Home Seguridad Haking y Seguridad Httrack: Clonar un sitio web y pensar como un cibercriminal
¿Alguna vez os habéis preguntado cómo funcionan esas páginas de phising?, ¿Cuáles son los métodos que realiza un cibercriminal para engañar a usuarios y tener acceso a su cuenta? Pues bien, uno de los métodos más utilizados es la ingeniera social combinada con un ataque de tipo phising. Tengo que advertir que NUNCA ningún banco te solicitará por email que introduzcas, verifiques o actualices ningún dato vía web y además te facilite un enlace para poder hacerlo. Te llamaran o se pondrán en contacto vía carta postal.
Ante la duda siempre hay que ir al banco o llamar por teléfono, pero nunca hacer ¡click!.Normalmente este tipo de ataque comienza con un correo formal solicitando al usuario que actualice un dato en la web ya que lo necesitan. Puede ser desde un número de teléfono como que verifiques un apellido.
El enlace adjunto es una página clonada y modificada de la original, su misión es la de engañar y capturar las credenciales enviándolas a otro servidor donde serán almacenadas para un posterior uso. Como es lógico el cibercriminal no programa desde 0 la web, sino que realiza una copia de la misma a través de algún programa que automatice el proceso y a continuación la modifica.
Es aquí donde entra la utilidad de httrack un software de carácter libre que clona sitios web. Una vez tengamos el sitio web descargado lo único que hacen es ajustarlo para poder robar las credenciales.
Normalmente cuando recibimos este tipo de correos en castellano no suele estar bien escritos, se nota que no contiene n la formalidad que pueda utilizar una caja o banco y que algunas frases no están bien redactadas.
Pero también existen casos en que no es así y es posible que incluso tras leer varias veces el correo no notes nada anormal por lo que revisa siempre el remitente, seguro que algo no encaja.
Ahora vamos a intentar meternos en la mente del cibercriminal e intentar analizar como actuaría en el caso de querer realizar phising y engañar a una victima.
Lo primero es crearse un dominio que contenga la palabra del banco o caja o lugar que quiera realizar el phising y que pueda pasar por un subdominio. ¡No todo el mundo sabe lo que es un subdominio!. Fijaros en las URL de abajo, su diferencia es mínima.
Original:
Falsa:
Figura 1: Dominio disponible para contratar modificando un “.” Por una “-”
Está claro que los cibercriminales no utilizan páginas como goddady para crear dominios, sino más bien servicios clandestinos que ofrecen este servicio solicitando pocos datos “Buscar por la DeepWeb”, o dando la viabilidad de que sean falsos. Al menos yo utilizaría datos falsos y una cuenta de correo temporal para confirmar las acciones que me indiquen y que termine desapareciendo en unas horas. Ya realice un post sobre este tipo de servicio “cuentas desechables” . No hace falta decir que se busca privacidad a la hora de realizar estas acciones para intentar dejar el menor rastro posible. “La idea es que el dominio esté disponible unas horas para no ser detectado por las competencias oficiales y además que realice varios redirect para complicar su rastreo.
Como veis el dominio es prácticamente el mismo y casi nadie se fijaría que el enlace se difiere en un “.” Por una “-”
Una vez tienen dominio buscan un hosting de algún país el cual tenga una legislación débil “El paraíso fiscal de Internet y crean un servidor con el sitio web copiado que anteriormente han clonado, lo modifican y a continuación buscan algún servidor de correo vulnerable para realizar spam.
Para el correo pueden utilizar también un dominio parecido al oficial. Imaginar algo así.
Figura 2: Dominio para crear correos que puedan parecer verdaderos.
Una vez tengamos toda la infraestructura es esperar que los usuarios comiencen a entrar. Si ahora os preguntáis ¿para qué quieren esa información? La contestación más normal sería para venderla, pero supongo que la utilizaran para múltiples cosas.
El proceso para instalar httrack es el siguiente.
Descargar programa para Windows o Linux
Ejecutar instalador.
Figura 3: Instalar HTTrack
Figura 4: Programa una vez instalado
Esta utilidad es muy valiosa para clonar un sitio web no solo para hacer phiping sino también para ver su contenido con mas calma cuando estas offline.
Otro ejemplo que leído y es interesante es como injectar un meterpreter a través de applet de Java, podéis leerlo en el blog de flu-proyect .Últimamente JAVA esta que hecha humo con sus fallos de seguridad.
