Conviértete en el rey del phishing

Hola muy buenos días lectores del maravilloso blog de HackingFacil, espero que se encuentren muy bien y estén preparados para convertirse quizás en los reyes del phishing automatizado.

Antes de comenzar debemos tener algunas ideas claras, por ejemplo:

¿Qué es el phishing?

Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta. Más información.

¿Fases?

• En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o correos electrónicos, a través de mensajes de ofertas de empleo con una gran rentabilidad o disposición de dinero (hoax o scam). En el caso de que caigan en la trampa, los presuntos intermediarios de la estafa, deben rellenar determinados campos, tales como: Datos personales y número de cuenta bancaria.
• Se comete el phishing, ya sea el envío global de millones de correos electrónicos bajo la apariencia de entidades bancarias, solicitando las claves de la cuenta bancaria (phishing) o con ataques específicos.
• El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de dinero, las cuales son transmitidas a las cuentas de los intermediarios (muleros).
• Los intermediarios realizan el traspaso a las cuentas de los estafadores, llevándose éstos las cantidades de dinero y aquéllos —los intermediarios— el porcentaje de la comisión.

Para realizar este post utilizaremos una herramienta que recibe el nombre de KingPhisher,

¿pero de que se trata?

King Phisher es una herramienta open source diseñada para realizar campañas de Phishing. El código fuente se encuentra disponible en GitHub.

Ahora que tenemos un poco de información acerca de la herramienta vamos a probarla y ver que podemos hacer con ella ;).

Para realizar estas pruebas utilizaré una maquina virtual con Kali Linux donde descargaremos e instalaremos la herramienta.

Lo primero que haremos será abrir una terminal y pegar el siguiente comando:

root@hackingfacil:~# mkdir /opt/HackingFacil && cd /opt/HackingFacil && sudo git clone https://github.com/securestate/king-phisher.git

// Lo que estamos haciendo sería crear una carpeta en la ruta /opt/ que recibe el nombre de HackingFacil, posteriormente entramos en el directorio y comenzamos a clonar el repositorio de github, ¡Simple!

Seguiremos realizando la instalación de la herramienta:

root@hacking:/opt/HackingFacil# sudo king-phisher/tools/install.sh

// De este modo comenzaremos a realizar instalación de forma automática.

// El script automáticamente nos detecta nuestra versión de sistema operativo y nos pregunta si queremos instalar PostgreSQL;https://github.com/securestate/king-phisher/blob/master/INSTALL.md

Linux version detected as Kali
Install and use PostgreSQL? (Highly recommended and required for upgrading) [Y/n] y

// Al finalizar la instalación nos hace un recordatorio prácticamente indispensable:

->  You can start the King Phisher client with the following command:
python3 /opt/HackingFacil/king-phisher/KingPhisher

// Para evitar posibles errores con la herramienta instalaremos matplotlib

root@hackingfacil:/opt/HackingFacil# apt-get install python-matplotlib

// Podemos continuar con la instalación desde -> https://github.com/securestate/king-phisher/blob/master/INSTALL.md y de este modo evitamos alargar el articulo.

Ahora que tenemos todo instalado vamos a ver que nos propone la herramienta, para ello ejecutaremos el comando de inicio anteriormente mencionado.

 Como podemos observar tan solo debemos introducir los datos necesario para que King Phisher pueda acceder mediante SSH y a disfrutar de su versatilidad.

Como podemos observar la herramienta nos permite gestionar campañas de phishing en tiempo real prácticamente sin ningún tipo de esfuerzo, estas son algunas de sus funcionalidades:

1.Gestionar múltiples phishing de forma inmediata.

2.Enviar emails con imagenes embebidas.

3.Segundo factor de identificación

4.Recogida de credenciales

5.Alertas SMS de nuestras campañas

6. Mucho más …

¿A que estas esperando para empezar a probar la herramienta?

Un buen handshake a todos #HAPPYHACKING