viernes, 18 de noviembre de 2016

SMISHING - Practica

Smishing - La practica.




Hace algún tiempo, publique un post phishing-smishing | SMS roba Apple ID evoluciona una noticia sobre la actual amenaza que están sufriendo los usuarios de Apple con los iPhone, en donde los usuarios resiben mensajes de texto malintencionados, el fin de estos mensajes es robar los Apple ID y demás información que se pueda tener en estas cuentas.

Retomando lo anterior sabes que esta practica, consta de 4 técnicas distintas.
  1. Ingenieria Social
  2. Spam
  3. Smishing
Estas son las técnicas que se implementaran para llevar acabo este ejemplo, explicaremos en que consiste cada técnica y cual es nuestro objetivo.



Como sabemos el smishing consiste en mandar mensajes de texto a mas de un dispositivo, con un link en su contenido. La información que contiene este mensaje tiene la finalidad de atrapar a la  victima, para que este caiga a una trampa. En la mayoría de los casos, los mensajes de texto deben ser respondidos con un código o dando clic a un enlace que estos contengan.

Recomiendo leer el post:

Ahora nosotros haremos una pequeña practica... realizaremos SMISHING

Ingeniería Social

Para poder llevar acabo esta practica se debe considerar la ingeniería social, pues debemos de crear una trampa. El atacante, mandara un mensaje de texto el cual debe ser llamativo para nuestra victima, prácticamente se debe obligar a nuestra victima a que de clic a la URL o conteste el mensaje con algún código.

El mensaje pude tener 2 principios. El principio numero uno, es hacer creer a nuestra victima que ha ganado algo y que debe de cobrarlo siguiendo nuestros pasos.
Por ejemplo:

"Hola. Nos agrada informarle que ha sido el ganador de un auto nuevo, si desea cobrar este premio conteste este mensaje con el código "7291835a"". Si nuestra victima mandara el mensaje, podríamos hacerlo entrar a sistemas de mensajería premium.

Otro ejemplo:

"Por hacer X cantidad de recargas a su numero telefónico, TELEMOVIL le regala $100 de saldo, solo ingrese a la siguiente dirección y siga los pasos. tram_te.es". En este caso, obligamos a nuestra victima a entrar a una pagina web posiblemente maliciosa, o comprometida, utilizando distintas técnicas de propagación de malware como Drive-by Download.

En el siguiente principio, podemos hacer creer a nuestra victima que su información, se encuentra en riesgo y que debe realizar alguna serie de pasos dentro de una pagina, obviamente la pagina debe ser maliciosa.

Por ejemplo:

"Hemos detectado actividad inusual en tu cuenta de Facebook, por tal motivo tu cuenta ha sido suspendida. Si quieres recuperar la, ingresa al siguiente link (caca.fa.urs) y accede a tu cuenta. ". Si la victima accede a este link, fue atrapado con el phishing.

Spam

Este es factor nos ayuda a incrementar nuestras posibilidades de éxito, pues basándonos en simple calculo, tenemos mas posibilidades, de tener exito si mandamos en sms a mas de 100 números diferentes, seguro alguno caerá ante la trampa.

Sin embargo, se debe de tener en consideración un factor que nos puede detener, claro solo momentáneamente. Si no contamos con las "herramientas" adecuadas, o los servicios necesarios para hacer spam, tendremos que recurrir a ciertos servicios. 

Algunas personas, creerían que se puede hacer Spam, sencillamente, pues se debe de tener en cuenta que nuestro spam se enfocara a SMS y no E-mail, algunas empresas pagan "ciertos" servicios a otras para hacer spam, recuerden que nosotros haremos smishing. Podemos utilizar distintos software que nos ayudaran a realizar esta tarea, pero claro en su mayoría son de paga.

Es cuestion de saber como buscar en SanGoogle, pues es donde esta toda la información. En cuestión tendremos que invertir un poco de plata, claro, se espera que nuestra inversion se triplique o quintuplique.

En este caso, no dependeré de servicios de terceras empresas, por cuestiones de tiempo en investigar y a su vez, por intentar ser practico.

Una de las cuestiones mas interesantes en este caso seria ¿Y los números de telefónicos? Evidentemente para realizar el Spam debemos de contar con una DB de números de teléfono, los cuales serán blanco de nuestro smishing.

Este pequeño problema tiene una solución muy sencilla, buscar las DB en SanGoogle. Aunque la mayoría no lo cree, sabiendo como buscar puedes encontrar bases de datos con números telefónicos, en algunos casos estas bases de datos serán vendidas y en otros, serán gratis.

