Introducción
En este post vamos a recuperar una antigua entrada de este blog. En él se habla de la existencia de unos kits preparados para realizar phishing. El artículo en cuestión es el siguiente:
En esta entrada no se va a hacer uso de esos kits como tal, pero sí de una herramienta, con propósito educacional, que “simula” el uso de esos kits. Hay disponible otro artículo (parodia) en el que se hace uso de uno de esos kits:
Pero antes de empezar, me gustaría que quedase claro el concepto de phishing. Para ello, tenéis disponible esta otra entrada en la que se explica qué es y los distintos tipos de phishing que existen:
Para resumirlo, cito a mi compañero Luis Diago de Aguilar;
“Phishing es una suplantación de identidad que mediante ingeniería social pretende conseguir información de un usuario. Hablando en plata: Es una copia de una aplicación cuyo objetivo es robar.”
Quedando el concepto de phishing más claro, pasamos a la herramienta en cuestión. La herramienta, escrita en python, se llama Hidden Eye.
Con Hidden Eye podemos realizar phishing de las páginas más conocidas. También existe la posibilidad de introducir las plantillas de webs diferentes a las ofrecidas por la herramienta para poder suplantarlas también.
Es decir, podemos suplantar cualquier web siempre y cuando le proporcionemos al programa las platillas necesarias. A parte de suplantar las páginas web, existe la posibilidad de incluir un keylogger que registre las pulsaciones introducidas por el usuario en la propia web suplantada.
Prerrequisitos
Para poder realizar el laboratorio necesitamos una serie de requisitos previos. En esta ocasión se va a realizar en una máquina con el sistema operativo Debian instalado. No obstante, la herramienta también puede funcionar en otros sistemas operativos. Dicho esto, los requisitos mínimos para poder poner en marcha la herramienta en Debian son los siguientes:
- Tener instalada una versión de 🐍Python3.
- Tener el comando/herramienta curl instalado.
- Tener git instalado. (Opcional)
- Privilegios de supersusuario.
- Conexión a internet.
Instalación de la herramienta
⚠️⚠️ DISCLAIMER ⚠️⚠️
La explicación de la herramienta que aquí se ofrece es de índole educacional y nada más. No me hago responsable del uso que se le pueda dar a dicha información.
Tanto la herramienta como la imagen del logo de la misma pertenecen a sus correspondientes creadores.
Cumpliendo con lo anterior, pasamos a la instalación de la herramienta. Para ello, lo primero que vamos a hacer es obtener la herramienta con el comando git o descargando el fichero zip desde el correspondiente repositorio.
(En github se encuentra el repositorio en el cual se empezó el proyecto. Si accedemos, veremos que dice que ya no se mantiene, y la otra versión de la herramienta llamada HiddenEye: Reborn no está operativa.)
Por tanto, nos vamos al repositorio de gitlab que es el siguiente: https://gitlab.com/An0nUD4Y/hiddeneye. Encontrado el repositorio correcto, nos situamos en el directorio en el que queremos que se baje la herramienta y ejecutamos los siguientes comandos:
git clone https://gitlab.com/An0nUD4Y/hiddeneye
cd HiddenEye
pip3 install -r requirements.txt
Hecho esto, ya tenemos la herramienta en nuestro equipo. Ahora vamos a proceder a su ejecución. En esta primera ejecución, la herramienta realizara una serie de comprobaciones. En el caso de que esas comprobaciones fallen, instalará aquello que falta.
Para ejecutarla hacemos uso del siguiente comando:
python3 HiddenEye.py
Veremos algo parecido a lo que se muestra en la siguiente imagen. En mi caso, como se puede ver, ya está todo instalado:
Como se puede observar, la herramienta se encarga de instalar una serie de recursos para su correcto funcionamiento. Nos preguntará si queremos instalar “LocalTunnel”, el resto lo hará automáticamente. Una vez ha finalizado de instalar todo, nos preguntará lo siguiente:
Como ya se ha dicho, se trata de realizar un laboratorio para poder jugar y comprobar lo fácil que puede ser hoy día suplantar una web. Así que por favor y por vuestro bien, no hagáis un uso irresponsable de ello.
Ejemplo de uso del Laboratorio de phishing
Alcanzado este punto, la herramienta ya tendrá todo lo necesario para funcionar en su máximo esplendor.
Contestada la pregunta anterior, veremos el siguiente menú en pantalla:
Como se puede apreciar, tenemos la opción de suplantar a bastante portales webs ya conocidos. Como ejemplo se va a desarrollar la opción de Google. Para ello debemos introducir el número “2” y pulsar la tecla intro.
Seleccionada la web, nos hará una serie de preguntas a las que deberemos de contestar con alguna de las opciones ofrecidas. La mayoría de ellas serán respuestas de sí o no, como la primera pregunta que nos hace al ejecutar la aplicación. Las iremos viendo una por una.
