El concepto de "hacker" se ha opacado con el tiempo, conforme la tecnología sigue avanzando surgen nuevas clases de personas que usan sus habilidades para distintos fines, y que más lucrativo que el dinero... actualmente un gran porcentaje de los genios informáticos que hay en el mundo usan sus conocimientos para burlar las reglas de la sociedad con creatividad y obtener algo a cambio, un ejemplo claro de lo que estoy hablando es el Phising, el término se deriva de la palabra "fishing" (pescando) y pues como su nombre lo dice es pescar victimas con un ligero engaño, el phising no es precisamente un proceso estandarizado, depende de la creatividad de los hackers y se pueden hacer inumerables técnicas informáticas para llegar al objetivo en común, la obtención de vienes materiales, a continuación explicare un proceso básico de phising totalmente ficticio en forma demostrativa.
Definiendo. ¿Cuál es el plan?
Para esta ocasión se usará una estrategia simple y básica.
- Se montara un scam de un banco que permita transacciones bancarias a terceros.
- Se desarrollara un "virus" para pharming.
- Se enviará spam a las victimas.
- Se recolectara la información y se vaciaran cuentas.
Descubriendo. ¿Quién será tu público?
Antes de empezar debes recolectar información, entre esa información es a quien será dedicado el ataque, esto con la finalidad de facilitar por un mismo medio la extracción de la información. Supongamos que nuestro público será gente Chilena con acceso a una cuenta electrónica en algún banco, entonces necesitare ver como conseguire la información de este público, el método que se ha elegido para esta ocasión será via correo electrónico.
Necesito conseguir correos electrónicos de gente chilena, así que tengo varias opciones, las más rentables para mi son:
1.-Extraer listas de correos haciendo uso de buscadores como Google, Bing o Yahoo! de forma automatizada.
2.-Comprar una lista de correos de ese país con compañias especializadas en marketing.
Preparando. Montando el escenario.
Ahora que sabemos a quienes atacaremos, necesitamos empezar a hacer los preparativos.
El "scam" (estafa en inglés), nos referimos a la pantalla creada para engañar a la victima, será entonces una copia identica de la página web del banco al que quiero ingresar, tendrá las siguientes funciones:
1.-Hacer pensar a la persona que ingrese que es la página original del banco.
2.-Recopilar la información necesaria para el acceso a la cuenta (RUT, login, password, PIN, etc).
3.-Permitir un acceso real a la página original para no levantar sospechas.
4.-Almacenar toda la información en log solo accesible al atacante.
Ejemplo:
Ahora que sabemos a quienes atacaremos, necesitamos empezar a hacer los preparativos.
El "scam" (estafa en inglés), nos referimos a la pantalla creada para engañar a la victima, será entonces una copia identica de la página web del banco al que quiero ingresar, tendrá las siguientes funciones:
1.-Hacer pensar a la persona que ingrese que es la página original del banco.
2.-Recopilar la información necesaria para el acceso a la cuenta (RUT, login, password, PIN, etc).
3.-Permitir un acceso real a la página original para no levantar sospechas.
4.-Almacenar toda la información en log solo accesible al atacante.
Ejemplo:
La
"letter". Para poder engañar al público al que se dirige el ataque
buscamos la manera de hacerlo de una forma más inocente para desviar la
atención del atacado y evitar sospechas del objetivo final, entonces se
planea lo siguiente:
1.- Se crea una página web en forma de anuncio.
2.- Ésta página insitara por medio de un engaño la descarga y ejecución de un ejecutable.
Ejemplo:
1.- Se crea una página web en forma de anuncio.
2.- Ésta página insitara por medio de un engaño la descarga y ejecución de un ejecutable.
Ejemplo:
Al
momento de que la persona ingrese al anuncio motivada por su contenido
se pedira la descarga de un software para hacer (en este caso) la
recarga del celular y así "obtener el doble de tiempo aire".
El "virus", va a ser el software encargado de la ejecución del engaño, en este caso se planea hacer pharming, así que el virus hará lo siguiente:
1.-Abrir una página que distraiga la atención del usuario, ya sea una página de registro para T/e/l/c/e/l/ o algo semejante.
2.-Modificar los archivos del Sistema Operativo de la redirección DNS, en caso de Windows el archivo %windir%/system32/drivers/etc/hosts inyectando en el contenido algo como:
200.10.20.30 banco.com
200.10.20.30 www.banco.com
200.10.20.30 http://banco.com
200.10.20.30 http://www.banco.com
Donde 200.10.20.30 es la ip del scam creado anteriormente y es a donde el usuario llegara cuando desde su navegador teclee alguna de las reglas anteriores como www.banco.com. NOTA: Vean el concepto de pharming y spoofing.
