domingo, 23 de noviembre de 2014

Ataque de Phishing con Facebook. Ten cuidado

En un test de intrusión, hay que tratar de atacar todos-o casi todos- los puntos por los que cualquier atacante pueda atacar, aunque si se atacan en zonas que un criminal no lo haría, porque todavía " no se conozca", mejor; un camino que, si los administradores siguen los consejos, estará algo más seguro, pero no al 100%. Por eso que en las empresas que nos piden que realicemos una Auditoría a su web, una de las muchas cosas que realizo y realizamos, son ataques de Phishing a todos o algunos de los trabajadores ya que esto es una parte importante y parece que cada vez más después de noticias como el hackeo de eBay, el robo de fotos a las famosas y muchas más y que día a día van saliendo más por Phishing.

Figura 1: El Phishing una parte importante en las Auditorías
Y viendo todo esto, no he podido evitar realizar esto dentro de SoftCrim, y a los trabajadores que me he encargado de ir trayendo. Y decidí probar este Phishing con Facebook, ya que si lo hacen en Facebook, lo harán en cualquiera red social, banco,etc.

Pues me puse manos a la obra y empecé a crear la página de Phishing de Facebook, no fue demasiado difícil, unos simples minutos y estaba creada y puesta en marcha para. Tampoco escatimé en gastarme un solo euro para un dominio más profesional y que fuese más sencillo de realizarlo. Pero aún así, los resultados me sorprendieron bastante.

Figura 2: Una página de Phishing de Facebook sencilla de detectar
Mira que era sencilla de detectar, pues aún así, se la colé doblada. Y la cosa fue tan sencilla como enviar el típico correo de "Hola, alguien ha intentado entrar en tu cuenta de Facebook, si o has sido tú, entra en este enlace y confirmalo". Pues de los 27 trabajadores que tengo a mi disposición, se lo envié a todos, y se comieron este Phishing 24. Voy a tener que echar una "bronca" a unos cuantos.

También es verdad, que gran parte de culpa la pueden tener las Webviews en tu smartphone y no te dejen ver ninguna URL en las aplicaciones de tu terminal, aunque no es excusa ni mucho menos. Así que ya sabéis, ha caído mucha gente con este dominio gratis, que también podría sacar la cartera y comprar uno que quede más profesional....que los hay, y así queda perfecto del todo, con lo que puede que caiga más gente.

Hasta la Próxima Malvados, un HandShake amistoso!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...