Robo de credenciales de FB y Twitter mediante Man in the Middle, DNS Spoofing y SET.

La obtención del acceso a una cuenta o perfil de alguna red social de alguien es algo que puede resultar bastante simple con el uso de las herramientas adecuadas. En este artículo verás una manera simple y eficiente de cómo obtener las credenciales de los usuarios de Facebook y Twitter con apoyo del “Credential Harvester”, MITM y algo de Spoofing. Resulta mucho más fácil engañar a un usuario incrédulo en vez de buscar el método para crackear su password. Las personas que toman en consideración estos factores, han empezado a usar contraseñas más complejas o largas, esto no quiere decir que no sean vulnerables, simplemente resulta más difícil la obtención de su password mediante fuerza bruta por su complejidad de esta o los caracteres involucrados, es por esto que ya no resulta ser eficiente este método, además de que suele tomar mucho tiempo, y puede que al final el password ni si quera estaba dentro de diccionario o “wordlist”.

Parte del Phishing consta engañar a alguien para que proporcione información sensible, asi como la ingeniería social forma parte del Phishing, se genera cierta confianza o credibilidad y después se toma información valiosa como pueden ser passwords.

Uso de del Social Engineering Toolkit. .

 

SET, es una herramienta tipo “opensource” que está hecha con python, en si es un framework que nos ofrece un extenso repertorio de herramientas para poder hacer spoofing, Phishing, y demás ataques relacionados con ingeniería social, ya que estos son muy prevalentes.

Para conseguir nuestro propósito, haremos la clonación de un sitio web, esto será de forma local, tanto en LAN como WLAN, en las siguientes demostraciones se ejemplificará con Twitter y FB.

Lo que se necesitarás para este ataque:

  • Una distribución para pentesting actualizada, se recomiendan las últimas versiones de Kali o Parrot
  • Una red Wifi a la que te conectes.
  • Un equipo real o virtualizado que se encuentre en el mismo segmento de red que tú.

NOTA: Para estas demostraciones se utilzó el S.O Parrot Security 3.1

Ya teniendo lo necesario, iniciaremos un servidor apache, en donde se hospedará la página falsa o sitio clonado que haremos con SET, para iniciar el servidor ejecutamos el siguiente comando “service apache2 start”:

1
Imagen 1.1: Iniciando el servidor apache

Una vez iniciado, ahora configuraremos el IP FORWARDING en nuestra distro, para que todo el trafico de un cierto host (Victima) que configuraremos mas adelante con MITM se redireccione hacia nosotros, esto lo haremos con el comando “echo 1 > /proc/sys/net/ipv4/ip_forward”:

2
Imagen 1.2: Configurando IP Forwarding.

Seguido de esto, iniciaremos al Social Engineering Toolkit (SET), simplemente ejecutando el comando “setoolkit”, en donde nos aparecerá un acuerdo de licencia (si es la primera vez que lo abres) el cual aceptaremos:

3

4
Imagen 1.3 y 1.3: Acuerdo de terminos de servicio.

Después de haber aceptado el acuerdo, veremos el menú principal de SET, en donde escogeremos la opción “Social Engineering Attacks”.

5
Imagen 1.4: Selección de Social Engineering Attacks.
Una vez seleccionado, nos aparecerán las distintas opciones para trabajar con ataques de Ingeniería Social con SET, en este nuevo menú seleccionaremos la opción 2 “Website Attack Vectors”:

6
Imagen 1.5: Selección de Website Attack Vectors.

Seguido de eso, en este nuevo menú escogeremos la opción “Credential Harvester”, esta función nos permitirá obtener las credenciales de algún formulario que contenga un Login, o algún campo en donde se ingrese un usuario o un password, lo que hará el esta función será “cosechar” (Harvest), toda la información ingresada en estos campos dentro de la pagina falsa.

7
Imagen 1.6: Selección de la función “Credential Harvester”.

Ya seleccionada, en el siguiente menú escogeremos la función “Site Cloner” el cual será nuestro vector de Ataque, el cual clonará el índex o página principal un sitio web en su totalidad, permitiéndonos asi escoger entre una variedad de ataques para que trabajen en conjunto con este sitio clonado, obteniendo asi las credenciales de algún usuario:

8
Imagen1.7: Selección de “Site Cloner”.

A continuación ingresaremos la IP del Host que hospedará la página falsa (Nosotros), en donde irá la IP de la maquina atacante, justo después ingresaremos la dirección URL del sitio que queremos clonar, donde se guardará en un directorio que contendrá un Index.html, un POST y un .txt donde estarán las credenciales capturadas, en este primer ejemplo será Twitter:

9
Imagen 1.8: Sitio clonado, indicándonos que la función “Credential Harvester” está a la escucha de la información que se ingrese en los campos del sitio clonado.

Ahora haremos un ataque MITM entre el Host víctima, y el Default Gateway (Access Point, Router), para capturar el tráfico entre ellos 2 mediante ARP, para conseguir eso ejecutaremos el siguiente comando “arpspoof –i wlan0 –t 192.168.1.69 192.168.1.254
Donde:

  • arpspoof: Hace uso de la función ARP Spoofing, en la categoría Man in the Middle.
  • -i: Es el parámetro de configuracion de la interfaz de red (adaptador). Si fuese en LAN lo común seria “eth0”.
  • -t: Es el parámetro de configuracion donde se colocan los objetivos (Victima y router).

