martes, 25 de noviembre de 2014

Comprueba si pueden hacer Phishing fácilmente a tu empresa

Figura 1: Prueba si pueden hacer Phishing fácilmente en tu empresa


Ya conté como comprobé si la gente que tengo trabajando en SoftCrim caen fácilmente por ataques de Phishing. Y como dije, cayeron 24 de 27, y ya se han llevado una pequeña "bronca" por ello. Pero no quedo solamente en hacer un Phishing con Facebook, también hice un pequeño Phishing con Twitter, para ver varias cosas:

-Si la gente que tengo en SoftCrim podrían tropezar dos veces con la misa piedra el mismo día sin que les dijese nada

-Si reutilizaban el mismo usuario y contraseña para todas o casi todos los sitios de Internet-Cosa que pueden poner en riesgo a la empresa si cae un solo sitio de los que han reutilizado las credenciales-.

-Si toman las medidas de comprobar siempre todas las URLs que les vengan de Twitter, Facebook, Correo,etc vaya ser que sean peligrosas, de que comprueben el filtro SPF de correos que te puedan estar enviando grandes empresas y  unas cuantas más de medidas que yo les di.

-Si leen las URLs que han abierto-cuando en algún caso no deberían abrir-(Siempre que sea posible leer las URLs, ya que si usan sus dispositivos móviles no podrán hacerlo)

Todas éstas conclusiones son las que podría sacar yo con esta pequeña prueba en uno de los tests de intrusión que estaba realizando para SoftCrim. Obviamente no se me podía pasar realizar pruebas de Phishing. Por ello que dedicase un tiempo-poco para crear las páginas de Phishing de Twitter y Facebook, que las hice sin gastar dinero en un dominio más profesional, para que fuese más fácil que los empleados pudiesen detectar este Phishing...pero no fue así.

Lo primero fue elaborar una pequeña herramienta para spoofear las direcciones de correo de gmail, Facebook, Twitter y Apple-Herramienta que se va a quedar solamente para uso exclusivo de tests de Intrusión que vamos a elaborar en SoftCrim. Una vez que eso, simplemente era tomar las direcciones de correo de los empleados y enviar los mails, con el de Twitter, me lo mande a mí y pude tomar la captura del correo spoofeado, en Facebook sería igual.

Figura 2: Phishing de Twitter
 Como podéis observar, me quedó bastante bien este spoofing-para ello me lo he currado tantas y tantas horas-. Y también veréis que la dirección del correo es una que supuestamente es la de los Restablecimientos de contraseñas de Twitter, con lo único que se debía hacer para caer en la trampa era dar click donde pone "aquí".

Figura 3: Página de Phishing de Twitter
Y una vez que pulsabas aquí, te mandaba a esta página que es la que creé para hacer el Phishing en Twitter. Además como podréis ver en la dirección de la página, se nota bastante bien que no es el sitio de Twitter, pero aquí pueden ocurrir varias cosas:

-Que no se hayan parado a ver la URL, ya que al ver que se parecía al de Twitter, no se percataban del peligro de introducir sus credenciales.

-Que hayan visto la URL, pero que pensaran algo como "Anda ¿Han cambiado la URL de Twitter?" o "¡Que listos estos de Twitter, ponen URLs distintas al sitio de Restablecer tu contraseña, que al sitio para entrar de primeras, cómo le dan al coco estos tíos!"

-Que no hayan podido ver ninguna URL, porque se hayan conectado con su terminal móvil, debido a las Webviews.

Claro, que después cuando introducían sus contraseñas, me llegaban a un archivo txt llamado "PasswordsFace" y "PasswordsTwitter". Como en la Figura siguiente que es de la prueba que hice al introducir un usuario y contraseña cuaquiera.

Figura 4: Las credenciales enviadas a un txt


Y final del Phishing, tan simple como esto. Por último tengo que decir, que los únicos afectados de este ataque han sido los trabajadores de mi empresa, a los que les he comunicado en su día el ataque fue cosa mía, y que ya, han aprendido algo, han aprendido que no se pueden fiar de cualquier correo que les llegue y que deben leer muy muy bien la URL de cada sitio al que se conectan. Además el sitio era en HTTP, con lo que "cualquiera" podría efectuarle un Man In The Middle. Así que espero que esto os sirva de aprendizaje también a vosotros.

Hasta la Próxima Malvados, un HandShake amistoso!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...