domingo, 11 de junio de 2017

Un Spear Phishing con Kali Linux

Estamos en SoftCrim jugando un poco con Kali Linux para unos proyectos que tenemos decidido sacar en un tiempo. Estamos probando varias cosas, estamos creando varios script; en definitiva, pasando un buen rato con la seguridad. Por eso mismo, me he dado cuenta que esto no lo he comentado en el Blog y creo que puede resultar de interés por si estáis empezando a usar Kali Linux o simplemente, queréis repasar conocimientos.


Este ataque se basa en ingeniería social, es decir aprovecharnos de la confianza de los usuarios. Para esto hay que conocer muy bien a un usuario, algo, que ya "senté las bases" en una entrada reciente.


Como os he dicho, se va a usar Kali Linux, más concretamente, sus setoolkit y su opción de Spear Phishing. Una vez que introduzcáis setoolkit, os aparecerá un menú, del cuál deberéis selccionar la primera opción, la de ataques basados en ingeniería social. Esto es un 'case' de toda la vida.


Os irán apareciendo submenús, pero realmente da igual la opción que introduzcas, siempre y cuando, tengas en cuenta que las distintas opciones tienen distintas funciones. Te pedirán el LHOST y el puerto, algo básico si usas frecuentemente Kali Linux.


Te pedirá si quieres enviar un mail a una sola persona, o un ataque masivo; para esta prueba con una persona sóla, basta. 

Finalmente, llegaréis al punto en el que os piden el asunto del correo, a quién se lo vas a enviar, si quieres escribirlo en html o en plano, el cuerpo del mensaje, desde qué correo lo vas a enviar, si desde un Gmail o desde uno propio de tu compañía a lo mejor, que introduzcas la contraseña del correo y qué nombre quieres que aparezca a la persona que recibe el correo que será la víctima. Yo de nombre puse MICROSOFT WINDOWS.


Y el mail te lo ponen en el Inbox de Gmail, algo lógico ya que yo he usado una cuenta de correo de pruebas que tengo en Gmail.


Si además, le dejamos un enlace de Phishing o infectado para poder acceder a su ordenador, mejor que mejor. Por supuesto, lo ideal sería preparar un correo de phishing que pueda dar el pego para que la víctima caiga y de click, pero para esta prueba, bastaba con esto.

En próximas entradas, se irán mezclando técnicas para que veáis cómo se podría preparar un ataque bastante completo usando técnicas bastante sencillas para comprometer la vida de una persona.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...