El "mailer", es un programa, página o botnet con la capacidad de envio masivo de correos electrónicos (spam).
Ejemplo:
El "virus", va a ser el software encargado de la ejecución del engaño, en este caso se planea hacer pharming, así que el virus hará lo siguiente:
1.-Abrir una página que distraiga la atención del usuario, ya sea una página de registro para T/e/l/c/e/l/ o algo semejante.
2.-Modificar los archivos del Sistema Operativo de la redirección DNS, en caso de Windows el archivo %windir%/system32/drivers/etc/hosts inyectando en el contenido algo como:
200.10.20.30 banco.com
200.10.20.30 www.banco.com
200.10.20.30 http://banco.com
200.10.20.30 http://www.banco.com
Donde 200.10.20.30 es la ip del scam creado anteriormente y es a donde el usuario llegara cuando desde su navegador teclee alguna de las reglas anteriores como www.banco.com. NOTA: Vean el concepto de pharming y spoofing.
El "mailer", es un programa, página o botnet con la capacidad de envio masivo de correos electrónicos (spam).
Ejemplo:
Atacando. Es hora de pescar.
Se toma la lista de correos obtenidos (entre más mejor), y se dividen para evitar saturar el mailer, se usa una estructura como:
Asunto: Recarga tu AmigoKit y obten el 20% de beneficio con nuestro nuevo sistema.
De: Ideas Telcel
Correo: info@telcel.com <----- (esto dependera de las capacidades del SMTP que use tu mailer, ya que aveces los correos que envias no llegan a inbox si no a correo no deseado)
Contenido: <----Aqui pondrias la letter
Una vez enviados los correos es cuestión de esperar y estar revisando periodicamente los registros capturados.
Sacando. Hay que cosechar.
Después de algunos dias y con logs llenos de información es hora de mover el botín, para esto hay muchas formas tales como encontrar un sitio cardeable, hacer transferencia a terceros o lavado por apuestas en casinos en línea, eso depende de cada quién, pero para el ejemplo supongamos que hacemos una transferencia, pero alguien tiene que recoger el dinero... yo no pienso arriesgar mi bello cutis para ser fotografiado en el banco.... entonces contrato a un peón... el se llama Drop y me hará el favor de sacar el botin, solo que me cobrará la bonita cantidad del 50% de todo lo que consiga (si como no).
Y listo, te llegan unos cuantos verdes por envio y te vas a comer unos tacos.
NOTA: El ejemplo fue meramente educativo en base a una situación ficticia, no me hago responsable si alguien hace mal uso de esta información.
Conceptos a investigar:
*Phishing, Pharming, Spoofing, Scam, Spam, Drop, Cardeable, Letter, Mailer.
Espero les sea de interes y/o utilidad. Saludos.
Fuente: Jack
Se toma la lista de correos obtenidos (entre más mejor), y se dividen para evitar saturar el mailer, se usa una estructura como:
Asunto: Recarga tu AmigoKit y obten el 20% de beneficio con nuestro nuevo sistema.
De: Ideas Telcel
Correo: info@telcel.com <----- (esto dependera de las capacidades del SMTP que use tu mailer, ya que aveces los correos que envias no llegan a inbox si no a correo no deseado)
Contenido: <----Aqui pondrias la letter
Una vez enviados los correos es cuestión de esperar y estar revisando periodicamente los registros capturados.
Sacando. Hay que cosechar.
Después de algunos dias y con logs llenos de información es hora de mover el botín, para esto hay muchas formas tales como encontrar un sitio cardeable, hacer transferencia a terceros o lavado por apuestas en casinos en línea, eso depende de cada quién, pero para el ejemplo supongamos que hacemos una transferencia, pero alguien tiene que recoger el dinero... yo no pienso arriesgar mi bello cutis para ser fotografiado en el banco.... entonces contrato a un peón... el se llama Drop y me hará el favor de sacar el botin, solo que me cobrará la bonita cantidad del 50% de todo lo que consiga (si como no).
Y listo, te llegan unos cuantos verdes por envio y te vas a comer unos tacos.
NOTA: El ejemplo fue meramente educativo en base a una situación ficticia, no me hago responsable si alguien hace mal uso de esta información.
Conceptos a investigar:
*Phishing, Pharming, Spoofing, Scam, Spam, Drop, Cardeable, Letter, Mailer.
Espero les sea de interes y/o utilidad. Saludos.
Fuente: Jack
0 comentarios:
Publicar un comentario