Así que lo siguiente a configurar es el modo de operación. En esta ocasión vamos a hacer uso de una página estándar de phishing, que es la opción 1, tal y como se puede ver en la siguiente imagen:
Seleccionado el modo, lo siguiente que nos pregunta es si queremos añadir un keylogger a la página. A esta pregunta responderemos con sí o no, tal y como indica. En mi caso lo añado:
Añadido el keylogger (o no), el siguiente paso trata en indicarle si queremos que simule una página de protección del estilo Cloudfare antes de acceder. En mi caso le digo que no, no será necesario:
A continuación, nos dice que si queremos recibir los datos que capture por email. De nuevo, en mi caso no será necesario:
Hecho esto, nos pregunta por la dirección URL a la que será redireccionada la víctima una vez introduzca sus credenciales. Esto no se puede dejar en blanco, tal y como especifica la herramienta, ya que puede dar errores. Por tanto, escribimos la URL que deseemos:
Introducida la URL, lo siguiente que pregunta es el puerto de escucha local en el que se servirá la página web suplantada. Debemos elegir uno disponible:
Seleccionado el puerto, nos pregunta qué servidor o servicio va redirigir las peticiones a nuestro servidor local. En mi caso voy a seleccionar Ngrok que es la opción 1.
Como se puede ver, la herramienta es capaz de decirnos que servicios hay actualmente caídos.
Al configurar el servicio a utilizar, la herramienta nos facilitará el enlace que redireccionará a la web suplantada que se sirve en nuestro ordenador.
En el momento vemos una pantalla como la anterior, quiere decir que ya tenemos el phishing en marcha a la espera de la recolección de pulsaciones (keylogger) y credenciales.
En este caso, se hace uso del servicio gratuito de Ngrok, el cual está limitado a una cierta cantidad de conexiones. En el momento se supere ese límite la redirección a nuestra web local caerá, avisando de que se ha superado dicho límite.
A partir de aquí es la fantasía que le queráis poner y la imaginación de cada uno. Por ejemplo, se puede usar un servicio online para acortar el enlace con la intención de añadirlo posteriormente a un correo electrónico.
Comprobando su funcionamiento
Como víctima
Ahora nos vamos a poner en la piel de la víctima y vamos a acceder al link creado por la herramienta. Se ve lo siguiente:
No se puede negar que no se parece. De hecho, es una copia idéntica a la versión de Google pero para EEUU. Como usuarios, deberíamos de ver que la URL es sospechosa. Es decir, no deberíamos de haber accedido a la URL del correo de turno, ya que somos usuarios concienciados en ciberseguridad.
Por otro lado, deberíamos de darnos cuenta de que algo extraño pasa aquí. Ya que la web no está en nuestro idioma.
Y por último, quiero recalcar que aunque tenga el “candadito” 🔒 cerrado o en verde, no es una web segura. Es decir, que utilice de un certificado para hacer uso del protocolo HTTPS no significa que sea seguro. Simplemente significa que la conexión va cifrada. En pocas palabras, si aplicamos el sentido común, nos evitaremos más de un disgusto.
Como atacante
Supongamos que la víctima en cuestión ha introducido sus credenciales. De ser así, en nuestra terminal del servidor vemos algo como lo siguiente:
Como se puede ver en la imagen, se aprecian tres áreas distintas de datos. La primera, con el texto de color verde, hace referencia a las pulsaciones de teclado introducidas por la víctima.
La segunda parte, hace referencia a los datos del dispositivo con el que la víctima ha accedido. Se puede ver el User-Agent del navegador que ha utilizado y la IP pública desde la que ha accedido a la web.
Y por último, se pueden ver las credenciales que la víctima a introducido en la web. Recordemos que al introducirlas, la víctima ha sido redireccionada a la página de Google, tal y como se ha visto en el proceso de creación del phishing.
Conclusiones
Como se ha podido ver, aunque no se trate de un phishing llevado a cabo de forma “profesional”, no hace falta ser ningún experto con los ordenadores para llevar a cabo este tipo de práctica.
Es por ello que es un verdadero peligro. Debemos concienciar a la gente de que este tipo de ataque/estafa/engaño existe todavía y sigue teniendo éxito, ya que sigue siendo fructífero para los criminales. Puede llegar a tener unos efectos devastadores para una persona y/o entidad.
En las otras entradas del blog que se han mencionado a lo largo de este post, existen algunas directrices de cómo protegernos ante el phishing. Pero, como ya se ha dicho, principalmente hay que hacer uso del sentido común.
De todas formas, se facilita otra entrada de este blog que presenta un recurso interesante para formar a los usuarios. Con este recurso serán capaces de detectar este tipo de ataques:
Espero que os haya gustado el post. Y sobre todo, espero haber ayudado a concienciar de lo peligroso que es este tipo de ataque llamado phishing.
Saludos y hasta la próxima.
___________________________________
Recordaros que podéis seguirnos en nuestro Twitter e Instagram.
Colaborador de “Derecho de la red”.