Phishing for dummies

"Phishing o suplantación de identidad es un término que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas."

Esta técnica es tan antigua como la propia inet, que digo!!! es muchísimo más vieja, y tan efectiva como antigua. Su efectividad radica en su simpleza, y su  simpleza en el descuido del usuario final...

¿Hace falta tener conocimientos para ser Phisher?....NO o no demasiado para comenzar tus andaduras en el cibercrimen, más bien es un alarde de picardía e ingenio...y podéis creer que más de un aguerrido informático ha sido pescado mediante esta técnica.

En este post vamos a ver en la práctica tres simples ejemplos de cómo suplantar identidades casi sin conocimientos, para conseguir información sensible que, aunque muy conocidas, siguen peligrosamente vigentes a día de hoy.

Suplantando una identidad de correo

Quizás de las tres de las que vamos a ver sea la técnica mas antigua y, el que más y el que menos lo ha hecho alguna vez. Se buscaba una máquina sensible a esta técnica, normalmente un servidor de correo al que nos conectábamos por su puerto 25/SMTP y mediante telnet fakeabamos una identidad de uno de las cuentas.

Se supone que hoy por hoy no hay máquinas desde a las cuales nos podamos conectar por SMTP y enviar un mail falso...O_o..... las hay.

Supongamos (que es mucho suponer) que no las hay..... la fabricamos (super difícil):

apt-get install sendmail

La segunda traba la tendríamos en los filtros antispam pero qué pasaría si quien lanzase el ataque supiera algo de nuestros contactos....así a lo loco, sin mas técnica antispam que esta:


Vamos con el ejemplo práctico:

Nos conectamos a la máquina donde hemos instalado sendmail (en mi caso mi localhost pero podría ser cualquiera que tuviésemos acceso ) y con la configuración por defecto que ha hecho la instalación:

 tachan!!!:
¡El barco ha llegado a puerto! y se pasó por el fornel los filtros antispam!...

A partir de aquí el limite es la imaginación...

Suplantando un dominio

Hace tiempo, por el 2014, ya hablamos de esto aquí en hackplayers y parece mentira que a día de hoy todavía esto (ataque homográfico) siga vigente, Es más, parece mentira que ésto vuelva a ser actualidad (no tengo el mono del wuasap que si no lo pongo): Phishing con caracteres Unicode 

Al parecer el mes pasado: "se ha confirmado un problema en Chrome y Firefox que podría permitir la realización de ataques de phishing mediante el uso de caracteres Unicode. Conocidos como ataques homográficos....XD" (¡qué escándalo!)

Veamos esta técnica también implica unos conocimientos "mode good":

En teoria un ataque homográfico se basa en las similitudes de algunos caracteres de diferentes idiomas para registrar dominios que contienen malware.

¿Qué quiere decir ésto? pues vamos a la práctica:

Imaginemos que queremos suplantar hackplayers.com (no nos jodáis eh!) pues podríamos sustituir cualquier caracter h a c k p l a y e r s por un caracter que se vea similar en otro idiona por ejemplo: la c del cirilico.


Como resultado obtendríamos :
www.haсkplayers.com 

Si hacemos click en el enlace vemos como nuestro intento se desmorona.. pues los navegadores modernos tienen mecanismos para evitar o limitar este tipo de ataques. En Chrome y Firefox la forma Unicode se esconde si un dominio contiene caracteres de varios lenguajes diferentes dejándonos con el culo al aire y mostrando el codigo unicode:

 "http://www.xn--hakplayers-dwi.com/"

Pero que pasará si utilizamos todos los caracteres en el mismo idioma:

http://www.наскрӏауегѕ.com/

Again Tachaaan!! adiós a los mecanismos de protección, claro que hackplayers en cirilico queda un poco artificial y chirría a la vista... a ver con otro más simple:

https://www.аррӏе.com/

Este ejemplo es el de el desarrollador Xudong Zheng el cual ha registrado el dominio y dotado a este de un certificado ssl ...si no andas muy listo....ver ese candadito verde da un poco de miedito....

