|
Título: Geolocalizador i Phishing (2 preguntas) Publicado por: UnaiiM en 6 Abril 2019, 14:03 pm Buenas,
1> Alguien me recomendaria algun geoloacalizador (web, exploit,...) 2> Alguien me recomendaria alguna eramienta para hacer pishing. He buscado pero prefiero que me lo recomiende alguien experto. Gracias! Título: Re: Geolocalizador i Phishing (2 preguntas) Publicado por: Xyzed en 21 Noviembre 2019, 04:08 am ¿Para que quieres dichas herramientas?, espero que no sea para ningún fin malicioso :rolleyes:, en cuanto a lo que te puedo brindar.... Aprende a como realizar vos mismo el PHISHING y la geolocalización hay varias páginas web´s que brindan dicho servicio incluida esta misma. Título: Re: Geolocalizador i Phishing (2 preguntas) Publicado por: @XSStringManolo en 21 Noviembre 2019, 16:31 pm Hice un script para geolocalización (https://pastebin.com/6iP6htiW), quítale las etiquetas code que se me olvidara quitárselas. Puedes embeberlo en un ejecutable con C++ (linux/windows/mac) o Java(webkit) para Android y ejecutarlo en segundo plano. Obviamente quítale los alerts y pasa los resultados a la función principal de tu programa u otra función.
Tambien puedes correrlo directamente en el navegador por defecto pero el target tiene que tener habilitado alguno de los métodos utilizados para geolocalización. Puedes usar Ingeniería Social (https://github.com/beefproject/beef/wiki/Social-Engineering) para que los active si no están por defecto, instalar extensiones, etc. Para phishing (https://github.com/v2-dev/awesome-social-engineering/blob/master/README.md#tools) hay un montón de herramientas (https://blackarch.org/social.html) que puedes instalar en distribuciones (http://www.bitforestinfo.com/2017/03/what-is-archstrike-features-of.html) muy afines. Aunque es mejor hacer las cosas a mano, adaptándolas a cada servicio (https://www.redeszone.net/2019/02/21/nuevo-truco-ataque-phishing-email/). Normalmente los "profesionales" actúan en organizaciones de forma que se "reparten" los delitos. No es lo mismo que una persona se infiltre en un sistema, suplante identidades, mande correos maliciosos, monte toda la infraestructura, vaya al banco a sacar el dinero, lo blanqué, etc. Que que varias personas se dividan los roles. Hay diversas técnicas (https://es.m.wikipedia.org/wiki/Phishing#T%C3%A9cnicas_de_phishing) sencillas de implementar y muy eficaces (https://www.vadesecure.com/en/5-common-phishing-techniques/). Por ejemplo de clickjacking (https://www.imperva.com/learn/application-security/clickjacking/), attachments como documentos html (https://www.avanan.com/blog/phishing-trend-targeting-office-365-uses-html-attachments), shtml (https://www.zdnet.com/article/this-strange-new-phishing-attack-uses-a-surprise-bill-to-trick-you-into-clicking/), javascript (https://heimdalsecurity.com/blog/javascript-malware-explained/amp/), etc (https://attack.mitre.org/techniques/T1193/). O otros métodos que no utilizan el email como vector de ataque. SMiShing (https://es.m.wikipedia.org/wiki/Smishing), Vishing (https://es.m.wikipedia.org/wiki/Vishing), ataques de suplantación de servicios postales (https://www.techradar.com/news/hackers-spoofing-us-postal-service-to-trap-victims), y sobre todo las redes sociales (https://esgeeks.com/hackear-facebook-phishing-weeman-ngrok/) y apps de mensajería (https://www.cert.gov.py/index.php/noticias/whatsapp-phishing-como-robar-la-sesion-de-un-usuario-de-whatsapp-web) Es debido a la división y "repartimiento" de tareas en las campañas de Phishing el motivo por el cual se pueden llegar a sentencias irrisorias (https://www.espacioasesoria.com/Noticias/el-phishing-calificacion-juridica-y-actos-preparatorios) como esta (https://m.europapress.es/cantabria/noticia-cuatro-meses-prision-ser-cooperador-necesario-delito-phishing-20170301114412.html). En cambio a otros (https://m.europapress.es/portaltic/ciberseguridad/noticia-condenan-cibercriminal-anos-prision-hackear-correos-electronicos-cambio-dinero-gobierno-ruso-20180531130140.html) que se involucran en más partes del proceso pueden caerles penas más elevadas. También depende de la legislación de cada país. Un ejemplo de penas muy elevadas (https://www.elespanol.com/omicrono/software/20160111/anos-carcel-montar-web-phishing-ultimo-turquia/93740706_0.html) es Turkía. En DarkReading (https://www.darkreading.com/vulnerabilities---threats/advanced-phishing-scenarios-you-will-most-likely-encounter-this-year/a/d-id/1333632) suelen publicar artículos interesantes relacionados con Ingeniería Social. En Torum (http://torum6uvof666pzw.onion/viewforum.php?f=25) tienes un foro de Ingeniería Social que suelen frecuentar algunos expertos en la materia. Si utilizas esta información malintencionadamente es más que probable que te "pillen". No necesariamente el usuario afectado, si no los servicios a través de los cuales realizas estos ataques. Y los servicios finales del propio usuario entre otros. Dalo por hecho. |