Nota: Antes de empezar queremos definir lo que es un phishing. Un phishing es una suplantación de identidad que mediante ingeniería social pretende conseguir información de un usuario. Hablando en plata:

Es una copia de una aplicación cuyo objetivo es robar contraseñas.

Ahora que hemos definido lo que es un phishing podemos empezar a entrar en materia. Hay mucha gente que piensa que no son tan comunes, que no son un problema grave para la seguridad, etc. Pero tenemos que decirte que sigue siendo el método más top y efectivo por parte de los delincuentes.

Pequeña introducción (explicada grosso modo)

Día a día nos encontramos miles de casos nuevos contra empresas de diferentes sectores y siempre, como objetivo, quieren nuestras claves de acceso al banco, al correo electrónico, información nuestra (DNI, domicilio, número de teléfono, etc)

Estos casos de phishing pueden ser de diferentes formas, vamos a distinguir dos:

  • Caso uno: El dominio muy parecido al original, lo que se conoce como dominio typosquatting.
  • Caso dos: El phishing estuviese alojado en una web vulnerada (aquí el dominio no tiene que parecerse al original necesariamente) el phisher aprovecha esa vulnerabilidad para subir el kit.

Podemos hacer más distinciones según la propagación (smishing, phishing, vishing…) pero eso quedará para otro día.

Nosotros nos vamos a quedar con el caso dos, pero ¿el phisher es un «pro» de la informática y sabe como vulnerar una web? Podría ser, pero no lo sé Rick…

Resultado de imagen de gif no lo se rick

El phisher por tanto necesita un servidor. Piensa que comprar el dominio y pagar el servidor no es lo mejor, descarta esa opción y accede por tanto a subir su phishing en un sitio vulnerado. Por ello vamos a comenzar la guía del buen phisher.

Guía del Buen Phisher

«Yo no tengo ni idea de hacer esto, ¿alguien puede conseguirme webs vulneradas?»

Así es como tienes que entrar en contacto con otro cibercriminal (que no hacker). La mejor forma de encontrar a una persona que haga esto es buscando un «defacer». Esos que suben a una web un GIF y dicen que son Anonymous, pues muchos de esos, a la que suben el GIF te meten una shell. ¿Y luego? Luego la venden… Por la causa! XD

La shell da acceso al phisher que la compra (y a todo el mundo) y le permite subir lo que quiera al servidor vulnerado (y a todo el mundo).

Es habitual encontrarse dominios vulnerados con diferentes casos de phishing (que no tienen ni que ver unos con otros en algunas ocasiones).

Veamos un caso práctico de «compra de shell»:

Hace unos meses un usuario subió un defacement, así demostraba su poderío en el sector de los cibercriminales. En este defacement puso su correo. Miradme, aquí estoy, soy el mejor decía.

Resultado de imagen de gif defacement
Imagen ilustrativa de lo que es un defacement

Oye, ¿pues vamos a escribirle no? A ver cuan hacktivista es.

Le escribimos con un lenguaje del business, para que vea que somos phishers cultos…

Y poco después con un lenguaje igualmente culto y recatado, nos responde:

Obviamente no compramos nada, pero el tío ya no era «el super pro del defacement» activista, ahora era el pro del «selling shells» del business overpower.

Bien, hagamos como que sí que le hemos contactado y que le hemos comprado la shell, ya tenemos el acceso a un servidor, pero… nosotros sabemos programar, y ¿el phisher?

Bueno el phisher no, él solo quiere pasta rápida, rápida, sin complicaciones, calentita, pim pam dinero dinero:

Obtención del kit de phishing

Necesitamos ahora un kit con el phishing. ¿Y esto dónde se compra? Pues en Amazon.

A no, espera… eso es otro tipo de kit XD

Por motivos obvios (primero por no financiar a este tipo de «gente» y segundo por qué os vemos las intenciones XD) no vamos a decir dónde se compra, pero, imaginemos que ya lo hemos comprado. Tenemos nuestro kit, un «.zip» que vamos a subir al servidor.

La imagen está censurada profesionalmente 😉 para no hacer referencia a ninguna empresa en concreto. Puede verse también algún deface de muestra y un Emotet XD.

Lo descomprimimos y listo, phishing montado, ya tenemos el chiringuito a tope.