Creando un servicio Phishing online 

Está llegando a termino la entrada en la que estamos intentando demostrar lo simple y peligroso que puede llegar a ser hacer phishing con apenas conocimientos y me he dejado para el final el platillo fuerte:

Activa desde hace ya un par de años, os invito a que le echéis un vistazo a esta pagina web:

fakeGame

Nada mas entrar nos aparece el mensaje (traducido claro está):

"Usted ha venido al lugar para secuestrar cuentas.Por el momento, un total de secuestrado cuentas.
 Después de registrar usted será capaz de forma rápida y gratuita de su cuenta: VKontakte, Odnoklassniki, Tanques en línea, juegos de guerra, steam, Warfare y otros. " sus ...evos ahí!!!
Tras completar el registro nos pregunta que tipo de credenciales queremos "pescar" y nos da un enlace para mandar a las víctimas....

Podemos elegir entre varios clones de páginas oficiales, cono Gmail, facebook, steam, Instagram, etc.

Como diría Jesulín: IN-CREIBLE... tiene hasta ayuda online.. y por si no sabes qué hacer con las credenciales que robes, ellos te explican como venderlas.

Mientras estas online, te avisa de quien va cayendo en tus redes, y si los sistemas de seguridad han bloqueado tu ataque, en caso de éxito va agregando sus credenciales a tu base de datos.  

Como veréis si visitáis el site ofrece un phishing blandito....y en ruso.

Pero no seria mucho imaginar que existe este tipo de oferta en otras partes de Internet mucho más curradas y serias...incluso hacerte tu servidor de enlaces phishing es pan comido...

un saludo.

8 comentarios :

  1. Perdona mi ignorancia, pero llevo tiempo intentando crear un buen script de email spoofing y resulta que el filtro AntiSpam me anda volviendo loco (quizás porque soy un newbie)

    El tema es que cuando dices "La segunda traba la tendríamos en los filtros antispam pero qué pasaría si quien lanzase el ataque supiera algo de nuestros contactos....así a lo loco, sin mas técnica antispam que esta:", no logro entender bien la imagen.
    Te refieres a que obliguemos al usuario a entrar en in:spam o por el contrario lo que tiene que hacer el atacante es falsear el email de un contacto de la lista de contactos de la víctima?

    ResponderEliminar
    Respuestas
    1. Se refiere a lo ultimo.
      Si te envío un correo spoofeandome tras una dirección de email que esté en tu lista de contactos no caerá en tu bandeja de spam. Para eso mi trabajo sería intentar averiguar alguna de esas direcciones.

      Eliminar
    2. Este comentario ha sido eliminado por el autor.

      Eliminar
  2. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  3. En efecto como dice el compi es el segundo...

    Aparte de eso el mail debe cumplir ciertas reglas...x ejemplo supon conoces el contacto, falsificas la direccion y escribes el mensaje en otro idioma al que acostumbra a recibir o escribir la victima o el contacto... tu mensaje iria directo al Spam, o la direccion que intentas suplantar es de gmail...no iria a spam directamente sabe que viene de sus servidores...etc...etc

    Yo te aconsejaria que leas algo sobre los siguientes temas que te resumo....antes de seguir con tu script..si no acabaras frustrado..:

    1. Software Antispam

    (programas que inspeccionan el correo electrónico y clasifican los mensajes como “deseados” y “no deseados”.
    Estos sistemas usan dos métodos: inspeccionan la procedencia de los mensajes y consultan una lista de bloqueo que se llama RBL (Real Time Blackhole List), que contienen información sobre los servidores que están usando los generadores de correo basura.

    2. Estadística bayesiana.
    Tiene como base la inteligencia artificial.
    “El análisis de inferencia estadístico bayesiano, creado por el matemático Thomas Bayes, se usa para determinar cuándo un email es spam en función de su contenido, este método es importante porque, aunque no a todos nos interesan ciertos anuncios, a otras personas, organizaciones y empresas les pueden parecer muy importantes.

    3. Registro SPF.

    Se trata de un mecanismo tecnológico más complejo. El Sender Policy Framework (SPF) es un filtro que ayuda a proteger el dominio de nuestro correo electrónico.
    Su función es identificar a los servidores de correo que están autorizados para el envío de mensajes, por medio de los registros de dominio.

    ResponderEliminar
    Respuestas
    1. y perdoname tu quizar en la entrada abordo el tema de una manera muy simplista...

      Eliminar
    2. Bueno, Manu, tampoco te fustigues. El título es "Phishing for dummies" y este comentario tuyo pone a cualquier dummy a buscar información y estudiar.
      Últimamente lo estáis partiendo con el blog. ¡Seguid así!

      Eliminar