¿Qué es?

Consiste en crear un correo, web o mensaje que se haga pasar por una empresa legítima, para que la víctima introduzca datos importantes creyéndose que lo está haciendo en el sitio real

Ingeniería social

Se entiende como ingeniería social al conjunto de técnicas para manipular o engañar a las personas para infectar con archivos maliciosos u obtener información o acceso a ordenadores, redes, empresas…

Tipos de phishing

• 📲 Smishing

  Se realiza a través de mensajes de texto

• ☎️ Vishing

  Se realiza mediante llamadas telefónicas

• 💿 Baiting

  Se realiza mediante USB, DVD, CD que pondrá un archivo malicioso en el dispositivo

  Ejemplo de ingeniería social usando la técnica baiting en la serie Mr.Robot

Existen varias herramientas para hacer phishings como Social-Engineer Toolkit que ya viene instalada con kali linux y parrot. Aparte de hacer phishing también sirve para hacer muchos tipos de ataques de ingeniería social. Zphisher es otra herramienta de phishing que ya viene con muchas plantillas de webs típicas instaladas

Simulación de un phishing web con Social-Engineer Toolkit

Esto se hace con fines educativos para concienciar de los peligros de internet

github.com/trustedsec/social-engineer-toolki

Para este ejemplo vamos a usar Social-Engineer Toolkit.

La web que vamos a clonar va a ser https://www.nhseportfolios.org/Anon/Login/Login.aspx

Y nuestro target va a ser pepito

Configuración Social-Engineer Toolkit

Al ejecutarlo nos aparece un menu con varias opciones, vamos a escojer “Social-Engineering Attacks”, “Website Attack Vectors” y “Credential Harvester Attack Method”. Ahora nos deja 3 opciones

• Web Templates

  Esta opción sirve para clonar webs que el programa ya tiene clonadas. Nos da la opción de Google y Twitter

  Template de google:

  

• Custom Import

  Esta opción nos permite crear la web desde 0 o importarla de forma manual. Para pasársela al programa tendremos que poner la ruta completa de donde están los archivos de la web en nuestra máquina

• Site cloner

  Esta es la opción más interesante, ya que con solo poner el enlace de una web ya nos la clona

Como nosotros queremos clonar la web de nhseportfolios.org vamos a elegir la opción de site cloner y le proporcionamos la url

set:webattack> Enter the url to clone:https://www.nhseportfolios.org/Anon/Login/Login.aspx

Ahora en local vamos a tener corriendo una web exactamente igual que la original y el programa se va a quedar en escucha de conexiones

Resultado

Desde el punto de vista de la víctima ahora al clicar en este enlace http://ip_atacante va a ver el clon de la web original

Al poner credenciales. ¡Desde el lado del atacante en la terminal que estaba corriendo el programa vemos que ha reportado las credenciales!

POSSIBLE USERNAME FIELD FOUND: $UserName=pepito
POSSIBLE PASSWORD FIELD FOUND: $Password=secret123

Este método funciona, pero no queda muy creíble que la url sea una ip.

Hay varias formas para hacerlo más creíble como por ejemplo cambiando el /etc/hosts, alojarla a un servidor o combinarla con un qr

Cambiar el /etc/hosts

Hay un archivo en linux /etc/hosts/ y en windows C:\Windows\System32\drivers\etc\hosts. Este archivo se usa para asociar ip’s a dominios. Si se añade una línea con lo siguiente

192.168.1.142 nhseportfolios.org
#IP atacante   Dominio

Ahora cada vez que entremos a nhseportfolios.org nos va a mandar a la 192.168.1.142. Este método funciona, pero no es muy práctico porque solo lo puedes hacer con alguien que esté en tu misma red y tienes que cambiar el etc/hosts que para hacerlo necesitas permisos de administrador en la máquina víctima, aunque con un troyano se podría cambiar. Pero no es muy eficiente

Mail

La forma más típica de manda webs falsas es por correo. Los atacantes mandan los correos intentando crear una situación de pánico a la víctima para que se ponga nerviosa y clique en el enlace

QR

Otra forma de colar el phishing sería mediante un codigó qr que lleve a la página que hemos clonado. Esto lo podemos hacer en la misma herramienta Social-Engineer Toolkit en el apartado de qr

Nos pide la web que queremos que nos lleve el qr

Vemos que nos ha generado la imagen del qr y la ha guardado en /root/.set/reports/qrcode_attack.png

Esto se puede combinar con un correo.

Como detectarlo

Antes de clicar o descargar algo de un correo se tienen que seguir estos pasos

• Comprobar que la dirección es de un sitio conocido y comprobar que no tenga letras de más, letras por números, muchos puntos…

• Antes de clicar a cualquier enlace es importante verificar que ese sea el original de la empresa. Si es un botón y no se ve el enlace se puede hacer “hovering” que es pasar por encima el ratón sin clicar para que salga el enlace abajo a la izquierda. Es recomendable acceder manualmente a la web y no con enlaces de correo

• Muchos ataques los hacen con traductores así que la sintaxis de los mensajes de phishing no suele ser muy buena

Recuerda que la vulnerabilidad más grande de un dispositivo es el usuario

Como evitarlo

Es recomendable tener un antivirus en el pc, actualmente casi todos los antivirus cuentan con la opción de bloquear posibles phishings

Si eres el técnico de una empresa lo que puedes hacer es desde el antivirus bloquear todas las posibles combinaciones que puede haber de un dominio. Por ejemplo si estás en una empresa de un banco y los empleados siempre para trabajar tienen que acceder a bancoseguro123.com puedes con la herramienta urlcrazy generar dominios parecidos al original y meterlos en una blacklist del antivirus, Siempre que no se bloquee una web legitima porque podria afectar negativamente a los trabajadores

$ urlcrazy -r bancoseguro123.com

Typo Type              Typo Domain                              
----------------------------------------------------------------
Original               bancoseguro123.com                       
Character Omission     bacoseguro123.com                        
Character Omission     bancoeguro123.com                        
Character Omission     bancosegro123.com                        
Character Omission     bancoseguo123.com                        
Character Omission     bancosegur123.com                        
Character Omission     bancoseguro12.com                        
Character Omission     bancoseguro123.cm                        
Character Omission     bancoseguro123.co                        
Character Omission     bancoseguro13.com                        
Character Omission     bancoseguro23.com                        
Character Omission     bancoseuro123.com                        
Character Omission     bancosguro123.com                        
Character Omission     bancseguro123.com                        
Character Omission     banoseguro123.com                        
Character Omission     bncoseguro123.com                        
Character Repeat       baancoseguro123.com                      
Character Repeat       banccoseguro123.com
...                    ...

Que hacer si ya has caído en un phishing

Lo primero es ponerte en contacto con el soporte de la empresa, si lo que te han robado son las contraseñas cámbialas y si tienes la misma contraseña en otra web también es importante cambiarla. Por último se puede denunciar a la policía como un delito de fraude