29 agosto 2013

Ha quedado demostrado, sobretodo con las últimas noticias acerca del hack de Syrian Electronic Army a MelbourneIT para comprometer los DNS de Twitter y New York Times entre otros, en que puedes gastarte millones y millones de euros/dólares en dispositivos de seguridad, políticas, certificaciones, en auditorías, en pruebas externas, internas, anti-APTs, cyber-antiguerras y cybercentros expertos de seguridad avanzada en tiempo real, además de un largo etcétera, pero con un simple phishing bien dirigido poder tener en vilo a millones de usuarios y que tu entidad consiga ser protagonista de titulares sobre cómo durante unas horas en tu web se ha visto un águila, un montón de símbolos árabes y una bandera de Siria. 

Personalmente creo que la concienciación y el sentido común son las palabras claves a tener en cuenta en el mundo de la seguridad, algo que no depende únicamente de los conocimientos técnicos si no de cómo actuamos en otros ámbitos de nuestra vida.


Tras esta introducción y opinión personal, hoy vamos a ver un servicio online que lleva poco tiempo en la red, llamado Phish5 y que he conocido gracias al twitter del gran The Grugq. Básicamente es una herramienta que te permitirá crear campañas de Phishing y poder realizar un seguimiento de su despliegue y propagación dentro de tu organización. Tranquilidad, las contraseñas introducidas por los usuarios no son enviadas a ninguna parte, lo veremos más adelante. El objetivo por encima de todo es el de medir hasta que punto, en un caso real de posible ataque dirigido mediante una campaña masiva de phishing en tu organización, los usuarios actuarían tras la recepción de un correo en el que se les solicita la introducción de credenciales de forma ilegítima.

¿Qué ganamos frente a las soluciones personalizadas que seguramente muchos ya tengáis en vuestro arsenal, coordinando Metasploit, SET, servidores dedicados y otros scripts? Básicamente, el disponer de un framework generador de diferentes posibles campañas de phishing altamente personalizable y con posibilidad de despliegue en apenas unos minutos.

Podréis consultar el FAQ y los Términos de este servicio, en el que se aclaran muchas dudas o preocupaciones que os puedan surgir acerca de privacidad y demás, pero en definitiva nos quedamos con el siguiente párrafo dentro de la sección "Victim credentials", que aclara:

"No almacenamos ningún dato enviado por las víctimas a los sitios de phishing creados en Phish5. Además, insertamos un código Javascript dentro de todas las páginas de phishing que elimina los valores introducidos en los formularios antes del envío. No es posible ver si las víctimas realmente han introducido credenciales válidas, únicamente si han enviado cualquier tipo de dato"

Es necesario registrarse con una cuenta de correo perteneciente a un dominio corporativo (no se permite GMail, Yahoo, etc), ya que son detectados como servicio de webmail, recordamos que esta aplicación es para un fin educativo. Utilizaremos nuestro dominio securitybydefault.com para que podáis ver cómo crear y ejecutar una campaña de phishing utilizando su wizard:

El primer paso es crear la campaña, con diferentes datos como nombre, descripción, tiempo de vida de la campaña, tipos de notificaciones sobre los que poder realizar seguimiento (saber si la víctima abre el correo, si hace click en el enlace al phishing y si incluso realizó un envío de información) y un e-mail sobre el que notificar los eventos generados:


En el siguiente desplegable se puede seleccionar un tipo de campaña predefinida, entre las que se encuentran:
  • Invitación a LinkedIn (versión escritorio)
  • Invitación a LinkedIn (versión móvil)
  • Notificación de envío de FedEx
  • Aviso de actualización de Microsoft Security Update
  • Página OWA versión 2003
  • Página OWA versión 2007
  • Página OWA versión 2010
  • Solicitud de amistad de Facebook



A continuación, de un modo muy cómodo, se puede incluir los datos de las víctimas sobre los que se realizará la campaña, pudiendo incluso importar datos desde un CSV. Es necesario nombre, apellidos y dirección de correo electrónico. Para este caso, nuestra víctima será una:


Seguidamente, es el turno de la definición y personalización del e-mail que recibirán las víctimas. Es posible modificar todos los campos, si bien según el tipo de plantilla seleccionada, disponemos de las notificaciones de correo reales de los proveedores sobre los que se pretende obtener las credenciales. En el caso de campañas sobre OWA, es necesario crear un correo desde 0, como si fuésemos el departamento de seguridad o sistemas de la compañía:

Para el ejemplo, lo pondremos en castellano y cambiaremos algunos de los mensajes que nos venían en la plantilla seleccionada en la herramienta, para intentar darle algo más de realismo y hacerlo más creíble:


Es el turno de crear la página web sobre la que se incluirá el formulario que recogerá los datos (que no serán enviados, sólo se captura el evento de hacer clic sobre el botón de login). Ídem que en el caso anterior, existen plantillas de campañas en las que dispondremos de las webs reales de Facebook, Linkedin, FedEx. Como ejemplo, seleccionamos la correspondiente con OWA 2007, aunque se pueden crear personalizas por completo:


También podremos personalizar la página a la que se redireccionará al usuario tras la introducción de las credenciales (en este caso dejamos el mensaje que muestra que ha sido víctima de un phishing controlado)

Seguidamente, tras terminar la personalización, podremos realizar la vista previa de estas páginas, pudiendo comprobar como las páginas (aúnque en inglés) son exactamente iguales que las originales, sin necesidad de realizar nosotros desde 0 la copia de la web:



Como último paso, es el turno de poder tener un resumen de la campaña antes de ser lanzada y poder dar los últimos retoques:


Aceptamos y comienza el espectáculo, la siguiente captura muestra el e-mail recibido por el usuario acerca de un supuesto incidente de seguridad en el que se solicita que acceda al OWA para comprobar que sus credenciales siguen siendo válidas. El enlace lleva a la página dentro de los servidores de Phish5 con el phishing del OWA diseñado por nosotros:





Tras hacer clic en el botón "Log On", recibiremos el aviso acerca de que hemos sido víctimas de un ejercicio controlado de phishing. Por otro lado, desde nuestro panel de gestión dentro de Phish5, podremos ver los eventos generados dentro de esta campaña, incluyendo quién abrió el correo, quién navegó por la web y quién hubiera enviado los datos en el formulario. En este caso, por no haber comprado ningún plan, únicamente podremos realizar la prueba sobre el usuario utilizado para generar la campaña:



Existen tres planes disponibles dentro de Phish5 según número de campañas y dominios sobre las que realizarlas:


- Plan Phish5 permite lanzar 5 campañas sobre direcciones de correo que termine en un dominio personalizado
- Plan Phish500 permite lanzar campañas ilimitadas durante 31 días sobre direcciones de correo que termine en un dominio personalizado.
- Plan Consultant, permitiría realizar campañas ilimitadas durante 31 días sobre cualquier dominio.

Yo creo que la más adecuada para un ejercicio inicial sería el primer plan, no es gratis pero no es un precio desorbitado para un proyecto que te puede dejar muy buenas conclusiones acerca del nivel de concienciación de tus usuarios sobre estos vectores de ataque.

En definitiva, una herramienta online a tener en cuenta que aún no siendo gratuita, nos permitiría con poco esfuerzo crear una campaña de phishing de manera rápida, sencilla, intuitiva y visual.


1 comments :

darkusanagi dijo...

Excelente articulo! No se me habia pasado que se podria hacer phising con el app interno!