Phishing for dummies
"Phishing o suplantación de identidad es un término que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas."Esta técnica es tan antigua como la propia inet, que digo!!! es muchísimo más vieja, y tan efectiva como antigua. Su efectividad radica en su simpleza, y la simpleza o descuido del usuario final...
¿Hace falta tener conocimientos para ser Phisher?....NO o no demasiado para comentar tus andaduras en el cibercrimen, más bien es un alarde de picardía e ingenio...y podéis creer que más de un aguerrido informático ha sido pescado mediante esta técnica.
En este post vamos a ver en la práctica tres simples ejemplos de cómo suplantar identidades casi sin conocimientos, para conseguir información sensible que, aunque muy conocidas, siguen peligrosamente vigentes a día de hoy.
Suplantando una identidad de correo
Quizás de las tres de las que vamos a ver sea la técnica mas antigua y, el que más y el que menos lo ha hecho alguna vez. Se buscaba una máquina sensible a esta técnica, normalmente un servidor de correo al que nos conectábamos por su puerto 25/SMTP y mediante telnet fakeabamos una identidad de uno de las cuentas.
Supongamos (que es mucho suponer) que no las hay..... la fabricamos (super difícil):
apt-get install sendmail
La segunda traba la tendríamos en los filtros antispam pero qué pasaría si quien lanzase el ataque supiera algo de nuestros contactos....así a lo loco, sin mas técnica antispam que esta:
Vamos con el ejemplo práctico:
Nos conectamos a la máquina donde hemos instalado sendmail (en mi caso mi localhost pero podría ser cualquiera que tuviésemos acceso ) y con la configuración por defecto que ha hecho la instalación:
A partir de aquí el limite es la imaginación...
Suplantando un dominio
Hace tiempo, por el 2014, ya hablamos de esto aquí en hackplayers y parece mentira que a día de hoy todavía esto (ataque homográfico) siga vigente, Es más, parece mentira que ésto vuelva a ser actualidad (no tengo el mono del wuasap que si no lo pongo): Phishing con caracteres Unicode
Al parecer el mes pasado: "se ha confirmado un problema en Chrome y Firefox que podría permitir la realización de ataques de phishing mediante el uso de caracteres Unicode. Conocidos como ataques homográficos....XD" (¡qué escándalo!)
Veamos esta técnica también implica unos conocimientos "mode good":
En teoria un ataque homográfico se basa en las similitudes de algunos caracteres de diferentes idiomas para registrar dominios que contienen malware.
¿Qué quiere decir ésto? pues vamos a la práctica:
Imaginemos que queremos suplantar hackplayers.com (no nos jodáis eh!) pues podríamos sustituir cualquier caracter h a c k p l a y e r s por un caracter que se vea similar en otro idiona por ejemplo: la c del cirilico.
Como resultado obtendríamos :
www.haсkplayers.com
Si hacemos click en el enlace vemos como nuestro intento se desmorona.. pues los navegadores modernos tienen mecanismos para evitar o limitar este tipo de ataques. En Chrome y Firefox la forma Unicode se esconde si un dominio contiene caracteres de varios lenguajes diferentes dejándonos con el culo al aire y mostrando el codigo unicode:
"http://www.xn--hakplayers-dwi.com/"
Pero que pasará si utilizamos todos los caracteres en el mismo idioma:
http://www.наскрӏауегѕ.com/
Again Tachaaan!! adiós a los mecanismos de protección, claro que hackplayers en cirilico queda un poco artificial y chirría a la vista... a ver con otro más simple:
https://www.аррӏе.com/
Este ejemplo es el de el desarrollador Xudong Zheng el cual ha registrado el dominio y dotado a este de un certificado ssl ...si no andas muy listo....ver ese candadito verde da un poco de miedito....
Creando un servicio Phishing online
Está llegando a termino la entrada en la que estamos intentando demostrar lo simple y peligroso que puede llegar a ser hacer phishing con apenas conocimientos y me he dejado para el final el platillo fuerte:
fakeGame
Nada mas entrar nos aparece el mensaje (traducido claro está):
"Usted ha venido al lugar para secuestrar cuentas.Por el momento, un total de 1188353 secuestrado cuentas.
Después de registrar usted será capaz de forma rápida y gratuita de su cuenta: VKontakte, Odnoklassniki, Tanques en línea, juegos de guerra, steam, Warfare y otros. " sus ...evos ahí!!!
Tras completar el registro nos pregunta que tipo de credenciales queremos "pescar" y nos da un enlace para mandar a las víctimas....
Podemos elegir entre varios clones de páginas oficiales, cono Gmail, facebook, steam, Instagram, etc.
Podemos elegir entre varios clones de páginas oficiales, cono Gmail, facebook, steam, Instagram, etc.
Como diría Jesulín: IN-CREIBLE... tiene hasta ayuda online.. y por si no sabes qué hacer con las credenciales que robes, ellos te explican como venderlas.
Mientras estas online, te avisa de quien va cayendo en tus redes, y si los sistemas de seguridad han bloqueado tu ataque, en caso de éxito va agregando sus credenciales a tu base de datos.
Como veréis si visitáis el site ofrece un phishing blandito....y en ruso.
Pero no seria mucho imaginar que existe este tipo de oferta en otras partes de Internet mucho más curradas y serias...incluso hacerte tu servidor de enlaces phishing es pan comido...
un saludo.
Via: www.hackplayers.com
Phishing for dummies
Reviewed by Zion3R
on
13:36
Rating:
Reviewed by Zion3R
on
13:36
Rating:
