BlogCyber Weapons Lab

Cómo: Phish en sitios de redes sociales con SocialFish

El phishing es la forma más fácil de robar su contraseña, ya que solo se necesita un error para iniciar sesión en el sitio web incorrecto. Un sitio de phishing convincente es clave para un intento exitoso, y las herramientas para crearlos se han vuelto intuitivas y más sofisticadas. SocialFish permite a un pirata informático crear una página de phishing persuasiva para casi cualquier sitio web, ofreciendo una interfaz web con una aplicación de Android para control remoto.

En guías anteriores sobre phishing, una de las preguntas más comunes ha sido sobre qué tan fácil sería adaptar la página predeterminada para que parezca un inicio de sesión en particular. SocialFish puede clonar un sitio web de redes sociales para crear un enlace de ataque de recolección de contraseñas con solo unos pocos clics, eliminando la necesidad de crear dicha plantilla usted mismo. Si bien también hay un versión anterior de SocialFish que contó con la integración de Ngrok, vamos a echar un vistazo a la nueva versión.

La próxima generación de SocialFish

Si bien las versiones anteriores de SocialFish eran impresionantes, la última actualización incluye una interfaz web limpia para crear y administrar enlaces de phishing. El cambio a interfaces basadas en web para herramientas como Kismet ha ayudado a que SocialFish sea más accesible para los principiantes, y la refinada simplicidad hace que la clonación de casi cualquier sitio web sea increíblemente sencilla.

Una desventaja del nuevo SocialFish es que la documentación es escasa o inexistente para muchas funciones. Eso significa que muchas de las funciones, como la aplicación de Android adjunta, no son fáciles de usar y la resolución de problemas puede ser difícil, ya que la Wiki contiene una cantidad mínima de información.

Aún así, como una herramienta de vanguardia con una interfaz sencilla y controles bien pensados, SocialFish es una manera fácil de demostrar cuán simples son los enlaces de phishing personalizados. Una nota importante para este artículo es que, debido al potencial de uso indebido y documentación incompleta, solo implementaremos este enlace en nuestra red interna, no en un objetivo en Internet externo.

Lo que necesitarás

Para usar SocialFish, necesitará tener instalado Python3 o superior en su computadora. También necesitará PIP3, el administrador de paquetes de Python3, instalado también. Además, se requieren varias bibliotecas para que se ejecute esta herramienta. Cubriremos su instalación en los próximos pasos, pero tenga en cuenta que esto puede llevar bastante tiempo descargar y configurar en una red lenta.

Paso 1: Descarga SocialFish

Para empezar a utilizar SocialFish, podemos echa un vistazo al repositorio de GitHub para obtener información sobre versiones anteriores y la aplicación móvil que acompaña a la herramienta principal. Hacerlo funcionar requiere que se instalen bastantes dependencias, por lo que con una buena conexión a Internet, podemos instalar todo con unas pocas líneas en una ventana de terminal.

En una nueva ventana de terminal, escriba los siguientes comandos para instalar las dependencias necesarias, clonar el repositorio y ejecutar el script de configuración.

~$ sudo apt-get install python3 python3-pip python3-dev -y
~$ git clone https://github.com/UndeadSec/SocialFish.git
~$ cd SocialFish
~$ python3 -m pip install -r requirements.txt

Una vez que haya terminado de ejecutarse, debería estar listo para usar SocialFish. Usaremos nuestro navegador para interactuar con él, así que abra una ventana de FireFox antes de continuar con el siguiente paso.

Paso 2: inicie sesión en la interfaz web

Ahora, creemos una interfaz web que ayudará a administrar nuestros enlaces de phishing. Para hacer esto, abra una ventana de terminal y escriba lo siguiente para cambiar a la carpeta SocialFish. Elija un nombre de usuario y contraseña para iniciar sesión en la interfaz web y sustitúyalos por los campos “suusuario” y “su contraseña”.

~$ cd SocialFish
~$ python3 SocialFish.py youruser yourpassword

Una vez que haya terminado de configurar, deberíamos poder acceder a la interfaz web navegando a la URL 0.0.0.0:5000 en nuestro navegador. Ingrese el nombre de usuario y la contraseña que configuró y haga clic en “Iniciar sesión” para acceder al portal SocialFish.

Paso 3: seleccione el objetivo para clonar

Dentro del portal SocialFish, podemos ver información importante. En la parte superior, vemos el campo del sitio web que queremos clonar, el sitio web al que queremos redirigir y la URL de nuestro ataque.

También podemos ver información sobre los enlaces que ya hemos creado. En mi caso, ya he creado ocho enlaces de ataque, que han atraído 15 clics y cuatro conjuntos de credenciales capturadas.

Paso 4: seleccione el enlace de redireccionamiento

Para nuestro ataque, tendremos que decidir qué sitio web queremos clonar. En este caso, elegiremos twitter.com/login. Para simplificar las cosas, lo redireccionaremos de nuevo a twitter.com después. Si ya han iniciado sesión, parecerá que un inicio de sesión normal se realizó correctamente.

Ingrese la URL que desea clonar y la URL a la que desea redirigir en sus respectivos campos en la parte superior derecha de la página. Haga clic en el rayo para activar el enlace.

Paso 5: Implementar el enlace de suplantación de identidad

Ahora, en una ventana separada del navegador, navegue hasta el enlace del ataque, el enlace que le estaríamos sirviendo a la víctima durante un ataque real. Se le dirigirá a un sitio de phishing de aspecto real y podrá introducir un nombre de usuario y una contraseña para probarlo.

Durante una implementación en vivo, deberá redirigir el objetivo a esta URL. La documentación actual es incompleta sobre esto, y también la dejo fuera para reducir el riesgo de uso malintencionado de este script. Por ahora, podemos acceder a él en nuestra red interna.

Una vez que ingresamos nuestras credenciales de prueba, deberíamos ser redirigidos al enlace que especificamos. Ahora que hemos capturado algunas credenciales, exploremos cómo SocialFish las registra.

Paso 6: analizar las credenciales capturadas

De vuelta en el menú principal, podemos ver que ha aumentado la cantidad de credenciales capturadas. También podemos ver que en la lista de “Ataques exitosos” hay varios registros a los que podemos acceder.

Haga clic en “Ver” en el registro más reciente para ver las credenciales que interceptamos. Debería abrir una página que descargue la información recopilada en un formato como el siguiente.

¡Eso fue fácil! Con solo un par de clics, pudimos crear un sitio web que se ve virtualmente idéntico al Twitter.com real. Tan pronto como ingresamos nuestras credenciales, SocialFish las capturó y las guardó en un registro interactivo, lo que nos permitió administrar campañas de phishing fácilmente.

SocialFish facilita el phishing

Aunque SocialFish ha pasado por muchas iteraciones, sigue siendo una herramienta poderosa para crear páginas de phishing convincentes para sitios web de redes sociales. No hemos profundizado en cómo implementar SocialFish en una red en este artículo, pero como puede ver en nuestro ejemplo, la parte más difícil de crear una falsificación convincente sobre la marcha es realmente fácil de hacer. Una limitación de SocialFish como herramienta es su actual falta de documentación, pero en el futuro, espero que esto mejore para que la aplicación móvil complementaria sea más útil.

Espero que haya disfrutado de esta guía sobre sitios web de redes sociales de phishing. Si tiene alguna pregunta sobre este tutorial sobre phishing en las redes sociales, deje un comentario a continuación y no dude en comunicarse conmigo en Twitter. @KodyKinzie.

Foto de portada de Alisson Moretto / GitHub; Capturas de pantalla de Kody / Null Byte

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar