Mi madre fue pirateada por un correo electrónico de phishing que le pedía que confirmara su cuenta de Google. El atacante envió un documento cuidadosamente redactado para hacer clic en un enlace que la registrará en su cuenta de Google.com. Si ella no respondía de inmediato, sería bloqueada de su cuenta. Este método en particular utiliza dos herramientas comunes de ingeniería social utilizadas por actores malintencionados: confianza y urgencia. La información de nombre de usuario/contraseña se envía al pirata informático que recopila los datos de credenciales y pasa a la siguiente etapa del ataque.
Companies Mentioned
Nunca me di cuenta de lo fácil que era obtener un nombre de usuario y una contraseña para una cuenta de correo electrónico hasta que hackearon a mi madre. Al escucharla explicar lo que sucedió, me di cuenta de que el ataque fue bastante simple... inició sesión en su cuenta de Google a través de un correo electrónico pidiéndole que confirmara su nombre de usuario y contraseña. ¿Por qué cuestionaría la solicitud?
Cuando obtuve acceso a su computadora portátil, sospeché que el ataque a sus credenciales era mucho mayor y había migrado a su computadora. Me contó sobre compras no autorizadas en Amazon mientras veía aparecer mensajes emergentes aleatorios en su computadora portátil. Cerré su computadora, le dije que no volviera a iniciar sesión en ella, le compré un iPad y cambié todas sus contraseñas. Luego tuvimos una larga conversación sobre enlaces maliciosos y personas de apoyo aleatorias que la llamaron para 'ayudarla'.
Traté de entender cómo llegó a este punto de cuentas comprometidas y descubrí que es bastante simple.
Ataque de phishing por correo electrónico
El phishing es un tipo de estafa en línea en la que los delincuentes se hacen pasar por organizaciones legítimas por correo electrónico, mensajes de texto o anuncios para robar nombres de usuario y contraseñas. Esto sucede al incluir un enlace que aparecerá para llevarlo al sitio web de la compañía para completar su información, pero el sitio web es una falsificación inteligente y la información que proporciona va directamente a los piratas informáticos detrás de la estafa.
Cayó algo como esto:
El atacante envió un correo electrónico de phishing a mi madre. En este caso, un documento cuidadosamente redactado para hacer clic en un enlace que la iniciará en su cuenta de Google.com. Si ella no respondía de inmediato, sería bloqueada de su cuenta.
Mi madre hizo clic en el enlace y llegó a una página web que parece idéntica a una página de inicio de sesión de Google.com.
Ingresó al sitio falso de Google.com. Ve páginas normales de Google y cree que inició sesión con éxito en Google.com y evitó que se bloqueara su cuenta.
La información de nombre de usuario/contraseña se envía al pirata informático que recopila los datos de credenciales y pasa a la siguiente etapa del ataque.
Correo electrónico de phishing
Un correo electrónico de phishing cuidadosamente elaborado que no tenga errores tipográficos ni gramática extraña es importante para el éxito de la campaña de phishing. El correo electrónico que recibió era similar a este con el asunto: Verifique su cuenta de Google.
Correo electrónico de phishing
Este método en particular utiliza dos herramientas comunes de ingeniería social utilizadas por actores malintencionados: confianza y urgencia.
Irónicamente, un par de días después de que me envié este correo electrónico de prueba de phishing, lo vi en mi bandeja de entrada y lo abrí olvidando que había creado esta alerta para este artículo. ¡Es fácil dejarse engañar si estás distraído!
Cómo un hacker robó la información de inicio de sesión de mi madre
Vamos a usar Kali Linux para este tutorial, pero hay varias herramientas disponibles para la recolección de credenciales. Este ataque es increíblemente simple, me sorprende que sea tan fácil de implementar.
Empezando
Desde la línea de comandos, inicie el Kit de herramientas de ingeniería social (SET) como root.
# setoolkit
Social-Engineer Toolkit es un conjunto de herramientas proporcionadas por trustsec.com para pruebas de penetración y piratería ética.
En el menú principal, seleccione la opción 1 , Ataques de ingeniería social .
En el menú Ataques de ingeniería social, seleccione la opción 2 , Vectores de ataque a sitios web.
En el submenú Ataques de ingeniería social, seleccione la opción 2,Vectores de ataque a sitios web .
En el menú Vectores de ataque del sitio web, seleccione la opción 3 , Método de ataque de recolección de credenciales . Usando plantillas integradas, esta opción nos permite usar sitios web populares, como Google, Yahoo, Twitter y Facebook.
Para el método Credential Harvester Attack, seleccione la opción 1,Plantillas web
Credential Harvester comienza a construir el sitio de recopilación. Si está utilizando la misma máquina para recopilar su información, utilice la dirección IP predeterminada para POST en Harvester/Tabnapping [192.168.1.183]: selección. Cambie esta dirección a su máquina.
De la lista de plantillas web, seleccione la opción 2 . Google
Menú de plantillas web
El Social Engineer Toolkit — Credential Harvester Attack crea un sitio web temporal mediante la clonación de una copia de google.com. Iniciará un servidor web en la dirección que especificó e iniciará un oyente en el puerto 80. Cualquier conexión a este puerto se registra en la consola.
Consola de recolección de credenciales
Puede probar este exploit dirigiendo su navegador a la dirección IP que proporcionó en la sección Harvester/Tabnapping o insertando este enlace en su correo electrónico de phishing cuidadosamente elaborado.
El exploit está completo. Todo lo que el pirata informático debe hacer es esperar a que alguien cargue la página.
Los usuarios ocasionales no notarán la URL no convencional y el candado No seguro resaltados en rojo en la barra de ubicación del navegador web.
Captura de credenciales exitosa
Mientras tanto, el atacante espera el siguiente mensaje.
Completar la página de inicio de sesión de la cuenta de Google falsa captura las credenciales y las envía a la consola de la computadora del atacante. En nuestro ejemplo, un posible nombre de usuario es [email protected] mientras que su contraseña parece ser Ilikecats .
Un poco de confianza y una historia creíble es todo lo que se necesita para cosechar algunas credenciales. ¿Imagina lanzar este ataque contra varios miles de direcciones de correo electrónico?
Cómo proteger a mamá
No hay nada nuevo en la prevención de este tipo de ataques. Se aplican prácticas de seguridad cotidianas regulares: no haga clic en enlaces de alguien en quien no confíe. Si siente la necesidad de hacer clic en el enlace, confirme que la URL es de la misma fuente confiable, que no hay errores tipográficos y que no proviene de una dirección IP.