5 jul. 2014

Detalles que se convierten en un ataque de ingeniería social

Hace poco he sido participante del I Reto para Jóvenes Profesionales de ISACA, presentando un paper sobre information gathering y social engineering. Tras pasar dos procesos de selección me quedé a las puertas del evento final, quedándome sin la posibilidad de exponer mi paper.

El motivo de este post es para enseñar unos de los ejemplos que contenía mi paper, donde se observa como el más mínimo detalle puede acabar resultando en un ataque de ingeniería social.

Todo empezó en mi antiguo trabajo, debido a que una de las aplicaciones no gestionaba correctamente el envío de información y cualquiera que tuviera acceso a la misma red podría leerla sin problema.

Mientras tuneaba el SIEM me encuentro con varias alertas que indicaban que "habiámos sufrido" un ataque web, sin embargo, se trataban de falsos positivos. Lo curioso es que al analizarlas me encuentro que la petición que había hecho saltar la alarma era parecida a la siguiente:
GET /someapp/consultas.jsp?sendMail=true&nombre=nombre1+&apellidos=martinez+apellido2&documento=12345678A&fechaNacimiento=10%2F08%2F1962&email=uncorreo%40gmail.com&consulta=Buenas+tardes%2C+estaba+en+el+paro+y+trabaj%E9+durante+un+mes+en+Dinosol%2C+del+25+de+noviembre+de+2013+al+25+de+diciembre+de+2013%2C+quisiera+saber+si+la+empresa+al+terminar+el+contrato+me+vuelve+a+poner+directamente+en+el+INEM+o+tengo+que+ir+yo+a+la+oficina+a+inscribirme%2C+gracias.&Submit=Enviar HTTP/1.1" 200 6966 "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36"
Vemos como una persona realiza una consulta, y no solo se muestra el contenido de ésta, sino que encima se muestran multitud de datos personales como nombre y apellidos, NIF, fecha de nacimiento o email. Vamos a ver que se puede hacer con esta información...

Buscando en Google por el nombre completo se obtienen fácilmente dos perfiles de esta persona, uno es el perfil público de Infojobs y el otro de la red http://es.administrativos.com. Voy a evitar poner screenshots de ambos perfiles para no afectar a la privacidad de esta persona, ya que por mucho que enmascare datos, dejando los relevantes para que se entiendan las screenshots (y no parezcan un manchurrón rojo) se puede identificar fácilmente a esta persona utilizando los operadores de búsqueda. Ambos perfiles contienen prácticamente la misma información: experiencia profesional, estudios y una lista de skills. Además, en el perfil del portal de administrativos indica que tiene muy buena disponibilidad para viajar y cambiar de residencia, además de tener permiso de conducir y vehículo propio.

Con todos estos datos se puede montar un ataque de phising con el objetivo que cada uno quiera. Instalar una shell, robo de credenciales... En este ejemplo elegí un reverse VNC server, ataque con el que se obtendría acceso a la pantalla y se vería que es lo que está haciendo.

Para la realización del ataque se utiliza el framework por excelencia para ingeniería social, Social Engineering Toolkit, más conocido como SET. En Kali viene por defecto instalado y se ejecuta por medio de setoolkit. Se seleccionan las opciones 1 y después 4, para llegar al menú de "Create a payload and a listener".

Contenido completo en fuente original SecuritybyDefault

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!