Ingenieria Social LAB-1 Phishing con SET (Social Engineering Toolkit)

En este lab, clonaremos la pagina de facebook y se la enviaremos a nuestra victima para robar su usuario y contraseña, para este lab se monto una maquina virtual con kali linux 2.0 con su interfaz de red en modo puente, para no interferir el normal funcionamiento de la red.

Guía de Ingenieria Social elaborada bajo contextos netamente éticos de investigación, información y educativos.  Utilizar con responsabilidad y asumiendo las consecuencias!!!

SET (Social Engineering Toolkit) : Es una herramienta escrita en Python y publicada bajo licencia GNU, destinada a realizar pruebas de penetración en torno a la ingeniería social. Se ha presentado en conferencias de gran escala, incluyendo Blackhat, DerbyCon, Defcon y ShmooCon, con más de dos millones de descargas, SET está dirigido a la detección de vulnerabilidades «humanas», aprovechando ataques tecnológicos avanzados. Esta herramienta permite, entre otras funciones :

  • Clonacion de sitios, para enviar un link falso y medir su tasa de acceso
  • Generar ataques vía web para instalar aplicaciones en los usuarios y robar sus contraseñas
  • Explotar vulnerabilidades del browser del usuario
  • Generar ataque dirigido Spear-Phishing
  • Phishing via SMS
  • Crear puntos de acceso WI-FI falsos
  • Mail Masivo SPAM

Empecemos con el laboratorio….

Ubicar en su kali linux la herramienta SET.   ===>      Applications  >> exploitation tools  >>  Social engineering toolkit, aceptar los terminos

Captura de pantalla de 2016-01-15 14-31-30

Se nos deplegara un menú bastante simple e intuitivo el que que ejecutara las ordenes que le indiquemos con solo poner el numero del menú en la consola. Partiremos por actualizar la aplicaciones con las opciones 4 y 5.

Captura de pantalla de 2016-01-15 14-39-56

Una vez terminado elegir la opción 1) Social-engineering attacks

Captura de pantalla de 2016-01-15 14-42-03

Captura de pantalla de 2016-01-15 14-44-45

Seleccionar la opción 2) Website Attack Vectors

Captura de pantalla de 2016-01-15 14-44-45

Seleccionar la opción 3) Credential Harvester Attack Method

Captura de pantalla de 2016-01-15 14-46-35

Seleccionar la opción 2) Site Cloner

Captura de pantalla de 2016-01-15 14-47-52

Nos solicitara que ingresemos nuestra dirección IP, abran otra consola y tecleen el comando

ifconfig

Captura de pantalla de 2016-01-15 14-58-50

Captura de pantalla de 2016-01-15 15-03-03

Luego nos pedirá la url del sitio que clonaremos en nuestro caso, clonaremos la pagina login de facebook, tecleamos http://www.facebook.com y presionamos enter, comenzara la clonacion y si nos pediera iniciar apache, le decimos que si.

Captura de pantalla de 2016-01-15 15-10-42

SET por defecto envía los archivos creados al document root /var/www/, por lo que deberemos moverlos a la carpeta /var/www/html y reiniciar apache

mv * /var/www/html
cd html
ls -l
service apache2 restart

Captura de pantalla de 2016-01-15 15-30-51

Abrimos el navegador y escribimos localhost, y nos mostrara la pagina de login de facebook

Captura de pantalla de 2016-01-15 15-31-57

Ingrese los datos de su cuenta de facebook e iniciar sesión

Captura de pantalla de 2016-01-15 15-35-09

Automáticamente al momento de iniciar sesión nos  mandara a la web original de facebook por lo que para el usuario sera casi transparente y pensara que se equivoco de contraseña, pero la verdad fue que nuestra victima cayo en la trampa y nosotros ya tenemos sus datos

Diríjanse a kali nuevamente y revisen el archivo de harvester, en mi caso se llama harvester_2016-01-15 18:09:30.713571.txt y podrán observar que los datos de la cuenta estarán guardados ahí

cat harvester_2016-01-15 18:09:30.713571.txt

Captura de pantalla de 2016-01-15 15-41-16

Donde email, es la cuenta de usuario y pass, la password

Captura de pantalla de 2016-01-15 15-43-06Listo ya solo queda probarlo con una victima, exito y happy hacking!!!

Como ya saben facebook, gmail, hotmail, twitter, redirigen automaticamente a SSL (https) por lo que se a vuelto mas dificil este tipo de ataque, pero no imposible en una guia siguiente veremos como poder burlar SSL , con el metodo (SSLSTRIP)

Jorge Romero
Sigueme
Sin respuestas

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.