Nota: Si eres phisher y estás viendo esto, que sepas que vamos a por ti ;D

Ahora que ya tenemos montado el phishing empezamos a enviar correos masivamente. Podemos tirar de bases de datos especializadas por empresa, podemos hacerlo de forma genérica o podemos perder horas en hacer OSINT y ver cuales son los usuarios que son clientes de esa empresa (tiempo = dinero, recuerda phisher).

En este correo ponemos algo así como:

Estimado *inserta nombre*,

Desde la *empresa* hemos descubierto un acceso indebido a su cuenta, por favor, pulse el siguiente enlace para ir al phishing y que podemos robar sus cuentas.

Gracias.

Pero el tiempo es dinero y somos vagos, así que, compramos la lista leñe.

Destripando el phishing (cuidado spoiler)

Vamos a hacer un pequeño inciso para contar un poquito cómo están montados los kits de phishing. Esto podrá variar dependiendo del caso y del contenido y de los conocimiento del phisher.

Podemos distinguir varios tipos:

Phishing securizado ya está todo blindado: Categoría claramente oficial para distinguir phishings. En esta categoría están los phishings de los que no se puede recuperar nada de información.

Phishing blindado pero la he cagado: Aquí se incluyen los phishings mal securizados, en estos phishings podemos encontrar el correo del phisher y otro tipo de información que nos hagan relacionar casos entre sí.

Correos del phisher. Si entramos al phishing, lo completamos y metemos las credenciales, al malo le llega un correo con el subject que se puede ver.

Dependiendo de la arquitectura del phishing, podremos incluso recuperar las credenciales.

Ejemplo de recuperación de credenciales

El kit de phishing incluye todo montado, el correo al que se le va a enviar las credenciales, un fichero dónde se guardan las credenciales y, un bloqueo / filtro.

El bloqueo de la muerte

Este bloqueo tiene un sentido, impedirnos ver el phishing para llevar a cabo su retirada. Pero, obviamente siempre se puede acabar viendo 😉

  • Esto lo llevan a cabo de diferentes formas:
  • Acceso al phishing solo desde el móvil.
  • Sólo desde un país.
  • O exclusivo para dispositivos de la marca X.
  • Impiden el acceso a sitios como Netcraft, McAfee, etc

Ya soy el mejor phisher, ¿y ahora?

Bueno, si ya tienes todo lo que hay que tener para ser un buen phisher, lo que puedes hacer es, o externalizar servicios (esta es la clave fundamental cómo se ha visto todo el rato, no hacer ni el huevo) o, ser más pro, ir a un sitio de venta de tarjetas y enseñar a todo el mundo como pides algo por Amazon a tu casa para que se vea lo buen phisher que eres. Así además la gente puede verificar que la tarjeta funciona antes de comprártela 😉 todo redondo.

Y, por supuesto, asistir a las quedadas de phishers:

Resultado de imagen de gif ferrari
Expectativas

Espera, queríamos decir a estas quedadas:

Resultado de imagen de gif carcel
Realidad

Conclusión y agradecimientos

Finalmente, después de bromear un poco, creemos que debemos poner una conclusión seria y madura.

Agradecer a todas las personas que trabajan en la lucha contra el fraude, los trabajadores y entidades. A todos aquellos que luchan por acabar con esta lacra, todo nuestro corazón <3 os damos.

Por otro lado, queremos que se vea resaltada la gran labor que se está llevando a cabo con este tipo de casos. La comunidad es muy grande y somos conscientes de la gran labor y el trabajazo que se lleva a cabo en la creación de herramientas de detección y mitigación de este tipo de amenazas.

Sin extendernos más, deciros que si os ha gustado el artículo tanto como a nosotros escribirlo, os agradeceríamos compartirlo y darnos un poco de feedback sano, quién sabe, si gusta lo mismo traemos más parecidos.

Nos despedimos! Hasta la próxima!

_____________________

Recordaros que podéis seguirnos en nuestro Twitter, Instagram y en nuestro canal principal de Telegram y en el canal destinado a CTI

¡Únete a la conversación! 1 comentario

  1. […] primer lugar tenemos al pro del «selling shells«, el que salía en la guía del phisher, este sujeto es uno de los más divertidos con los que hemos topado debido a su forma de […]

    Responder

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Acerca de Luis Diago de Aguilar

Cyber Threat Intelligence Analyst at Deloitte | Derecho de la Red & t.me/cti_espana| Programador | Cibercooperante

Categoría

Artículos, CiberInteligencia, Cyber, Noticia

Etiquetas

, ,