miércoles, 22 de agosto de 2012

SMS Spoofing- Social Engineer Attack vector !!!

Esta semana está muy en candelero el tema del SMS spoof en dispositivos Iphone, como seguro habéis visto en cientos de blog´s, tweet´s etc.
Vamos a jugar un poco con SET. La idea es sencilla, mandar un SMS a un empleado de la empresa a la que queremos auditar, diciéndole que ingresen en una página ( que previamente habremos preparado para infectar, concienciar, etc) haciéndonos pasar por alguien de la empresa o cercano a ella.
Como hemos hablado muchas veces en este blog, la fase de information gathering es muy importante, y mucha gente obvia muchos detalles, considerándolos superfluos, o poco necesarios. Vamos a imaginar, centrándonos en este vector de ataque. Si hemos hecho nuestros deberes, casi seguro que podamos encontrar teléfonos móviles de empleados ( con suerte sysadmin o gerente). Teniendo una lista de personas, podemos buscar en foros, por ejemplo un gerente que vende una casa y aparece su teléfono móvil, o un proveedor de la empresa, etc.
Nos ponemos manos a la obra, y ejecutando SET, nos aparecen las opciones:



















Elegimos la opción 1.- luego elegimos la opción 7.- SMS Spoofing Attack Vector.
La siguiente opción es Realizar el ataque, o crear una plantilla personalizada. Elegimos la primera, con numerosas plantillas ( errores ortográficos, fechas mal, etc) o creamos una nueva ( ver imagen)




















La creación de plantilla es muy sencilla, y se guarda para posteriores usos. Continuamos diciéndole que queremos usar una plantilla predefinida, y nos aparecerán todas las por defecto, y las que hayamos creado.




















La siguiente opción que tenemos es la elegir el proveedor de SMS´s que queremos usar. Tenemos una opción gratis que no funciona, dos de pago, y la opción de mandar el SMS a un emulador Android, previamente instalado. Para estas pruebas he usado http://www.lleida.net/es/ que tiene un servicio de pruebas, de 20 mensajes, muy simpático y efectivo. Te registras en 5 minutos, te dan un user/pass, y te lo pide SET. Sencillo, gratis y efectivo.


















Hoy en día, cuanta gente tiene teléfonos con internet, que al ver un SMS puedan pinchar, y acceder a una web infectada?
Otro vector social sería el de que no falsear el número de móvil remitente, usar el número que nos proporciona el servicio de Lleida.net, e intentar " soy el informático, por favor dime tu usuario y clave que hay problemas en el centro y no podemos entrar en tu pc" un domingo por la tarde. El SMS recibido estará disponible entrando en la web de LLEIDA.net a nuestro apartado privado.

Espero que os guste, y que no le mandéis muchos mensajes a vuestros amigos con sorteos, policía, etc.

.
Gracias por leerme.


Google +

6 comentarios:

  1. Esto tengo que probarlo, con un poco de ingeniería social seguro que funciona!

    Muy buena entrada de nuevo =)

    ResponderEliminar
  2. ooOOOOO sobre SET estaba planteándome que fuera la siguiente herramienta con la que me pegaría una paliza.... ahora ya no se que hacer....XD

    Me ha gustado mucho el post!!

    ResponderEliminar
    Respuestas
    1. se me ocurre que prepares un curso de SQL jsjsjsjsjs :P

      Eliminar
  3. eres el fucking master :D gracias por compartir conocimiento

    ResponderEliminar
  4. que majos que soys todos. pero se nota mucho que os pago !!! xD

    ResponderEliminar

Gracias por comentar !!

Related Posts Plugin for WordPress, Blogger...