¿Alguna vez os habéis preguntado cómo funcionan esas páginas de phising?, ¿Cuáles son los métodos que realiza un cibercriminal para engañar a usuarios y tener acceso a su cuenta? Pues bien, uno de los métodos más utilizados es la ingeniera social combinada con un ataque de tipo phising. Tengo que advertir que NUNCA ningún banco te solicitará por email que introduzcas, verifiques o actualices ningún dato vía web y además te facilite un enlace para poder hacerlo. Te llamaran o se pondrán en contacto vía carta postal.
Ante la duda siempre hay que ir al banco o llamar por teléfono, pero nunca hacer ¡click!.Normalmente este tipo de ataque comienza con un correo formal solicitando al usuario que actualice un dato en la web ya que lo necesitan. Puede ser desde un número de teléfono como que verifiques un apellido.
El enlace adjunto es una página clonada y modificada de la original, su misión es la de engañar y capturar las credenciales enviándolas a otro servidor donde serán almacenadas para un posterior uso. Como es lógico el cibercriminal no programa desde 0 la web, sino que realiza una copia de la misma a través de algún programa que automatice el proceso y a continuación la modifica.
Es aquí donde entra la utilidad de httrack un software de carácter libre que clona sitios web. Una vez tengamos el sitio web descargado lo único que hacen es ajustarlo para poder robar las credenciales.
Normalmente cuando recibimos este tipo de correos en castellano no suele estar bien escritos, se nota que no contiene n la formalidad que pueda utilizar una caja o banco y que algunas frases no están bien redactadas.
Pero también existen casos en que no es así y es posible que incluso tras leer varias veces el correo no notes nada anormal por lo que revisa siempre el remitente, seguro que algo no encaja.
Ahora vamos a intentar meternos en la mente del cibercriminal e intentar analizar como actuaría en el caso de querer realizar phising y engañar a una victima.
Lo primero es crearse un dominio que contenga la palabra del banco o caja o lugar que quiera realizar el phising y que pueda pasar por un subdominio. ¡No todo el mundo sabe lo que es un subdominio!. Fijaros en las URL de abajo, su diferencia es mínima.
Original:
Falsa:
Figura 1: Dominio disponible para contratar modificando un “.” Por una “-”
Está claro que los cibercriminales no utilizan páginas como goddady para crear dominios, sino más bien servicios clandestinos que ofrecen este servicio solicitando pocos datos “Buscar por la DeepWeb”, o dando la viabilidad de que sean falsos. Al menos yo utilizaría datos falsos y una cuenta de correo temporal para confirmar las acciones que me indiquen y que termine desapareciendo en unas horas. Ya realice un post sobre este tipo de servicio “cuentas desechables” . No hace falta decir que se busca privacidad a la hora de realizar estas acciones para intentar dejar el menor rastro posible. “La idea es que el dominio esté disponible unas horas para no ser detectado por las competencias oficiales y además que realice varios redirect para complicar su rastreo.
Como veis el dominio es prácticamente el mismo y casi nadie se fijaría que el enlace se difiere en un “.” Por una “-”
Una vez tienen dominio buscan un hosting de algún país el cual tenga una legislación débil “El paraíso fiscal de Internet y crean un servidor con el sitio web copiado que anteriormente han clonado, lo modifican y a continuación buscan algún servidor de correo vulnerable para realizar spam.
Para el correo pueden utilizar también un dominio parecido al oficial. Imaginar algo así.
Figura 2: Dominio para crear correos que puedan parecer verdaderos.
Una vez tengamos toda la infraestructura es esperar que los usuarios comiencen a entrar. Si ahora os preguntáis ¿para qué quieren esa información? La contestación más normal sería para venderla, pero supongo que la utilizaran para múltiples cosas.
El proceso para instalar httrack es el siguiente.
Descargar programa para Windows o Linux
Ejecutar instalador.
Figura 3: Instalar HTTrack
Figura 4: Programa una vez instalado
Esta utilidad es muy valiosa para clonar un sitio web no solo para hacer phiping sino también para ver su contenido con mas calma cuando estas offline.
Otro ejemplo que leído y es interesante es como injectar un meterpreter a través de applet de Java, podéis leerlo en el blog de flu-proyect .Últimamente JAVA esta que hecha humo con sus fallos de seguridad.