10
Imagen 1.9: Ataque MITM.

Ya que tengamos el sitio clonado y el ataque MITM funcionando, haremos unas pruebas para ver cómo es que funciona esto, navegaremos hacia https://www.twitter.com y veremos la página con normalidad, con su forma de loggeo y demás:

11

12
Imagen 2.0 y 2.1: Sitio Oficial de Twitter.

En cambio, si la víctima se dirige hacia la dirección IP de nuestra maquina atacante, encontrará lo mismo, solo con la diferencia de la dirección o sitio que está visitando, lo cual luce completamente sospechoso y solo algún usuario bastante ingenuo caería en algo asi (que a decir verdad hay muchos que caen):

13

14
Imagen 2.2 y 2.3: Sitio falso.

Si esta persona ingresa sus credenciales en este sitio, de forma automática se redirigirá hacia la página oficial y legítima de Twitter, haciéndole creer que hubo un simple error en su navegación, pero por otro lado, “Credential Harvester” capturó los datos de acceso:

15
Imagen 2.4: Loggeo desde sitio falso.

 

Al hacer eso, nos dirigimos al directorio donde se encuentran los archivos generados por la función “Site Cloner” de SET, estos están en “/var/www/html”, en donde mostraremos el contenido del archivo.txt con la función “cat”:

16
Imagen 2.5: Credenciales capturadas.

Ya obtuvimos un acceso mediante este método, sin embargo habrá ocasiones en las que la gente no tendrá la confianza para querer loggearse en una dirección asi, para darle más credibilidad a esto, haremos algo de Spoofing del DNS, en donde sustituiremos nuestra IP por una Direccion URL común.  En una nueva terminal ejecutamos “geany dnsridirect.txt”, lo que hará esto será abrir el editor de texto Geany creando un archivo .txt con nombre “dnsridirect” en done agregaremos el URL de la página falsa (login.twitter.com) a un lado de nuestra Direccion IP:

17
Imagen 2.6: Creación de .txt e ingreso de datos.
Guardamos los cambios y una vez hecho esto, en otra terminal haremos el spoofing del DNS, ejecutando el siguiente comando “dnsspoof –i wlan0 –f dnsridirect.txt”.

Donde:

  • dnsspoof: Hacemos uso de la herramienta.
  • -i: Indica la interfaz de red.
  • -f: Indica el “File” o archivo con el que se trabajará.

18
Imagen 2.7: Spoofing de DNS funcionando en conjunto con él .txt

Ahora que esto esta configurado, si ese link se le proporciona a la victima o esta entrará al sitio clonado, sin que el contenido o funciones que conocemos hayan cambiado a simple vista, mientras que en la terminal donde esta funcionando el DNS Spoofing, en donde se filtra la info acerca de cuando se ingresa al sitio falso desde el host victima, y la direccion a la que va (Router).

19
Imagen 2.8: Registro de Direccion del sitio falso visitada.

20

21
Imagen 2.9: Sitio falso funcionando con Spoofing del DNS

Una vez que se la victima consiga loggearse en este sitio, “Credential Harvester”, habrá capturado las credenciales, esta también se pueden visualizar en la terminal donde se está ejecutando SET, en donde veremos 2 intentos, uno sobre la Direccion sin DNS Spoofing y el otro con el que se usó dnsspoof, ambos capturando el acceso:

22
Imagen 3.0: Credenciales capturadas en sitio falso de nuevo.

Si se quiere intentar lo mismo con Facebook, solo habrá que seguir todos los pasos anteriores hasta la creación del file que contendrá la Direccion IP y el URL para el Spoofing del DNS. Además habrá que eliminar o migrar los archivos del directorio “/var/www/html” antes de clonar un nuevo sitio.

Una vez hecho eso, clonaremos a la página de inicio de Facebook, mediante SET:

23

24

Imagen 3.1 y 3.2: Creación de sitio falso de FB mediante SET.

Repetiremos el paso donde se creó el .txt que trabajará con dnsspoof, aquí su nombre será falsefb.txt, dentro se agregará la dirección IP de la maquina atacante y el URL del sitio falso:
25

26
Imagen 3.3 y 3.4: Creación de .txt  para sitio falso de FB que trabajara con dnsspoof.

27
Imagen 3.5: Spoofing de DNS trabajando con él .txt generado.

Ahora que tenemos configurado el Spoofing del DNS y el ataque MITM corriendo, ingresaremos al URL del sitio falso (service.facebook.com), en donde la victima ingresará sus credenciales, al hacer esto, simplemente la re direccionará  hacia el sitio oficial de Facebook, o el servidor no será encontrado debido al tráfico generado por el ataque MITM:

28

29
Imagen 3.6. y 3.7: Ingreso a sitio falso de FB y envío de credenciales.

Mientras que en la maquina atacante, la función de “Credential Harvester” capturó los datos de acceso de la víctima:

30
Imagen 3.8: Credenciales capturadas por Credential Harvester.

Con estos ejemplos se demostró que tan fácil puede resultar la obtención de las credenciales de acceso para la cuenta de una persona de alguna red social en específico, sin tener que recurrir a la fuerza bruta y perder tiempo o tener que ingresar malware al equipo objetivo.

El framework de SET demostró ser una herramienta bastante eficiente para realizar este tipo de ataques y conseguir nuestro propósito, además de que si se logra trabajar en conjunto  con las herramientas adecuadas, puede ser más eficaz la obtención de esta información sensible como pueden ser las contraseñas.
-Mk Nv
Todo el contenido de este escrito fue hecho con fines educativos.

4 thoughts on “Robo de credenciales de FB y Twitter mediante Man in the Middle, DNS Spoofing y SET.”

    1. un scam es la pagina clonada identicamente de la pagina original, la cual subes a un servidor y mandas el link a tu victima, se loguea con sus datos y los passwords se van a tu base de datos…… es pero que me haya explicado bien para que me entendieras, si quieres saber mas sobre esto busca en google «pishing»

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *