Phishing demo con SocialFish, una chrla de Raúl Fuentes

SocialFish. Phishing demo para la concienciación en el uso de Internet

Pito pito gorgorito… pin, pan, pun, fuera. Como si se tratase de una rima de sorteo así de fácil es la probabilidad de ser víctima de un phishing. Cada día las técnicas para engañar a los usuarios y pescar sus datos personales, contraseñas, números de cuenta… se perfeccionan muchísimo más tal y como se ha visto en Palabra de hacker en las numerosas charlas disponibles que tratan esta temática como ‘Ingeniería social: evolución del phishing‘, ‘La curiosa historia del spam y cómo protegerse del phishing‘ o ‘PaaS: phishing as a service‘.

Pues hoy toca una demostración de lo sencillo que es implementar ese engaño. En las Jornadas de Seguridad Informática TomatinaCON, Raúl Fuentes hizo una demo de SocialFish una herramienta que sirve para preparar ataques de phishing con una sencillez pasmosa y que tiene una finalidad educacional para poderla utilizar en las formaciones de concienciación o en la preparación de empleados para que eviten caer en un phishing.

La charla, disponible tanto en vídeo como en podcast al final del artículo, es el complemento práctico al ‘Decálogo de buenas prácticas en redes sociales‘, charla que realicé yo y que se basa en un Informe de buenas prácticas en redes sociales publicado por CCN CERT. Raúl se centró en el punto cuatro que insiste en ser prevenido en Internet ante lo desconocido para no ser víctima de un engaño mediante el uso de la Ingeniería social. Un desarrollo práctico para evidenciar lo sencillo que es crear un ataque de phishing y pin, pan, pun, fuera.

Raúl Fuentes (@raulfuentes77) es Ingeniero en Informática y Analista Informático Superior de Aplicaciones C++. Es profesor en ciclos formativos y en algunos cursos de postgrado. Organizador de las jornadas TomatinaCON. Coorganizador de Hack&Beers Valencia y cibercooperante de INCIBE.

¿Qué es SocialFish?

SocialFish es una herramienta creada por Alison Moretto (@A1S0N_) que está disponible de manera gratuita en su perfil en el repositorio de GitHub. Sirve para preparar ataques dirigidos de phishing y hacer una recopilación de información en un montón de perfiles: Facebook, Twitter, LinkedIn, WordPress, GitHub… Permite un clonado exacto de estas páginas y el plato está servido para iniciar la pesca de posibles víctimas.

La versión extendida SocialFish v2.0 integrada con Ngrok permite el acceso a un mayor número de datos de la víctima objetivo tales como la IP, geolocalización, país, fecha y hora del ataque y mucha más información.

La herramienta tiene un fin educativo que sirve para demostrar lo fácil que es caer en estos engaños de phishing tan a la orden del día. Cualquier otro uso que no esté justificado por dicha finalidad escapa de toda responsabilidad. De ahí un disclaimer tanto en la propia herramienta, como en la charla y en esta entrada. Conocer este tipo de herramientas permite estar preparado para saber cómo lo usan los ciberdelincuentes, sacarle un beneficio más allá del educacional sería pasar a ese otro lado de la línea que tantas veces he mencionado.

Herramientas usadas en la demo

  • Ngrok: https://ngrok.com Se trata de una herramienta que sin tener que hacer ninguna configuración extra en el router o firewall, permite el acceso a nuestro servidor local a cualquier usuario de Internet con el que el que se comparta una url generada dinámicamente. La aplicación lo que hace es crear un túnel mediante la url dinámica generada mostrando lo que se tenga en nuestro servidor, en este ejemplo una web clonada.
  • Termux: Es un aplicación gratuita en el Google play. Consiste en un emulador gratuito de terminal Android y una aplicación de entorno Linux que funciona directamente sin necesidad de ser root. Se instala automáticamente un sistema básico mínimo con el que operar.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Quieres recibir todas las novedades por newsletter?

Nombre

Correo electrónico


Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

AVISO LEGAL - PRIVACIDAD - COOKIES

¡Deja tu comentario! Tu correo electrónico no será publicado.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.