Hice un script para
geolocalización, quítale las etiquetas code que se me olvidara quitárselas. Puedes embeberlo en un ejecutable con C++ (linux/windows/mac) o Java(webkit) para Android y ejecutarlo en segundo plano. Obviamente quítale los alerts y pasa los resultados a la función principal de tu programa u otra función.
Tambien puedes correrlo directamente en el navegador por defecto pero el target tiene que tener habilitado alguno de los métodos utilizados para geolocalización. Puedes usar
Ingeniería Social para que los active si no están por defecto, instalar extensiones, etc.
Para
phishing hay un montón de
herramientas que puedes instalar en
distribuciones muy afines. Aunque es mejor hacer las cosas a mano, adaptándolas a cada
servicio. Normalmente los "profesionales" actúan en organizaciones de forma que se "reparten" los delitos. No es lo mismo que una persona se infiltre en un sistema, suplante identidades, mande correos maliciosos, monte toda la infraestructura, vaya al banco a sacar el dinero, lo blanqué, etc. Que que varias personas se dividan los roles.
Hay diversas
técnicas sencillas de implementar y muy
eficaces. Por ejemplo de
clickjacking, attachments como documentos
html,
shtml,
javascript,
etc. O otros métodos que no utilizan el email como vector de ataque.
SMiShing,
Vishing, ataques de suplantación de
servicios postales, y sobre todo las
redes sociales y apps de
mensajeríaEs debido a la división y "repartimiento" de tareas en las campañas de Phishing el motivo por el cual se pueden llegar a
sentencias irrisorias como
esta. En cambio a
otros que se involucran en más partes del proceso pueden caerles penas más elevadas. También depende de la legislación de cada país. Un ejemplo de penas
muy elevadas es Turkía.
En
DarkReading suelen publicar artículos interesantes relacionados con Ingeniería Social.
En
Torum tienes un foro de Ingeniería Social que suelen frecuentar algunos expertos en la materia.
Si utilizas esta información malintencionadamente es más que probable que te "pillen". No necesariamente el usuario afectado, si no los servicios a través de los cuales realizas estos ataques. Y los servicios finales del propio usuario entre otros. Dalo por hecho.