martes, 25 de noviembre de 2014

Ataque de Phishing con SET desde Backtrack 5

El Phishing es un delito también conocido como estafa cibernética que aplica técnicas de ingeniería social para sustraer información confidencial. Este ataque consiste en obtener las credenciales de acceso a cuentas como clientes de bancos, servicios de pago online o cuentas específicas que manejan información privilegiada.



Es uno de los métodos más utilizados por los civerdelincuentes en los últimos tiempos, por su gran facilidad y efectividad. En el siguiente tutorial vamos a ver cómo se puede reproducir un ataque de estas características.




Lo primero será arrancar nuestra distribución de Backtrack, y por consiguiente damos click en Applications > BackTrack > Social Engineering Toolkit > set.





Social Engineering Toolkit(SET): Se trata de los vectores de ataques mejor elaborados, robustos y con mayores probabilidades de éxito que se han desarrollado en SET debido a que son específicamente diseñados para construir sitios web “ficticios” que son incitantes y creíbles para el objetivo, además cuentan con técnicas bastante elaboradas que permiten que un objetivo sea víctima sin enterarse tan siquiera que ha sido engañada.




Una vez en el menú de opciones, seleccionaremos la opción 2 

(Website Attack Vectors).





Ahora seleccionamos la opción 3 (Credential Harvester Attack Method).




Credential Harvester Attack Method: Este tipo de ataque permite a un atacante clonar un sitio que tenga algún tipo de formulario de autenticación (formularios donde se solicita usuario y clave, como por ejemplo gmail) posteriormente cuando una víctima ingresa en dicho sitio e ingresa sus credenciales de acceso, SET recolecta toda esta información y posteriormente envía al usuario al sitio original.



Finalmente cuando el atacante desea finalizar la ejecución del ataque,
obtiene un informe con la información recolectada.



Luego tenemos que seleccionar la opción 2 (Site Cloner).


Nos pedirá nuestra ip para mandarnos la información, abrimos una terminal escribimos ifconfig y en la interfaz con salida a internet tendremos nuestra Ip, la copiamos y la pegamos en SET ...

Luego tendremos que poner la url del sitio a clonar.

Y ahora solo tenemos que camuflar nuestra ip en un link y enviársela a la "víctima", esperamos a que la "víctima" haga clic en nuestro link, y lo llevara a nuestro sitio falso para que proporcione sus credenciales de acceso.

Una vez se registre la "víctima", la página de registro volverá a cargarse pero esta vez si mostrará la página original,  la víctima volverá a introducir sus datos (y no se habrá dado cuenta de nada), nosotros habremos recibido sus datos en la shell de SET, y todo el mundo contento :) .

Bueno y hasta aquí por hoy, espero que os haya servido,
hasta la próxima!

miércoles, 19 de noviembre de 2014

¡Cuidado Gamers!“ Un salvapantallas gratis” detrás del robo de objetos valiosos en Steam

Hace bastante tiempo que los gamers son considerados por los civerdelincuentes como un objetivo idóneo, y desde hace años nos vienen alertando sobre los trucos que se han utilizado para intentar engañarlos o robarles credenciales.

Con el incremento de las plataformas de distribución digital de juegos como Steam y el uso que hacen de ellas millones de usuarios cada día, estas se han convertido en un objetivo que atrae cada vez a más delincuentes. Durante esta semana hemos visto cómo se ha utilizado el Marketplace de Steam y otros sitios similares como CSGolounge para vender supuestos "chollos" de bienes virtuales utilizados por algunos jugadores en sus juegos favoritos.

Los delincuentes han utilizado estas ofertas para atraer a usuarios despistados y convencerlos para que instalen un aparentemente un inofensivo salvapantallas, que en realidad contenía una amenaza para sus preciados bienes digitales. El robo de bienes es frecuente en casos en que los jugadores reciben ataques de bandas de delincuentes con correos electrónicos de phishing o con software de robo de contraseñas, para obteneracceso a sus credenciales.

¿Cómo funciona esta amenaza?

Gracias a la investigación realizada por algunos usuarios en algunos foros de la red podemos, comprobar que el aparentemente inofensivo salvapantallas, que los usuarios identifican como tal por su extensión .SCR, es en realidad una aplicación maliciosa desarrollada en .NET C# con algunas características que sacan a relucir sus verdaderas intenciones.





Hay muchas cosas interesantes en este trozo de código, comenzando por el Identificador de Steam del ladrón localizada en la función “addOffer” y otras funciones que destacan como la llamada “addItemsToSteal”, la cual claramente realiza un listado de aquellos objetos virtuales de valor que pudiera tener la víctima haciendo una búsqueda por sus nombres.