Algo interesante, es que existen comunidades en distintas redes sociales como Facebook donde es posible dar con grupos que se dedican a compartir bases de datos, pero son grupos muy exclusivos en donde la mayoria de los casos, solo se puede acceder con una invitacion o en otros casos pagando con dinero a los administradores de dichos grupos.

Por otro lado, podemos comprar la bases de datos, existen algunos sitios que nos ofrecen bases de datos para call centers o marketing a precios muy accesibles.




Si es necesario y se cuentan con los fondos suficientes se pueden comprar algunas debe por algunos dolares, pero claro, esto puede ser ilegal.

Teniendo en cuenta algunos aspectos que pueden desalentarnos, es que podemos ser victimas de una estafa al comprar una base de datos, pues puede que la mayoría de los números no funcionen actualmente.

Se debe tener mucho cuidado con este aspecto, pero como ya lo he mencionado con anterioridad se debe de buscar muy bien y tendremos buenos resultados.




Smishing

El smishing es el nuevo termino informático, utilizado por los especialistas en crímenes informáticos para referirse a un tipo de delito o cibercrimen, en donde la aplicacion de la ingeniería social, spam y phishing son la base de dicha actividad. En el smishing esta dirigido a usuarios de telefonía móvil, por medio de mensajes de texto SMS en donde se solicitan datos, información, se pide el ingreso a una pagina web (phishing) o que el mismo mensaje sea contestado con algun codigo en especifico.

Resultado de imagen para smishing
El smishing tiene distintos fines, los mas comunes son; fraudes, extorsiones, robos de información, propagacion de malware, herramienta de phishing, etc.  Uno de los ejemplo mas comunes que se tiene es el siguiente:

"Querido usuario *numero de la victima* se le indica que usted se a suscrito a un servicio de citas el cual tendra un costo de 1 dorar diario. Si desea cancelar esta suscripción ingresa a la siguiente pagina web y siga los pasos indicados www.pepitocaliente.com"

Si el usuario ingresa a dicho sitio, este puede que quedar expuesto a un malware, phishing o el sitio puede que lo obligue a descargar alguna aplicacion maliciosa.

PRACTICA

ANTES DE INICIAR CON LA PRACTICA SE DEBEN ACLARAR ALGUNOS PUNTOS. ESTA PRACTICA FUE REALIZADA EN UN ENTORNO CONTROLADO BAJO EL PERMISO DE LAS "VICTIMAS".

INTENTAR REPLICAR ESTA ACTIVIDAD PUEDE CONTRAER PROBLEMAS LEGALES. EL FIN DE ESTA ACTIVIDAD ES MERAMENTE EDUCATIVO E INFORMATIVO. NO SE INCITA A ACTIVIDADES ILICITAS

REDBIRD Y ASOCIADOS NO SE HACEN RESPONSABLES DE LA INFORMACIÓN AQUÍ MOSTRADA.

Teniendo en cuenta lo anterior mente mencionado pasamos a realizar esta practica. Antes que nada se debe definir el objetivo de nuestro smishing, como se menciono anteriormente puede tener diferentes fines, desde la propagacion de malware o phishing. En nuestro caso, no propagaremos malware ni phishing, si no mas bien recrearemos un ejemplo similar.

En nuestra pratica haremos que nuestra victima, de clic sobre un link "malicioso" el cual puede contener desde malware, phishing y si es posible hasta scam.

Nosotros nos apoyaremos de un servicio en linea que nos permite dar con la IP de nuestra victima, cuando esta persona pase por un acortador de URL. Usaremos los servicios de www.ps3cfw.com el cual por medio de un link podemos obtener la IP de quien acceda a dicho link, en resumidas cuentas es un servicio de IP logger (se vera en el curso de Doxing).


El uso de este servicio es muy simple, sim embargo lo explicare.


Esta es la sección que nos importa, como pueden observar en la imagen tenemos dos opciones la principal Generate new IP Logging URL y Retrieve Logs. Cuando demos clic en la primer opción, nos aparecerá una venta con la siguiente información.


En este apartado obtenemos 2 url y una clave, la clave es muy importante y es necesario anotarla en algun sitio, ya que sin ella, no podremos ver los resultados. Continuando, tenemos un link directo y uno corto, con los servicios de goo.gl, en mi caso usare el segundo o el link con acortador, recuerden que sera enviado en un SMS.

Teniendo con la URL y la clave listos debemos de elaborar nuestro mensaje de texto, en este momento debemos ser cuidadosos con el texto que ingresemos en el mensaje, pues de esto dependerá que nuestra victima caiga en la trampa.

En mi caso he pensado en elaborar uno, suplantando Facebook, algo como:

"Facebook ha detectado un inicio de sesión sospechoso y por motivos de seguridad, tu cuenta ha sido suspendida. Para recuperar tu cuenta y su información accede al siguiente link e inicia sesión nuevamente  https://goo.gl/YuN89l"

Este sera el mensaje el SMS que planeo utilizar. Ahora, la herramienta que me ayudara a perpetrar mi smihsing sera mi mismo Smartphone con una aplicacion especialmente diseñada para dicha tarea.

Esta aplicacion nos permite mandar de manera masiva SMS a distintos números telefónicos en un cierto lapso de tiempo, si nosotros lo queremos de ese modo. Basta con indicar a que números mandaremos los sms en la parte superior, donde dice "Type a name of number...". Puede resultar algo tedioso estar registrando todos los números en el dispositivo, sin embargo se debe recordar que esto no es mas que un ejemplo y hasta cierto punto se debe de evitar su reproducción con fines maliciosos.

Una vez ingresados los números, que en mi caso serán solo 3 en la segunda parte, pasamos a ingresar nuestro mensaje, pero se debe tener cierto cuidado en este aspecto, pues solo se pueden ingresar 160 caracteres, por tal motivo debemos ser cuidadosos en la información que pongamos.

Con los números seleccionados, y el cuerpo del mensaje listo, podemos proseguir. Un factor a tener en cuenta, es el costo por mensaje, recuerden que estamos enviando SMS atravez de nuestro dispositivo y que esto nos trae algunos costos.

Estos costos pueden ser muy elevados, si mandamos mas de 1000 mensajes, la carta que nos puede ayudar en este punto es la solicitud de un servicio o plan telefónico que contemple el envió de sms ilimitado y sin costo. Con la compañía proveedora de servicios telefónicos que tengo, al pagar 50 pesos mexicanos, tengo un servicio el cual incluye sms ilimitados y gratis.

  En la configuración que yo puse de envió, en la sección "# of text" indicamos la cantidad de sms que enviaremos.

En la parte a la derecha "Delay" indicamos cuanto es el tiempo entre mensajes, yo indique 10 segundos. Esto significa que del primer mensaje que se envió al pasar 10 segundo se enviara el siguiente. en esta marte por máximo se pueden indicar de 2 segundo a 1 minuto de retraso.


Una vez enviado el sms, a nuestras "victimas" simplemente esperamos a que alguna de ellas de clic sobre el link. A gran escala podemos tener mas posibilidades de éxito que solo enviándolo solo a 3 números.

En el caso de que nuestra victima decida ingresar a este link puede que sea enviado a una pagina phishising o una web maliciosa para descargar algún malware, incluso puede ser una gran herramienta de scam.

Simplemente se debe de pensar en la gran infinidad de posibilidades, que tenemos al mandar mensajes. Muchos podrían considerar como una opción el SMS Spoofing, utilizando software que tiene Kali Linux como como SET pero estos mensajes tienen un precio, dependiendo el servicio como llenda.net y smsgang.com incluso mblox.com cobran por mensaje y por nacionalidad.




Una vez mandados los mensajes, la victima al hacer clic sobre el enlace, sera enviado a una pagina en blanco, la cual no tendrá nada.

Para saber si nuestra victima, abrió el enlace que se mando por SMS, utilizaremos la clave que la pagina nos había generado para ver los loggins.
De quienes evidentemente abrieron el link.
















y como podemos observar abrieron el enlace, si este fuera otro caso, estarían ingresando a su cuenta de Facebook. Algo muy similar sucede actualmente con Apple, pues los usuarios de los dispositivos iPhone son victimas de smishing en donde pierden, su Apple ID y demás información que puedan tener almacenada en esas cuentas, incluso las tarjetas de crédito con las que pagan algunos servicios.

Algunos dispositivos, alertan a los usuarios sobre acceder a estos links en donde se explica claramente, el riesgo que se puede tener al acceder a estos links.

Se debe recordar que ninguna empresa o banco solicitaría este tipo de información, y menos por sms. En dado caso que mensajes similares indiquen un problema con la red social o el banco, se debe consultar esta información por otro lado y no por el link proporcionado, en otros casos en donde indiquen que has sido el ganador de algún premio debido a un sorteo o demás al cual no te suscribiste simplemente ignora el mensaje y si es posible reporta el numero del cual proviene.


0 comentarios:

Publicar un comentario