lunes, 25 de marzo de 2013

Phishing - Un ejemplo universitario


  En una sociedad donde el phishing está a la orden del día moviendo ingentes cantidades de dinero es muy importante para los ciberdelincuentes tener grandes cantidades de cuentas de correo a la espera de recibir su ciber basura.

  En esta entrada, siguiendo el ejemplo de las añejas "Un ejemplo universitario", voy a mostrar como un atacante con malevolas intenciones puede obtener direcciones de correo válidas de todos los alumnos de la universidad. Además también tendrá al alcance información como su nombre y carrera que cursa. Con estos datos ya es posible crear perfectas estafas con falsas ofertas de trabajo personalizadas y empezar a difundir "trabajo", empecemos:


  """
  Somos un estudiante que conoce los recursos que ofrece nuestra universidad y sabemos que ésta tiene una página accesible a cualquiera mediante la que se puede buscar información de los usuarios. En ella existe un formulario para especificar más la búsqueda siendo posible buscar usuarios por nombre, correo, o su titulación:


 Al realizar una simple búsqueda, por ejemplo "titulación = ingenieria informatica", vemos que se los listan todos los usuarios matriculados en dicha carrera:


 Además se puede acceder a la información de cada alumno por separado ofreciéndonos valiosos datos como los comentados antes, entre ellos su correo electrónico:


 Nosotros, usuarios conocedores de los peligros de la red, sabemos que esta situación es perfecta para lanzar una campaña de phishing por toda la universidad y de forma personalizada, pues podemos ofrecer, por ejemplo, ofertas de trabajo a determinadas carreras, especificando además el nombre del usuario a que va dirigido. Es decir, al hacerlo mas personal el correo aumentamos enormemente las posibilidades de que la inocente víctima caiga en nuestras redes.

 Para aumentar las víctimas del ataque seria necesario conocer todas las carreras disponibles, información que la aplicación también nos proporciona, ¡¡ES PERFECTO!! :


 Ahora ya siendo conocedores de todos estos vectores de ataque, podríamos crear una aplicación que carrera a carrera fuera realizando búsquedas y "clasificando" a los usuarios mediante su nombre, correo y titulación en una base de datos para tenerlos accesibles de forma más directa. Aquí entra en juego el lenguaje más serpenteante, Python.


  Una vez están los usuarios almacenados en la base de datos, mediante simples consultas obtenemos los datos necesarios para realizar nuestro perverso ataque:



  Tenemos la información, pero ahora, ¿cómo la aprovechamos? Acudiendo en nuestra ayuda tenemos  S.E.T. que nos ofrece un framework para ataques de ingeniería social, con lo que, aprovechando la nueva relase del Backtrack Team (Kali Linux) vamos a trastear con la herramienta.

  Primero escogemos Social-Engineering Attacks pues es lo que vamos a intentar hacer engañando a nuestra inocente víctima:


  Acto seguido nos preguntará por el tipo de ataque, marcamos la quinta opción Mass Mailer Attack:


  Ahora se nos ofrece la posibilidad de atacar a una única víctima o varias a partir de un fichero. Puesto que nuestra genial aplicación en Python nos permite exportar a ficheros los correos obtenidos, el segundo camino es el seleccionado (E-Mail Attack Mass Mailer):


 Para acabar introducimos la localización del fichero con los correos, una dirección válida ya sea de gmail o nuestro propio servidor de correo, con lo que ya estaremos en disposición para especificar los datos del mensaje y enviarlo:



  Con esto solo nos quedará esperar que nuestros inocentes destinatarios caigan en nuestro malvado y sombrío ataque.

"""

  En resumen, el phishing es un problema presente en nuestros días y va a estarlo durante mucho tiempo debido a que no es fácil erradicarlo. Desde mi punto de vista hay que educar a los usuarios, no puede ser que para advertirles de los peligros utilicemos métodos tan "avanzados" como este que muestra una captura de Jose Selvi. Hay que enseñarles, aunque sea mediante créditos de libre elección, pues en nuestros días todos los estudiantes utilizan Internet pero ni una cuarta parte es consciente de como hacerlo correctamente, peligros como los puntos de acceso falsos, el uso de https, actualización del sistema y su software (no puede ser que los ordenadores de toda la facultad, en los que los profesores introducen sus datos para dar clases utilicen una versión de nuestro colega Java de hace más de un año) y así un gran etc de conceptos básicos que deberíamos conocer todos los que nos movemos en la red de redes.

 Con todo esto me despido, nos leemos en breve ;)


5 0verl0ad Labs: Phishing - Un ejemplo universitario   En una sociedad donde el  phishing  está a la orden del día moviendo ingentes cantidades de dinero es muy importante para los ciberdelinc...
< >