Todos sufrimos estos ataques a diario. Todos sabemos las recientes noticias que hablan de un 60% de tráfico en internet es spam o al menos fraudulento, etc...
Creo que es conveniente, dentro del proceso habitual de auditoría de seguridad tanto interno, como desde la visión del pentest, realizar una prueba de penetración mediante el famoso Phising. Muchas veces, según la índole del estudio, se puede propagar un elemento malware, pero otras veces basta con demostrar el fallo en las reglas del correo, o simplemente en la política de seguridad y buen uso del e-mail.
Para ello contamos con esta fabuloso y sencillísima herramienta llamada SPT.
En definitiva, es una herramienta que consta de un Front End, lo que verá el usuario, es decir, el phishing, un back end, que es la parte que controlamos nosotros, y el database backend, donde se almacena toda la información. La base tecnológica es la habitual para estas tool, apache, php y mysql. Es por ello por lo que lo instalé en WAMP, por la facilidad. Importante leer la compatibilidad de navegadores, porque por ejemplo, en IE 8 no anda, así como el resto de requisitos. Básicamente montamos WAMP, movemos la aplicación SPT a la carpeta raíz del apache, y lanzamos el instalador. Mas info.
El aspecto inicial, una vez instalado.
Para empezar a jugar, basta con seleccionar unos objetivos, que bien puede ser un correo "suelto", o importar un csv con datos de nombre apellido, dirección, etc.
Una vez hemos configurado "las víctimas" procedemos a crear una campaña. Como podéis ver en la siguiente fotografía, configuramos todas las opciones, que son bastante descriptivas. Tener en cuenta que si no permitimos en el WAMP el acceso desde el exterior de localhost, y no ponemos aquí un path accesible desde internet en los correos cliente, no aparecerá nada... Para esta prueba me basta así. Seleccionamos los Target´s definidos, el modelo de campaña, de las existentes, y el EDUCATION, que viene a ser como la moraleja, es decir, lo que le va a aparecer al usuario víctima del Phising. Identificamos un servidor SMTP con permiso para enviar, y andando...
Para probar lo he enviado a un proveedor pop, y a Hotmail. Como veis, Hotmail detecta que puede ser un correo malicioso, pero permite pinchar en los links, mediante una advertencia al usuario, que como todos sabemos, siempre hace caso...
Al pinchar en cualquiera de los links, nos aparece el mensaje que os comentaba llamado EDUCATION.
Mi proveedor POP no se ha enterado de un posible ataque de Phising, por lo que solo tengo que pinchar el link y listo.
En el Iphone de turno, ni una advertencia.
La visión del Back end es muy gráfica, con unas cuantas estadísticas y estados de la campaña. Ideal para documentar a gerencia, con pelos y señales de quien, como, cuando, etc...
Es muy interesante y versatil la herramienta, ya que nos permite configurar tanto los EDUCATION, por ejemplo añadiendo un texto corporativo concienciando a los empleados del peligro del e-mail, como las TEMPLATES, es decir, el contenido del phising.
Hay dos maneras de crear nuestras plantillas, subiendo un fichero zip con varios ficheros, como nueva plantilla ( o en su defecto navegar por la instalación, descargando una plantilla, y modificando a nuestro gusto para subirla) o configurando una plantilla en el portal vinculando el contenido del mensaje a una página On-Line. Es muy interesante el uso de las variables, como por ejemplo nombre, para personalizar aún mas el mensaje.
Os recomiendo leer la documentación oficial al respecto, ya que lo explica muy sencillo, y así mi conciencia queda tranquila xD. aquí.
Como veis, es una hora como mucho, podemos montar el framework, configurarlo y preparar una plantilla al gusto del consumidor, y empezar a analizar qué pasa en nuestras organizacoines con las políticas de correo.
Espero que os guste la herramienta, el post, y que no empecéis a mandar correos a vuestros empleados con oferta de Viagra.
gracias !!!!