viernes, 5 de julio de 2019

Realizar un ataque de Phishing 100% efectivo [Parte II]

Ayer ya se expuso las recomendaciones que Panda Security daba acerca sobre cómo protegerse contra los ataques de Phishings. Ahí se hizo un balance sobre si consideraban que eran unas medidas buenas o males. Hoy vamos a agrupar esas medidas en un pseudocódigo para simular lo que una persona normal podría pensar en según qué casos recibidos que puedan ser sospechosos de Phishings.


El pseudocódigo sería como el siguiente:

    identificar_correos_phishing
if identificar_correos_phishing
    if fuente_verificada
        if web_en_favoritos OR escrita_en_navegador
            if sentido_comun OR antivirus OR sistema_actualizado
                if https
                    if cuenta_comprobada_periodicamente
                        if phishing_mal_escrito
                            if duda
                                delete it
                                search in panda_security_Blog


Claro, en el primer if ya tendríamos el problema si recibimos un correo como el siguiente.



Este correo es uno creado por mí con una plantilla básica del BBVA ¿Pasaría si quiera el primer if del usuario? Sí. Recordemos que no se daban muchas técnicas extras para identificar correos de Phishing, por lo que, de momento, podría colar sin ningún tipo de problema.

El segundo if también lo pasaría, ya que no pide las claves, si no que accedas al enlace que hay en el correo o que contactes con el banco. Hay un 50-50, pero podría pasar el filtro sin ningún problema.

El tercer if sería el sensible, aunque dependiendo del ataque, si infectamos el DNS de la víctima, nos lo llevaríamos puesto igualmente.

El cuarto if, hecho lo anterior, también podríamos pasarlo.

El quinto if, teniendo en cuenta lo fácil que es añadir SSL con Let's Encrypt, también es sencillo de saltar.

El sexto, en el momento del ataque también sería pasable, pues si antes no lo hemos atacado, la víctima se confiará al no ver ninguna actividad sospechosa en su cuenta.

El séptimo lo pasaríamos sin problema, ya que es un phishing bien escrito y, por lo general, en el idioma de la víctima.

La opción final también la pasaría al pasar los anteriores y no dar lugar a dudas. y ojo porque el phishing sería bastante efectivo y sin tocar mucho la web, simplemente copiar la plantilla del CSS y cambiar la dirección a la que va a enviar el PHP las credenciales. Tendremos que seleccionar nuestro servidor de bases de datos, donde las almacenaremos y podremos robar las credenciales de la cuenta bancaria de la víctima. Así de simple.

En futuros artículos veremos con más detenimiento cómo perfeccionar este tipo de ataques.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...