SUPLANTACIÓN DE PÁGINAS WEB – REDES SOCIALES
¿SET O ZPHISHER?
(Como utilizar SET o ZPHISER y no fallar en el intento)
SET (Social-Engineer Toolkit)
Es un marco de prueba de penetración de código abierto diseñado para ingeniería social. SET tiene una serie de vectores de ataque personalizados que permiten realizar un ataque creíble rápidamente. SET es un producto de TrustedSec, LLC, una firma de consultaría de seguridad de la información ubicada en Cleveland, Ohio. Esta herramienta viene preinstalada en el OS Kalilinux.
PASOS PARA SUPLANTAR UNA PÁGINA WEB CON SET
1.Realice la ejecución de la solución mediante una terminal con privilegios de root o ejecútelo directamente en el menú desplegable de las soluciones de Kalilinux en la barra de búsqueda ingrese set -> social engineering tolkit (root) y presione enter.
2. Se abrirá una terminal donde deberá ingresar las credenciales del usuario root.
3. Seleccione la opción 1 «Social-Engineering Attacks» del menú de SET.
4. Seleccione la opción 2 «Website Attacks Vectors» y oprima enter.
5. Seleccione la opción 3 «Credential Harvester Attack Method». Este método permite clonar un sitio web y poder capturar el usuario y contraseña, además de toda la información que se envía a esta.
6. Seleccione » Site Cloner» del menú.
7. Luego de una pequeña introducción sobre la configuración de la IP, verifique la IP local de su máquina la cual va a ser utilizada para el ataque e ingrésela en este apartado.
8. Ingrese la URL a clonar.
9. Abra un navegador e ingrese localhost o 127.0.0.1 en la barra de búsqueda.
10. Ahora SET está listo para capturar el usuario y contraseña del sitio clonado.
11. Una vez la victima ingrese el usuario y contraseña, SETlos alojara en la carpeta /root/.set/reports/.
ZPHISHER
Es una herramienta de phishing automatizada para principiantes con más de 30 plantillas. Esta solución debe ser instalada ya que no viene predeterminada en el OS Kalilinux.
PASOS DE INSTALACIÓN Y SUPLANTACIÓN DE UNA PÁGINA WEB CON ZPHISHER
1.Descargue la solución desde el repositorio (https://github.com/htr-tech/zphisher) del desarrollador con gitclone mediante una terminal en kalilinux.
2. Ingrese a la carpeta de zphisher desde la misma terminal.
3. Ejecute el script .sh en la carpeta con el comando bash zphisher.sh. (Zphisher comenzara a instalar las dependencias y demás requerimientos para su funcionamiento)
4. Seleccione la plantilla a utilizar del sitio a suplantar. En este caso se suplantará Netflix.
5. Seleccione el servidor a utilizar. En este caso será localhost. Por lo cual abriremos un navegador e ingresaremos localhost y el socket utilizado por zphisher.
6. Ahora zphisher está preparado para realizar la captura del usuario y contraseña de la víctima.
7. Una vez la victima registra la información en el sitio web falso, zphisher crea un archivo usernames.txt en la carpeta donde se realizó la instalación y se está ejecutando.
8. y ya el usuario víctima escribe las credenciales pues ya obtenemos las credenciales.
Bibliografía
Arroyo, G., Gayoso, V. y Hernández, L. (2020). Amenazas, vulnerabilidades y ataques. En ¿Qué sabemos de ciberseguridad? (pp. 15- 40), RA-MA Editorial.
Zuoguang, W., Hongsong, Z., y Limin, S. (2021). Social Engineering in Cybersecurity: Effect Mechanisms, Human Vulnerabilities and Attack Methods. IEEE Access, 9, 11895-11919.
Tahmid Rayat – htr-tech (2023). Zphisher, https://github.com/htr-tech/zphisher
Santo, D. (2018). Recogida de información inicial con kali. En Kali Linux,(pp. 69-89), RA-MA Editorial.