Pito pito gorgorito… pin, pan, pun, fuera. Como si se tratase de una rima de sorteo así de fácil es la probabilidad de ser víctima de un phishing. Cada día las técnicas para engañar a los usuarios y pescar sus datos personales, contraseñas, números de cuenta… se perfeccionan muchísimo más tal y como se ha visto en Palabra de hacker en las numerosas charlas disponibles que tratan esta temática como ‘Ingeniería social: evolución del phishing‘, ‘La curiosa historia del spam y cómo protegerse del phishing‘ o ‘PaaS: phishing as a service‘.
Pues hoy toca una demostración de lo sencillo que es implementar ese engaño. En las Jornadas de Seguridad Informática TomatinaCON, Raúl Fuentes hizo una demo de SocialFish una herramienta que sirve para preparar ataques de phishing con una sencillez pasmosa y que tiene una finalidad educacional para poderla utilizar en las formaciones de concienciación o en la preparación de empleados para que eviten caer en un phishing.
La charla, disponible tanto en vídeo como en podcast al final del artículo, es el complemento práctico al ‘Decálogo de buenas prácticas en redes sociales‘, charla que realicé yo y que se basa en un Informe de buenas prácticas en redes sociales publicado por CCN CERT. Raúl se centró en el punto cuatro que insiste en ser prevenido en Internet ante lo desconocido para no ser víctima de un engaño mediante el uso de la Ingeniería social. Un desarrollo práctico para evidenciar lo sencillo que es crear un ataque de phishing y pin, pan, pun, fuera.
Raúl Fuentes (@raulfuentes77) es Ingeniero en Informática y Analista Informático Superior de Aplicaciones C++. Es profesor en ciclos formativos y en algunos cursos de postgrado. Organizador de las jornadas TomatinaCON. Coorganizador de Hack&Beers Valencia y cibercooperante de INCIBE.
¿Qué es SocialFish?
SocialFish es una herramienta creada por Alison Moretto (@A1S0N_) que está disponible de manera gratuita en su perfil en el repositorio de GitHub. Sirve para preparar ataques dirigidos de phishing y hacer una recopilación de información en un montón de perfiles: Facebook, Twitter, LinkedIn, WordPress, GitHub… Permite un clonado exacto de estas páginas y el plato está servido para iniciar la pesca de posibles víctimas.
La versión extendida SocialFish v2.0 integrada con Ngrok permite el acceso a un mayor número de datos de la víctima objetivo tales como la IP, geolocalización, país, fecha y hora del ataque y mucha más información.
La herramienta tiene un fin educativo que sirve para demostrar lo fácil que es caer en estos engaños de phishing tan a la orden del día. Cualquier otro uso que no esté justificado por dicha finalidad escapa de toda responsabilidad. De ahí un disclaimer tanto en la propia herramienta, como en la charla y en esta entrada. Conocer este tipo de herramientas permite estar preparado para saber cómo lo usan los ciberdelincuentes, sacarle un beneficio más allá del educacional sería pasar a ese otro lado de la línea que tantas veces he mencionado.
Herramientas usadas en la demo
- SocialFish: https://github.com/UndeadSec/SocialFish
- Ngrok: https://ngrok.com Se trata de una herramienta que sin tener que hacer ninguna configuración extra en el router o firewall, permite el acceso a nuestro servidor local a cualquier usuario de Internet con el que el que se comparta una url generada dinámicamente. La aplicación lo que hace es crear un túnel mediante la url dinámica generada mostrando lo que se tenga en nuestro servidor, en este ejemplo una web clonada.
- Termux: Es un aplicación gratuita en el Google play. Consiste en un emulador gratuito de terminal Android y una aplicación de entorno Linux que funciona directamente sin necesidad de ser root. Se instala automáticamente un sistema básico mínimo con el que operar.
- EvilURL: https://github.com/UndeadSec/EvilURL
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!