Professional Documents
Culture Documents
U2: Social Enginyer Toolkit: M016 - Ciberseguretat I Hacking Ètic Hacking Ètic 22/23
U2: Social Enginyer Toolkit: M016 - Ciberseguretat I Hacking Ètic Hacking Ètic 22/23
Departament d’Informàtica
L'enginyeria social continua sent una de les metodologies d'atac més utilitzades a causa de
l'alt nivell d'eficàcia aconseguit enganyant l'usuari.
Com va dir aquell "la cadena és tan forta com la baula més feble que la compongui" i, en més
ocasions de les que hauria, aquesta baula no té nom de hardware o software, sinó d'alguna
persona anomenada Jordi, Lluís o Meritxell ...
Què és SET?
Simplificant al màxim:
1
Tomàs Bigordà
Departament d’Informàtica
SET és una completíssima suite dedicada a l'enginyeria social , que ens permet automatitzar
tasques que van des de l'enviament de SMS (missatges de text) falsos, amb què podem
suplantar el número telefònic que envia el missatge, a clonar qualsevol pàgina web i posar en
marxa un servidor per fer pesca en qüestió de segons.
El kit d'eines SET està especialment dissenyat per fer atacs avançats contra l'element humà.
Originalment, aquest instrument va ser dissenyat per ser publicat amb el llançament de
http://www.social-engineer.org i ràpidament s'ha convertit en una eina estàndard a l'arsenal
dels pentesters. SET va ser escrit per David Kennedy (ReL1K) amb l'ajuda de la comunitat
hacker.
SET integra moltes de les funcions de Metasploit, és més, moltes de les funcions de SET les
treu de Metasploit, per tant no es concep SET sense tenir prèviament instal·lat Metasploit.
Potser el que més ens ha cridat l'atenció de SET és la seva eficàcia i agilitat a l'hora
d'implementar la seva gran varietat d'atacs...
Bé deixant d'una banda la xerrameca anem a donar una ullada ràpida a SET i algunes de les
seves funcions. No podem oblidar que tractar-lo a fons ens podria portar més d'una classe,
per altra banda, no us animo a investigar sobre aquesta magnífica eina de ReL1k i el seu
equip...
SET és multiplataforma i només necessitem tenir instal·lat l'intèrpret de Python per executar-lo
i iniciar-lo amb ./set o Python set a la carpeta on decidim desar-lo.
SET ve integrat a Kali, però el podeu descarregar directament des de la pàgina trustedsec, si
voleu fer servir qualsevol altra distribució .
2
Tomàs Bigordà
Departament d’Informàtica
Index de continguts
1. Phising
2. Phising + DNS Spoofing
3. Enviar mails massius
4. Curiositats
5. Preguntes extra
Requisits
3
Tomàs Bigordà
Departament d’Informàtica
1. Phising
Heu d’entrar al SET del Kali Linux i triar un atac d’enginyeria social (Opció 1)
4
Tomàs Bigordà
Departament d’Informàtica
A continuació l’apartat 3
Aquí podeu triar un template (opció 1 - web ja feta) o clonar-n’hi una (opció 2).
5
Tomàs Bigordà
Departament d’Informàtica
En el meu cas en clonaré una, en aquest cas el login de facebook o yahoo, però podria ser
qualsevol altra
https://login.yahoo.com/ / https://www.facebook.com/login.php
També s’ha indicat la IP on estarà el servidor, en aquest cas és la IP que em surt per defecte
(localhost)
6
Tomàs Bigordà
Departament d’Informàtica
Com es pot veure, l’aplicació ja ens ha clonat la web i està a l’espera de rebre dades.
Des d’una màquina que està a la mateixa xarxa accedim a la IP del servidor (en aquest cas
192.168.0.21). Es pot veure la pàgina clonada
Al introduir les nostres dades i donar-li a iniciar sessió aconseguirem les credencials d’aquest
usuari per entrar en el facebook.
