Ataques de phishing clon explicados
Clone Phishing es posiblemente la técnica más conocida en los ataques de piratería basados en la ingeniería social. Uno de los ejemplos más conocidos de este tipo de ataque es la entrega masiva de mensajes por correo que pretenden ser un servicio o red social. El mensaje alienta a la víctima a presionar un enlace que apunte a un formulario de inicio de sesión falso, un clon visual de la página de inicio de sesión real.
La víctima de este tipo de ataque hace clic en el enlace y generalmente abre una página de inicio de sesión falsa y llena el formulario con sus credenciales. El atacante cosecha las credenciales y redirige a la víctima al servicio real o a la página de la red social sin que la víctima sepa que ha sido pirateado.
Este tipo de ataque solía ser efectivo para los atacantes que lanzaron campañas masivas para recolectar grandes cantidades de credenciales de usuarios negligentes.
Afortunadamente, los sistemas de verificación de dos pasos son amenazas de phishing clon neutralizantes, pero muchos usuarios siguen sin darse cuenta y desconocidos.
Características de los ataques de phishing clon
- Los ataques de phishing clon se dirigen contra varios objetivos, si el ataque se dirige contra un individuo específico, entonces estamos bajo un ataque de phishing de lanza.
- Un sitio web o aplicación genuina está clonada para hacer que la víctima crea que está registrando una forma genuina.
- Después del ataque, la víctima es redirigida al sitio web genuino para evitar sospechas.
- La vulnerabilidad explotada en esos ataques es el usuario.
Cómo protegerse antes de los ataques de phishing clon
Es importante comprender que los ataques de phishing no se dirigen a las vulnerabilidades del dispositivo, pero el ingenio de los usuarios. Si bien hay implementaciones tecnológicas para combatir el phishing, la seguridad depende de los usuarios.
La primera medida preventiva es configurar la verificación de dos pasos en los servicios y sitios web que utilizamos, al implementar esta medida, los piratas informáticos no pueden acceder a la información de la víctima incluso si el ataque tiene éxito.
La segunda medida es educarse sobre cómo se ejecutan los ataques. Los usuarios siempre deben verificar la integridad de las direcciones de correo del remitente. Los usuarios deben prestar atención a los intentos de imitación (e.gramo., Reemplazando una O para un 0 o utilizando caracteres generados por combinación clave).
La evaluación más importante debe estar en el dominio al que estamos vinculados desde el mensaje que requiere una acción específica de nosotros. Los usuarios deben confirmar o descartar la autenticidad del sitio web solo leyendo el nombre de dominio. La mayoría de los usuarios no prestan atención a los nombres de dominio. Los usuarios experimentados generalmente sospechan inmediatamente antes de un intento de phishing.
Las siguientes imágenes muestran cómo identificar un ataque de phishing viendo la barra de direcciones de URL. Algunos piratas informáticos ni siquiera intentan imitar el nombre de dominio del sitio clonado.
Sitio genuino:
Ataque de phishing clon:
Como puede ver, el nombre de dominio fue falsificado, esperando a los usuarios desconocidos.
Además, hay servicios defensivos para tratar con phishing. Estas opciones combinan el análisis de correo e inteligencia artificial para informar los intentos de phishing. Algunas de estas soluciones son Phishfort y Hornet Security Antiphishing.
Cómo los hackers ejecutan ataques de phishing clon
SETOOLKIT es una de las herramientas más extendidas para ejecutar diferentes tipos de ataques de phishing. Esta herramienta se incluye de forma predeterminada en distribuciones de Linux orientadas a la piratería como Kali Linux.
Esta sección muestra cómo un hacker puede ejecutar un ataque de phishing clon en un minuto.
Para iniciar, instale SETOOLKIT ejecutando el siguiente comando:
[Codificar] clon git https: // github.com/TrustedSec/Social-Engineer-Toolkit/Set/[/Codee]Luego, ingrese el Directorio Establecer usando el CD de comando (Cambiar directorio) y ejecute el siguiente comando:
[Codificar] CD SET [/CodeDe][Codificar] Configuración de Python.PY -REQUIROS.txt [/encode]
Para comenzar a setOolkit, ejecute:
[Codificar] setoOlkit [/encode]Aceptar los términos de servicio presionando Y.
SETOOLKIT es una herramienta completa para que los hackers realicen ataques de ingeniería social. El menú principal mostrará diferentes tipos de ataques disponibles:
Los elementos del menú principal incluyen:
Ataques de ingeniería social: Esta sección de menú incluye herramientas para vectores de ataque de phishing de lanza, vectores de ataque de sitios web, generador de medios infecciosos, creación de carga útil y oyente, ataque de correo masivo, vector de ataque basado en Arduino, vector de ataque de acceso inalámbrico, vector de ataque QRCode, vectores de ataque PowerShell , Módulos de terceros.
PRUEBAS DE PENETRACIÓN: Aquí puede encontrar Microsoft SQL Bruter, exploits personalizados, SCCM Attack Vector, Dell Drac/Chassis Valor predeterminado, Rid_enum - Ataque de enumeración del usuario, inyección de Psexec PowerShell.
Módulos de terceros: Los piratas informáticos pueden escribir sus módulos, hay un módulo disponible para hackear Google Analytics.
Para continuar con el proceso de phishing clon, seleccione la primera opción presionando 1 como se muestra a continuación:
Seleccione la tercera opción Método de ataque de cosechador de credenciales presionando 3. Esta opción permite clonar fácilmente los sitios web o configurar formularios falsos para phishing.
Ahora, SETOOLKIT pide la dirección IP o el nombre de dominio del dispositivo en el que se alojará el sitio clonado. En mi caso estoy usando mi dispositivo, defino mi IP interna (192.168.1.105) Entonces, nadie de mi red local podrá acceder al sitio web falso.
Luego, SETOOLKIT preguntará en qué sitio web desea clonar, en el ejemplo a continuación elegí Facebook.comunicarse.
Como puede ver ahora, cualquiera que acceda a 192.168.0.105 será dirigido a un formulario de inicio de sesión de Facebook falso. Al comprar un dominio similar, los piratas informáticos pueden reemplazar la dirección IP por un nombre de dominio como F4CEBOOK.com, faceb00k.com, etc.
Cuando la víctima intenta iniciar sesión, SETOOLKIT cosecha el nombre de usuario y la contraseña. Es importante recordar en caso de que la víctima tenga protección de verificación de dos pasos, el ataque será inútil incluso si la víctima escribió su nombre de usuario y contraseña.
Entonces la víctima es redirigida al sitio web real, pensará que no pudo iniciar sesión, volverá a intentarlo con éxito sin sospechar que fue pirateado.
El proceso descrito anteriormente es un proceso de 2 minutos. Configurar el entorno (servidor en alta mar, nombre de dominio similar) es más difícil para los atacantes que ejecutar el ataque en sí. Aprender cómo los piratas informáticos ejecutan este tipo de táctica es la mejor manera de ser conscientes del peligro.
Conclusión
Como se describió anteriormente, los ataques de phishing clon son fáciles y rápidos de ejecutar. Los atacantes no necesitan seguridad de TI o conocimientos de codificación para lanzar este tipo de ataque contra grandes cantidades de posibles víctimas que cosechan sus credenciales.
Afortunadamente, la solución es accesible para cualquier persona simplemente habilitando la verificación de dos pasos en todos los servicios usados. Los usuarios también deben prestar especial atención a elementos visuales como nombres de dominio o direcciones de remitente.
Protegirse contra ataques de phishing clon también es una forma de prevenir otras técnicas de ataque de phishing como phishing o phishing de ballenas, ataques que pueden incluir técnicas de phishing clon.