Phishing

Los vectores de acceso basados en técnicas de Phishing han supuesto un porcentaje importante de los vectores de acceso utilizado en el compromiso de los equipos informáticos.

Por eso cada vez más compañías realizan ejercicios específicos para simular estas campañas de Phishing.

Aunque una buena concienciación de los usuarios para identificar correos de Phishing es una pieza clave para repeler este tipo de vectores no ha de recaer toda la responsabilidad en el nivel de madurez de los usuarios para identificar este tipo de amenazas.

A día de hoy existen muchos sistemas de Prevención de intrusiones o incluso de filtrado de las comunicaciones, desde el interior de la red local a internet, que mitigan el impacto de un Phishing en el caso en el que algún usuario hubiera mordido el cebo.

Phishing
Conjunto de técnicas que tratan de engañar a una víctima haciéndose pasar por una persona, empresa o servicio en la que la víctima confía.

Para poder realizar este engaño, habitualmente se hace uso de la ingeniería social para tratar de convencer a la víctima.

Los objetivos que trata de conseguir el Phishing son muy variados:

  • Obtención de información
  • Fraude bancario
  • Compromiso del sistema remoto (malware).

Tipos de phishing
Existen distintas clasificaciones de phishing, pero en general los podemos agrupar en los siguientes tipos:

  • Email Phishing: Phishing enviado por mail. Hacen uso de dominios fraudulentos.
  • Spear Phishing: Phishing dirigido a una persona u organización concreta. Gran nivel de detalle.
  • Whaling: Dirigidos a ejecutivos y CEO.
  • Smishing: Phishing enviado por SMS
  • Vishing: Llamadas telefónicas haciéndose pasar por otra persona u organización.
  • Pharming: Se compromete el sistema y se redirige a la víctima a un sitio controlado por el atacante.

Metodología de Phishing
Para crear una campaña de Phishing hay que realizar una serie de acciones como idear la campaña, pensar en el cebo, establecer la infraestructura, etc.

Para que estas acciones se realicen de una manera ordenada se puede establecer una metodología de phishing que se puede dividir en las siguientes fases:

  • Establecer el tipo de Phishing: Spear Phishing, vishing, smishing.
  • Establecer el contenido: Cuál va a ser el fraude o el engaño y a quién va dirigido.
  • Compra de dominios: Adquirir un dominio que se ajuste al contenido de campaña que queremos realizar.
  • Recopilar datos del objetivo: email, número de teléfono, nombre. A mayor
  • cantidad de información mayor probabilidad de éxito.
  • Generar la campaña: Generar la campaña y diseñar el email fraudulento.
  • Enviar la campaña: Se utilizan herramientas específicas para el envío de las campañas.

En el siguiente enlace podéis obtener más información sobre la metodología de Phishing (https://book.hacktricks.wiki/es/generic-methodologies-and-resources/phishing-methodology/index.html).

Herramientas de Phishing - Gophish
Gophish es una herramienta escrita en ”golang” que nos permite generar y enviar de una manera sencilla las campañas de tipo Phishing.

Las características más importantes de esta herramienta son las siguientes:

  • Establece plantillas de Phishing.
  • Realiza seguimiento de los Phishing abiertos, accedidos al sitio etc.
  • Posibilidad de configurar varios servidores de correo.
  • Interfaz gráfica vía web.
  • API tipo rest y cliente en python para automatización de campañas.

En el siguiente enlace podéis acceder a la página oficial de Gophish (https://getgophish.com/#).

En el siguiente enlace podéis obtener más información sobre la metodología de phishing (https://book.hacktricks.wiki/es/generic-methodologies-and-resources/phishing-methodology/index.html).