pueden ser de gran ayuda hacia empresas que quieran enseñar a sus empleados los riesgos existentes. De aquí también la razón de estos post, que no son creados para hacer el mal, si no para enseñar y aprender.

Y vosotros, ¿Cómo de cansados estáis de recibir phishing? ¿Habíais probado antes SET y Gophish? Dejadnos vuestros comentarios 🙂

Ah, hola 👋
Un placer conocerte.

Veo que te gusta la tecnología, ¿quieres que te mandemos una newsletter semanal?.

Acepto la política de privacidad *

¡No enviamos spam!. yo también lo odio a muerte!.

Tags:
Artículo Anterior
Siguiente Artículo

Deja un Comentario

Your email address will not be published. Required fields are marked *

Powerd By Sysbeards