Hoy se da comienzo a una serie de artículos sobre el phising en Internet y lo que se puede llegar a hacer. Quizá el decir ‘lo que se puede llegar a hacer’ es erróneo, ya que el límite se encuentra en vuestra imaginación. Pero durante esta serie de artículos se intentará dotar al lector de unos firmes conceptos y de alguna prueba de concepto que ayude a comprender la esencia mejor.
Según la wikipedia, el phising es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).
Es una definición bastante intuitiva, en otras palabras, el atacante ofrecerá algún servicio que se parecerá y mucho al servicio que la víctima utiliza en el día a día. La víctima caerá en la trampa del atacante, ya que no reconocerá, este tipo de servicio como un fraude. El atacante busca con este tipo de ataques credenciales importantes o conseguir el control total de la máquina remota.
A modo de encuesta, ¿qué puede ser mejor? conseguir credenciales bancarias o el control total del equipo, ambas cosas son muy interesantes para los atacantes.
Despliegue
La mayoría de las técnicas phising se realizar mediante servicios falsos, los cuales son muy parecidos o idénticos a los originales. Una de las técnicas más utilizadas por los phishers es la de alojar una página clonada de algún dominio. Lo interesante de esto para los phishers es vender el siguiente mensaje, en el momento que el usuario introduce los credenciales de login, el servidor del phisher obtiene esos datos y devuelve un mensaje de sistema desbordado o fallo interno del servidor y que el usuario pruebe en unos minutos. Es una técnica muy vieja, pero que sigue dando resultados.
Otro tipo de phising que se realiza es el del blanqueo de dinero mediante empresas ficticias en la red. Empresas ficticias reclutan gente para trabajar con ellas vía Internet. Además de que esas personas trabajaban desde casa se les ofrecía un jugoso salario. En el momento que estas personas formaban parte de esa empresa ficticia incurrían en un delito de blanqueo de dinero, divertido ¿no?
SET & Metasploit con el phising
SET es un kit de herramientas de Ingeniería Social. Permite realizar ataques contra un elemento humano, es decir, permite realizar ataques de phising para intentar engañar a una persona.
Metasploit es una herramienta para desarrollar y ejecutar exploits contra una máquina remota. Además del lanzamiento de estos exploits contra esas máquinas remotas.
Uniendo SET junto a Metasploit se puede realizar un phising que devuelva el control de una máquina remota. Esto se verá en las próximas entregas de la serie.
Distribuir el phising
Aquí se explicarán 3 escenarios:
– Internet. El atacante compra un dominio, y hace que spammers inunden la red con links hacia ese servidor. Se podría hacer que el servidor en el momento que recibe la visita explote alguna vulnerabilidad del navegador o esperar a que la página falsa pida algo al usuario y en ese momento se produzca el robo de credenciales o la toma del control remoto del equipo.
– LAN. El atacante se encuentra en la misma red que la víctima. Como prueba de concepto decir que el usuario conecta a la IP de la víctima y el usuario recibe la página falsa y queda un poco a disposición del atacante.
– LAN + DNS spoofing. El atacante y la víctima se encuentran en la misma LAN, pero ahora no hay prueba de concepto. Lo que sería un caso real, sería que mediante unMiTM todo el tráfico de la víctima pasase por el atacante. El atacante realizaría dns spoofing, es decir, resolvería las peticiones de DNS de la víctima pero falseándolas. En otras palabras, cuando la víctima quiera resolver la dirección google.com, el atacante interceptará esa petición y contestará con la IP del servidor falso y no la IP del servidor de google. En este momento la víctima recibe la página falsa, pensando que se encuentra en la dirección real.
En próximos artículos se hablará de la prueba de concepto de DNS Spoofing y la utilización de SET y Metasploit.
Fuente: Flu Project
