U2: Social Enginyer Toolkit: M016 - Ciberseguretat I Hacking Ètic Hacking Ètic 22/23

Tomàs Bigordà
Departament d’Informàtica
ASIX – Administració de Sistemes i Xarxes UF2 CURS

M016 – Ciberseguretat i Hacking ètic Hacking ètic 22/23
U2: Social Enginyer Toolkit
Al món de la seguretat informàtica no es pot deixar mai de banda l'enginyeria social.
L'enginyeria social continua sent una de les metodologies d'atac més utilitzades a causa de
l'alt nivell d'eficàcia aconseguit enganyant l'usuari.
Com va dir aquell "la cadena és tan forta com la baula més feble que la compongui" i, en més
ocasions de les que hauria, aquesta baula no té nom de hardware o software, sinó d'alguna
persona anomenada Jordi, Lluís o Meritxell ...
Encara que no és nou i molts de vosaltres el coneixereu, parlarem de SET (Social-

Engineering Toolkit).
Què és SET?
Simplificant al màxim:
1
Tomàs Bigordà

SET és una completíssima suite dedicada a l'enginyeria social , que ens permet automatitzar
tasques que van des de l'enviament de SMS (missatges de text) falsos, amb què podem
suplantar el número telefònic que envia el missatge, a clonar qualsevol pàgina web i posar en
marxa un servidor per fer pesca en qüestió de segons.
El kit d'eines SET està especialment dissenyat per fer atacs avançats contra l'element humà.
Originalment, aquest instrument va ser dissenyat per ser publicat amb el llançament de
http://www.social-engineer.org i ràpidament s'ha convertit en una eina estàndard a l'arsenal
dels pentesters. SET va ser escrit per David Kennedy (ReL1K) amb l'ajuda de la comunitat
hacker.
SET integra moltes de les funcions de Metasploit, és més, moltes de les funcions de SET les
treu de Metasploit, per tant no es concep SET sense tenir prèviament instal·lat Metasploit.
Potser el que més ens ha cridat l'atenció de SET és la seva eficàcia i agilitat a l'hora
d'implementar la seva gran varietat d'atacs...
Bé deixant d'una banda la xerrameca anem a donar una ullada ràpida a SET i algunes de les
seves funcions. No podem oblidar que tractar-lo a fons ens podria portar més d'una classe,
per altra banda, no us animo a investigar sobre aquesta magnífica eina de ReL1k i el seu
equip...
Iniciant Social-Engineering Toolkit (SET)
SET és multiplataforma i només necessitem tenir instal·lat l'intèrpret de Python per executar-lo
i iniciar-lo amb ./set o Python set a la carpeta on decidim desar-lo.
SET ve integrat a Kali, però el podeu descarregar directament des de la pàgina trustedsec, si
voleu fer servir qualsevol altra distribució .
2
Tomàs Bigordà

Index de continguts
1. Phising
2. Phising + DNS Spoofing
3. Enviar mails massius
4. Curiositats
5. Preguntes extra
Requisits
Per el laboratori es necessiten com a mínim una màquina:

• La màquina atacant Kali / Linux amb setoolkit instal·lat
3
Tomàs Bigordà

1. Phising
Heu d’entrar al SET del Kali Linux i triar un atac d’enginyeria social (Opció 1)
Tot seguit triarem l’opció 2
4
Tomàs Bigordà

A continuació l’apartat 3
Aquí podeu triar un template (opció 1 - web ja feta) o clonar-n’hi una (opció 2).
5
Tomàs Bigordà

En el meu cas en clonaré una, en aquest cas el login de facebook o yahoo, però podria ser
qualsevol altra
https://login.yahoo.com/ / https://www.facebook.com/login.php
També s’ha indicat la IP on estarà el servidor, en aquest cas és la IP que em surt per defecte
(localhost)
6
Tomàs Bigordà

Com es pot veure, l’aplicació ja ens ha clonat la web i està a l’espera de rebre dades.
Des d’una màquina que està a la mateixa xarxa accedim a la IP del servidor (en aquest cas
192.168.0.21). Es pot veure la pàgina clonada
Al introduir les nostres dades i donar-li a iniciar sessió aconseguirem les credencials d’aquest
usuari per entrar en el facebook.
7
Tomàs Bigordà

Objectiu: Veure la importància de la formació per evitar caure en paranys d’aquest tipus.
2. Phising + DNS Spoofing
8
Tomàs Bigordà

Al llarg del temps s'ha vist que molts dels atacs que sofreixen els usuaris i fins i tot les
infeccions per malware, passen en combinació amb altres tècniques per a augmentar
l'efectivitat d'aquestes. DNS spoofing és un mètode per a alterar les direccions dels
servidors DNS que utilitza la potencial víctima i d'aquesta manera poder tenir control sobre les
consultes que es realitzen.
Els servidors DNS permeten la resolució de noms en adreces IP. D'aquesta manera no és
necessari per a l'ésser humà recordar les adreces IP de cada lloc que desitja visitar. Aprofitant
aquesta dependència que existeix amb els servidors de noms de domini, molts dels atacants es
beneficien d'aquest node, dins de la ruta de comunicació, quan es consulta un lloc web. En
altres paraules, alteren les adreces IP dels servidors DNS de la víctima perquè apuntin a
servidors maliciosos. Aquesta activitat maliciosa és coneguda sota el nom de DNS Spoofing.
Utilitzant el que hem après en l’anterior apartat i l’eina etthercap farem un atac de phishing
alterant els DNS que utilitza la victima.
Podeu de seguir el següent tutorial per realitzar-ho: https://www.youtube.com/watch?

v=qcTOtElv9oU
3. Enviar mails massius
9
Tomàs Bigordà

Fins fa poc per poder enviar mails utilitzant l'API JavaMail en el nostre compte de gmail s'havia
de d'activar una aplicació de seguretat tal i com es mostra en les següents imatges
Desafortunadament, des del passat 30 de maig aquesta opció no hauria de funcionar, ja que el
GMAIL ha deixat d'admetre aplicacions que demanin sessió al gmail utilitzant usuari i password,
però no us espanteu, hi ha una solució. S'ha de realitzar una verificació en 2 pasos i en llavors
es genera una contrasenya específica per aquella aplicació, que és la variable clauCorreu que
us he comentat anteriorment.
Us deixo un vídeo del youtube on podeu veure el procés pas per pas (LINK).
mesos la cosa s’ha complicat una mica, però encara és pot fer. Us deixo un link que explica pas
a pas com fer-ho
https://www.youtube.com/watch?v=kZnTFUvc1ig
A continuació dins del SET del Kali Linux cal triar un atac d’enginyeria social (Opció 1)
10
Tomàs Bigordà

Tot seguit triar un atac massiu de mailing (opció 5)
Ja dins d’aquesta opció, triarem l’opció de fer un atac massiu a diversos mails
11
Tomàs Bigordà

I utilitzarem el compte de gmail configurat anteriorment, per d’aquesta manera tenir un servidor
SMTP per fer els enviaments dels mails.
Fiquem el nostre mail, el password que ha generat el gmail i el contingut del missatge i l’hi
donem a enviar, i enviarà els mails a les direccions que hem ficat al fitxer correu.txt.
Objectiu: Veure l’utilitzat de combinar el que hem après a l’apartat 1 i 2 amb el que hem tractat
a l’apartat 3.
12
Tomàs Bigordà

Com podeu veure els mails han arribat perfectament
Us deixo un tutorial per fer-ho https://www.youtube.com/watch?v=jmXT-c6dcOk&t=366s
13
Tomàs Bigordà

4. Curiositats (Esteganografia)
L'esteganografia és l'art i la ciència d'escriure missatges ocults de tal manera que només
en conegui l'existència el destinatari previst; a diferència de la criptografia, en què
l'existència del missatge per ell mateix no s'oculta, però el contingut és amagat. Per fer-
ho utilitzarem l’eina imghide, per descarregar-la farem un git clone
https://github.com/teja156/imghide i l’instal·lem
L’eina és molt fàcil, bàsicament té 2 opcions
Encode i Decode
14
Tomàs Bigordà

La primera ens serveix per insertar un missatge secret a una imatge i la segona per
extreure’l
Tutorials: https://www.youtube.com/watch?v=55WBEU6izUE
https://www.youtube.com/watch?v=obTc7eP7SsM
15

U2: Social Enginyer Toolkit: M016 - Ciberseguretat I Hacking Ètic Hacking Ètic 22/23

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

U2: Social Enginyer Toolkit: M016 - Ciberseguretat I Hacking Ètic Hacking Ètic 22/23

Uploaded by

Copyright:

Available Formats

Tomàs Bigordà

ASIX – Administració de Sistemes i Xarxes UF2 CURS