7
Tomàs Bigordà
Departament d’Informàtica
Objectiu: Veure la importància de la formació per evitar caure en paranys d’aquest tipus.
8
Tomàs Bigordà
Departament d’Informàtica
Al llarg del temps s'ha vist que molts dels atacs que sofreixen els usuaris i fins i tot les
infeccions per malware, passen en combinació amb altres tècniques per a augmentar
l'efectivitat d'aquestes. DNS spoofing és un mètode per a alterar les direccions dels
servidors DNS que utilitza la potencial víctima i d'aquesta manera poder tenir control sobre les
consultes que es realitzen.
Els servidors DNS permeten la resolució de noms en adreces IP. D'aquesta manera no és
necessari per a l'ésser humà recordar les adreces IP de cada lloc que desitja visitar. Aprofitant
aquesta dependència que existeix amb els servidors de noms de domini, molts dels atacants es
beneficien d'aquest node, dins de la ruta de comunicació, quan es consulta un lloc web. En
altres paraules, alteren les adreces IP dels servidors DNS de la víctima perquè apuntin a
servidors maliciosos. Aquesta activitat maliciosa és coneguda sota el nom de DNS Spoofing.
Utilitzant el que hem après en l’anterior apartat i l’eina etthercap farem un atac de phishing
alterant els DNS que utilitza la victima.
9
Tomàs Bigordà
Departament d’Informàtica
Fins fa poc per poder enviar mails utilitzant l'API JavaMail en el nostre compte de gmail s'havia
de d'activar una aplicació de seguretat tal i com es mostra en les següents imatges
Desafortunadament, des del passat 30 de maig aquesta opció no hauria de funcionar, ja que el
GMAIL ha deixat d'admetre aplicacions que demanin sessió al gmail utilitzant usuari i password,
però no us espanteu, hi ha una solució. S'ha de realitzar una verificació en 2 pasos i en llavors
es genera una contrasenya específica per aquella aplicació, que és la variable clauCorreu que
us he comentat anteriorment.
Us deixo un vídeo del youtube on podeu veure el procés pas per pas (LINK).
mesos la cosa s’ha complicat una mica, però encara és pot fer. Us deixo un link que explica pas
a pas com fer-ho
https://www.youtube.com/watch?v=kZnTFUvc1ig
A continuació dins del SET del Kali Linux cal triar un atac d’enginyeria social (Opció 1)
10
Tomàs Bigordà
Departament d’Informàtica
Ja dins d’aquesta opció, triarem l’opció de fer un atac massiu a diversos mails
11
Tomàs Bigordà
Departament d’Informàtica
I utilitzarem el compte de gmail configurat anteriorment, per d’aquesta manera tenir un servidor
SMTP per fer els enviaments dels mails.
Fiquem el nostre mail, el password que ha generat el gmail i el contingut del missatge i l’hi
donem a enviar, i enviarà els mails a les direccions que hem ficat al fitxer correu.txt.
Objectiu: Veure l’utilitzat de combinar el que hem après a l’apartat 1 i 2 amb el que hem tractat
a l’apartat 3.
12
Tomàs Bigordà
Departament d’Informàtica
13
Tomàs Bigordà
Departament d’Informàtica
4. Curiositats (Esteganografia)
L'esteganografia és l'art i la ciència d'escriure missatges ocults de tal manera que només
en conegui l'existència el destinatari previst; a diferència de la criptografia, en què
l'existència del missatge per ell mateix no s'oculta, però el contingut és amagat. Per fer-
ho utilitzarem l’eina imghide, per descarregar-la farem un git clone
https://github.com/teja156/imghide i l’instal·lem
Encode i Decode
14
Tomàs Bigordà
Departament d’Informàtica
La primera ens serveix per insertar un missatge secret a una imatge i la segona per
extreure’l
Tutorials: https://www.youtube.com/watch?v=55WBEU6izUE
https://www.youtube.com/watch?v=obTc7eP7SsM
15