Ingenieria Social: Facebook Hacked!

La ingenieria social, es la técnica que consigue engañar al usuario para obtener algo, ya puede ser desde llamarle por teléfono diciendo que eres su empresa de telecomunicaciones y precisas de sus datos personales hasta el famoso cryptolocker que llegaba en correos simulando una factura de alguna empresa. En este caso lo que vamos a hacer es simular la página web de Facebook pero que en realidad es nuestro Kali con un apache. Para este tutorial se va a utilizar la herramienta setoolkit que es una herramienta extremadamente fácil de utilizar y que funciona muy bien.

Todo este escenario se va a montar sobre una máquina Kali 2.0 que ya viene con todo preinstalado.

Para empezar, abrir una terminal y lanzar la herramienta

Seleccionaremos la opción 1 que es la que mas se ajusta a nuestras necesidades

Aquí seleccionaremos la opción 2 para hacer un ataque de vector web

Indicamos con la opción 3 que queremos hacer un ataque de credenciales

Y por último la opción 2 para clonar una página web

Esto nos pide la IP del Kali linux, si el ataque se quiere efectuar contra una persona que esté en la red privada, vale con poner esta. Si se quiere ir contra una persona de fuera de la red, hay que poner la IP pública y natear el puerto 80 en el router hacia la máquina kali.

Por último, pedirá que página queremos clonar. Esto se podría hacer con cualquiera pero en este ejemplo se va a utilizar FB

Y ya estaría en marcha, ahora para acceder a la web fake, hay que meter la IP del kali en el navegador

Y ya aperecerá la pagina de login de facebook

Y una vez se meta el usuario y contraseña y se le de a “Enviar”, aparecerá en la consola de Kali los datos y nos redirigirá a la página oficial de facebook para no levantar sospechas

Luego las contraseñas se almacenan en archivos que se llaman harvester en /var/www/html

Este ataque para que sea verdaderamente eficaz, hay que currarselo un poco y ponerlo bonito. Se puede hacer o bien mandando un enlace en un correo que ponga https://facebook.com/supervideo y que en verdad redirija a la IP de Kali o currarselo un poco mas y hacer un DNS spoofing diciendo que www.facebook.com es la IP de Kali (teniando cuidado de que una vez que meta la contraseña, siempre le va a redirigir a la web falsa)

Este tutorial es simplemente para darse cuenta lo sencillo que es el hacer este tipo de ataques y el cuidado que hay que tener.

Happy Hacking 🙂

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *