Buenas a todos,
En ocasiones durante una auditoría nos podemos encontrar con la necesidad de lanzar una
campaña de phishing, para ganar acceso, por estar realizando un
APT o simplemente dentro de un programa para concienciar a los
trabajadores.
En la entrada de hoy
vamos a ver Phishing Frenzy un framework escrito en Ruby para
realizar campañas de phishing que nos permite llevar a cabo todas las fases del proceso.
Configuración
Para la prueba de
concepto vamos a utilizar Docker por su sencillez y comodidad.
El siguiente comando
descarga la imagen de Docker Hub y crea un contenedor.
docker run -d -p 80:80 b00stfr3ak/ubuntu-phishingfrenzy
Comprobamos
que el contenedor esta corriendo.
La imagen de docker
que estamos ejecutando esta configurada con el Virtual Host
phishingfrenezy.local. Para ajustarlo a nuestras necesidades podemos
incluir dicho registro en nuestro archivo hosts local o bien
modificar la configuración del contenedor, nosotros vamos a optar
por la segunda.
Para ello, iniciamos
una Shell interactiva en nuestro contenedor y modificamos los
siguientes archivos;
/etc/apache2/pf.conf linea ServerName
/var/www/Phishing-Frenzy/config/application.rb linea SITE_URL
y añadir en el hosts del contenedor.
Reiniciamos Apache,
service apache2 reload y accedemos con el navegador a la interfaz web
de Phishing Frenzy y las credenciales por defecto admin:Funt1me!
Por tanto, lo primero es cambiar la password de admin. [Menu: Admin →
Manage Users → Manage Account]
La Trampa, el correo y la página
Una vez
terminada la configuración lo tenemos todo listo para realizar
nuestra primera campaña de phishing.
Para el ejemplo vamos a utilizar la web de nuestros compañeros como prueba de concepto.
Para el ejemplo vamos a utilizar la web de nuestros compañeros como prueba de concepto.
El primer paso es
clonar la página web con Phishing-Frenzy. [Menu: Resources →
Website Cloner → Clone Website]
Cuando termine el
proceso podemos visualizar y descargar la página.
Ahora creamos un
Template, que es la pieza clave de nuestra campaña. [Menu: Template →
Create]
Le ponemos nombre y
modificamos sus propiedades
Vamos por partes: Nombre, descripción y Notas, está claro.
Index, especifica cual será la página de inicio y en Template Files añadimos todos los archivos necesarios.
Index, especifica cual será la página de inicio y en Template Files añadimos todos los archivos necesarios.
tss.jpg – Imagen
para dar mejor apariencia al correo de phishing.
tss.html.erb –
Correo de phishing usando la imagen que añadimos e invitando a los
usuarios a que hagan login en el sitio.
Aquí la clave son
las etiquetas "<%= image_tag attachments['tss.jpg'].url %>" para incluir la imagen y "<a href="http://<%= @url
%>">" donde Phishing Frenzy inserta el vinculo hasta
nuestro sitio espejo.
index.php – la
copia de la página descargada con Phishing Frenzy.
Es imprescindible
modificar el formulario de la página para que los campos User y Pass
se llamen UsernameForm y PasswordForm sino Phishing Frenzy será
incapaz de registrar los logins.
Además, modificamos
el código de la página para conservar lo más posible el aspecto y
redirigir el formulario a redirect.php.
redirect.php –
redireccionamos a las víctimas a la página de Login fallido del sitio
original con la intención de no alertar al usuario.
rounded-white.png –
este archivo es necesario para la página que estamos clonado.
Guardamos y ya
tenemos listo el Template.
Los Destinatarios
Phishing Frenzy
dispone de una herramienta integrada para buscar los objetivos que funciona con el motor de Bing. Lo primero que tenemos que hacer es introducir nuestra Api Key en la configuración. [Admin → Global
Setting → Bing API Key]
Para
obtener la API key debemos registrarnos aquí o usar la de algún
desarrollador descuidado. Por supuesto hemos optado por la primera.
Con la key configurada vamos a [Resources → Email Enumeration → Enumerate] y
rellenamos el campo con el dominio thesecuritysentinel.es.
Cuando finaliza la
búsqueda tenemos un listado con los resultados y la URL de donde han sido obtenidos.
La Campaña
Ya podemos lanzar
nuestra campaña. [Campaigns → New Campaign] y vamos configurando
opciones
Rellenamos los
destinatarios y el correo de pruebas. Seleccionamos el Template que
hemos creado y marcamos Active.
Cuando Phishing Frenzy activa la campaña crea en Apache un virtual host asociado al FQDN que rellenamos más abajo.
Cuando Phishing Frenzy activa la campaña crea en Apache un virtual host asociado al FQDN que rellenamos más abajo.
Debemos
crear/registrar un registro DNS público apuntando a nuestro servidor
de phishing.
Nosotros, a modo de ejemplo, lo haremos con un domino que tiene un error tipográfico más o
menos imperceptible a simple vista.
Salvamos la campaña
y podemos visualizar y modificar el cuerpo del mensaje. Además podemos lanzar una
prueba a la dirección que hayamos configurado. Esto último es
especialmente útil para ir afinando los detalles.
Cuando estemos
listos pulsamos Launch para lanzar la campaña.
Los Resultados
Nuestros objetivos
reciben el siguiente correo de phishing
Cuando la víctima
pulsa el enlace es direccionada a nuestro servidor de phishing, en el
que si hace login, caerá en la trampa
Para ser finalmente
redirigido a la página original como si hubiese escrito mal las
credenciales.
Pero si en Phishing Frenzy vamos a [Reports → Stats] vemos como se están recogiendo las
credenciales de las víctimas.
Conclusiones
Para asegurar el
éxito y realizar una buena campaña de phishing es necesario cuidar
bien los detalles e intentar que tanto el correo como la página y el
dominio sea lo más parecido al objetivo.
También es
importante configurar bien los registros MX, SPF y DKIM para evadir
los filtros de Spam.
Como defensa es
importante realizar campañas contra nuestros propios usuarios con el objetivo de concienciar al personal frente a futuros ataques.
