sábado, 9 de julio de 2016

Crear una web de Phishing te puede llevar menos de 2 minutos

Hay mucha gente que se cree que el hacking puede resultar muy complicado, y hay muchas veces-la mayoría me atrevería a decir- que puede resultar muy sencillo. Y en el artículo de hoy, os contaré cómo de sencillo puede ser crear una web de Phishing con una herramienta llamada HTTrack.


Es tan sencillo como descargarse la herramienta e introducir el nombre del proyecto y si lo que queremos es descargarnos archivos de la web además de decir donde queremos que se guarde uestro proyecto.


Después el trabajo que queda por realizar es simplemente introducir la URL de la web la cual quieres clonar, en mi caso será Twitter, ya que es un servicio que usa millones de personas y que muchos usan su teléfono móvil para conectarse a Twitter, lo que nos permitiría enviar un mail con nuestra web clonada de twitter, con una url que sea por ejemplo https://www.twiiter.com. Notese el cambio de una i en vez de una t.

Es interesante enviarle ente enlace de la web clonada de Twitter a gente que use un móvil para acceder a este servicio pues como ya sabéis, en los dispositivos móviles que tengan descargada la app de Twitter, al acceder al servicio, no pueden ver ningún enlace, lo que nos facilitaría el ataque.



Y nos quedaría este resultado, como podéis observar un resultado casi idéntico, así que lo que nos quedaría sería por ejemplo acortar la URL, dejar nuestra web clonada de Twitter con una URL que sea muy parecida pero con algún  cambio que sea muy difícil de detectar.

Con esto tenemos varias opciones, podríamos enviar masivamente nuestra web clonada de Twitter para conseguir robar el usuario y contraseña de varias personas y crear nuestra propia base de datos con las personas a las que le hayamos robado las credenciales, pero esto no estaría del todo bien.

Otra opción, es que si lo que se quiere es robar las credenciales de una persona conocida tal como una pareja-algo que no ocurre casi nunca, por supuesto- podríamos enviarle esta web que hemos clonado y aunque pusiera https, no tiene porque poseer esa capa extra de seguridad para que las contraseñas no vayan en claro. Y al tratarse de una pareja por ejemplo, lo normal es que ambas personas vivan juntos o que al menos suelan verse en alguna casa, con lo que bastaría que ambas personas se conecten a la misma red wifi y puedes estar atento por si abre el correo spoofeado que le hayamos enviado; es más incluso le podemos hacer presión diciendo algo como "Pero bueno, ni te lo pienses, entra en ese enlace, introduce tus credenciales antes de que sea peor".  Lo que nos quedaría sería abrir nuestro analizador de tráfico de red y quedarnos a la espera de que nos paraezca el POST del login...¿Os imagináis que nuestra víctima del ejemplo no usase un 2FA y que reutilizase el mismo usuario y contraseña para cualquier servicio? Seguro que no es el caso.


Además no podía terminar el post sin hacerle un guiño al instituto al cual tengo tanto cariño, Blas Infante. Así ha quedado la web clonada.


Y así es la web del Blas Infante original, como veis no hay muchos camios.


Además sabemos que la web del Instituto Blas Infante no usa HTTPs a la hora de autenticar usuarios, esto lo podemos aprovechar de la siguiente manera con nuestra web clonada.



Ya habéis visto que no es tan complicado como muchos los ponen, evidentemente si quieres que quede bien y además de eso, lo más importante, el "que no me pillen" el asunto se complica algo más, pero a estos niveles es sumamente sencillo.  Además iba a deciros qué hacer para que no caigáis en timos como este, pero será seguramente en la entrada de mañana, ya que aprovecharé que ha habido un Youtuber hablando de hacking sin tener ni idea, lo único que hizo fue bscar una información muy muy básica pero sin llegar a entender nada.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...