Los delincuentes buscan varios objetos usados en distintos juegos aunque principalmente se ha observado que están interesados en los juegos Counter Strike: Global Offensive, DOTA 2 y Team Fortress 2.

Si nos fijamos en la última función “sendMessageToFriends” veremos cómo su finalidad es enviar un mensaje de forma automática a todos nuestros contactos en el sistema de mensajería instantánea de Steam.




De esta forma, los delincuentes consiguen que su amenaza se propague como si  de un gusano clásico de mensajería se tratase, ya que cuantos más usuarios pulsen sobre el enlace, más víctimas y, por ende, objetos valiosos conseguirán los creadores de esta amenaza.



Tras analizar a fondo la amenaza podemos concluir que la finalidad de esta no es infectar el sistema ni robar la contraseña de Steam, pero no estaría de más que la cambiaras si tienes sospechas de haber sido afectado. Como medida adicional de protección, puedes reinstalar Steam para forzar que se genere un nuevo ID de sesión y evitar así que el anterior sea utilizado de forma fraudulenta.



Fuente: We Live Security

martes, 18 de noviembre de 2014

Shodan un buscador con mucha personalidad

Algunos han descrito Shodan como un motor de búsqueda para los ciberdelincuentes,
e incluso lo han llamado " el motor de búsqueda más peligroso del mundo".




Fue desarrollado por John Matherly en 2009, literalmente: "World’s first computer network search engine lets you locate computers based on IP, operating system or services

running". Es decir, es un buscador que, busca por direcciones IP, routers, servicios y
sistemas operativos. 

Shodan permite hacer diferentes tipos de búsquedas: Búsquedas por país, búsquedas por puerto, búsquedas por software, búsquedas por versión de software ...

Sin duda una gran herramienta para los administradores de sistemas, pero por otra parte sirve también de gran ayuda para los civerdelincuentes, los que con una sencilla búsqueda pueden encontrar información crucial sobre un sistema. Como podéis ver más adelante, vamos a utilizar Shodan para encontrar sistemas Scada.

SCADA es el acrónimo de Supervisory Control And Data Acquisition. Un sistema Scada esta basado en un programa de control que permite supervisar y controlar a distancia una instalación, proceso o sistema de características variadas, que pueden ir desde

controlar una caldera, hasta controlar toda un fábrica de lavado.

Lo curioso es que muchos de estos sistemas están conectados directamente

a internet y se controlan por ordenadores accesibles en remotos.

Con Shodan, con una sencilla búsqueda, es posible descubrir que hay conectados

a la red, ordenadores con paneles de control de plantas depuradoras de agua.
Para encontrar alguno de ellos, una sencilla búsqueda como



En el ejemplo vemos que se trata de una planta depuradora de agua. Veremos que hay algunos sistemas conectados pero todos nos piden usuario y contraseña, pero el simple hecho de que estén conectados a Internet es un riesgo bastante serio que permite atacar directamente ese sistema de autentificación. Y podríamos seguir así buscando muchos tipos de sistemas como cámaras ip, Servidores SIP y Terminales VoIP, equipos de plantas de control de agua, decodificadores, casas domóticas y un largo etcétera.

Y asín con cientos de sistemas que día a día corren el riesgo de ser atacados, por el "simple" hecho de que cualquier usuario del mundo pueda acceder a loguearse en sus paneles de control. 

Bueno y hasta aquí por hoy, espero que haya quedado claro la facilidad con la que podemos acceder directamente a muchos sistemas de control que están conectados a internet constantemente, nada más, un saludo!

domingo, 16 de noviembre de 2014

Pon un seguro a tu vida digital

Algo que hoy en día nos afecta a todos es el robo de identidad, muchos estaréis al tanto de las últimas noticias sobre este tema. Quizás el caso más sonado en los últimos meses haya sido los ataques masivos de phishing contra Icloud, la publicación de imágenes comprometidas de un centenar de famosos del cine y la música, tras un hackeo al servicio de almacenamiento aprovechando una vulnerabilidad del sistema de almacenamiento en la nube de Apple.

Estos ataques y otros muchos, son más comunes de lo que parecen, y el hecho de que todos utilicemos estos servicios tan conocidos (como Apple, Microsoft, las redes sociales etc...) origina que toda nuestra información personal esté expuesta a todos los ataques
realizados contra estos servicios.


Porque claro, quién no tiene una cuenta en Twitter o en Facebook, en los tiempos que corren es algo inverosímil, sería aceptar que carecemos de vida social.

Y por ese motivo, (porque es casi imposible que no utilicemos estos servicios y que no quedemos expuestos a estos ataques) nació "Latchuna herramienta que nos proporciona un "pestillo" para nuestra vida digital.




Latch te permite realizar un seguimiento de tus cuentas pareadas, y te envía una alerta cada vez que se produce un intento de acceso a una cuenta que tengas bloqueada.También puedes programar fácilmente tus servicios para que se “apaguen” automáticamente durante determinadas horas, por ejemplo de noche o cuando estés de vacaciones, para proteger de forma sistemática tus cuentas.

Gracias a Chema Alonso y su equipo de Eleven Paths, podemos añadir un punto más
de seguridad a nuestra vida digital, prácticamente sin ningún esfuerzo. Simplemente
tienes que abrir o cerrar el "pestillo".



Puedes descargarlo desde aquí.

Y bueno, aquí abajo os dejo un par de videos sobre Latch y sus últimas actualizaciones,
 nos vemos en el siente post, un saludo!



domingo, 9 de noviembre de 2014

Realmente crees que si lo subiste a internet, fue eliminado ?

Anoche estuve viendo un documental sobre delitos informáticos cometidos en España, se llamaba "ojo con tus datos" producido por televisión española, y en él básicamente nos hablan del rastro que dejan nuestros datos y de lo que nos puede suceder si alguien se aprovecha de estos datos para realizar cualquier tipo de delito informático, algo muy común debido al gran uso que hacemos hoy en día de todo tipo de tecnologías .

Todos sabemos que muy pocas personas se preocupan por los datos o por el rastro que dejan al navegar por internet, esto es una presa fácil para las grandes empresas que se publicitan por toda la red y que se dedican a recaudar datos y crear patrones para lanzar grandes campañas de marketing abusivas, o simplemente para hacer negocio con tus datos con el famoso "archiving".

Estas personas que no se preocupan por sus datos, son también una presa fácil para toda clase de "ciberdelincuentes", esto lo hace sin duda un negocio bastante rentable, y también nos expone a todos los usuarios de estas tecnologías a todo tipo de ataques.

En resumen, estamos expuesto constantemente, y tenemos que prestar especial atención a toda la información personal que con o sin nuestro consentimiento subimos a la red.


Lo que queda claro es que la información es poder, y que cuanto menos nos preocupemos de esa información, más poder tendrán sobre nosotros las grandes empresas y gobiernos de este mundo.


Por último os voy a reproducir un pequeño tutorial que salía en el documental, donde Chema Alonso nos mostraba un simple ejemplo de cómo podemos encontrar fácilmente y sin necesidad de conocimientos, archivos que  previamente hayan sido "eliminados". (Como ya sabemos es casi imposible borrar completamente un archivo que haya sido subido a la red).

También os dejo por aquí el documental completo:


El ejemplo es con la página web de la Casa Real , en la siguiente imagen podemos ver como está publicada a día de hoy.




Si queremos ver que es lo que se ha borrado de los buscadores, solo debemos añadir a la url el fichero robots.txt, podremos ver que hay una dirección (/ES/FamiliaReal/Urdangarin/) que se a eliminado.




Si realizamos una sencilla búsqueda en el buscador y le pedimos las url con esas direcciones podemos ver que solo nos sale solo una entrada, pero abajo nos muestra una pequeña de notificación que nos dice : "repetir búsqueda e incluir los resultados que se han omitido".




Si pinchamos en esa notificación veremos una lista con direcciones que ya no están indexadas y que no se puede ver el contenido pero sin embargo nos sigue apareciendo la dirección, y esto es porque aunque entremos a la url y esta haya sido eliminada, sabemos que su ubicación principal no es el único sitio en el que se ha podido copiar esta información.




De esta manera si quisiéramos ver el contenido simplemente entraríamos a una de las urls
anteriores y la copiaríamos (aunque parece ser que a raíz de este documental se han intentado esforzar en la Casa Real para borrar lo mejor posible el contenido de las urls, por lo que si accedemos a cualquiera de ellas nos aparece esta única dirección: "http://www.casareal.es/ES/Paginas/CustomErrors/Error404.aspx".




Pero si nos vamos a atrás de nuevo y buscamos debajo de las entradas veremos que nos muestra las urls pero no están completas, sin embargo en algunas tenemos la opción de traducir la página, lo hacemos y nos mostrará una nueva página en la que ahora sí nos muestra la url completa, la copiamos, y por último solo nos quedaría buscar en un servicio de archivado de páginas web como Archive.org.






Una vez estemos en Archive.org pegamos la dirección que habíamos copiado antes para ver si se a realizado alguna copia de esta web anteriormente, y vamos a ver que se han realizado varias copias en diferentes fechas, entramos en la primera "3 de Enero" y ahí tenemos la web que buscamos que supuestamente había sido "eliminada". Bueno y nada más por hoy, espero que os haya gustado, nos vemos en el siguiente post, un saludo!