Obteniendo contraseñas de Facebook mediante phishing y Weeman

Uno de los ataques más usuales en Internet es el phishing, en ocasiones un ataque de este tipo puede ser el causante de que un atacante acceda por completo a la información de una organización, en este artículo veremos todo sobre estos ataques, también veremos un ejemplo con la herramienta weeman

¿En que consiste este ataque?

El phishing consiste en el robo de credenciales mediante la falsificación de una página web, una aplicación u otra forma de acceso a un determinado servicio. Uno de lo usos más frecuentes es para el robo de credenciales en redes sociales y bancos.

Este ataque esta basado principalmente en la llamada ingeniería social, que aprovecha el desconocimiento y la confianza de las personas sobre como funcionan los medios digitales para poder robar sus datos, posteriormente estos son vendidos en Internet, o simplemente publicados por la gran cantidad de datos recolectados.

Haciendo un ataque de phishing con Weeman

Weeman es un framewok que nos permite realizar ataques de phishing, principalmente actúa como un servidor HTTP para poder publicar la página clonada, pero también incluye otras opciones como la posibilidad de inyectar un código javascript en la web clonada. Una vez explicadas algunas de las características del programa pasaremos a su uso.

Lo primero que tenemos que hacer es descargarlo desde su repositorio oficial

Descarga de Weeman desde su repositorio oficial

Cuando lo tenemos descargado simplemente tenemos que ponernos en su carpeta y ejecutar el archivo weeman de la siguiente forma

./weeman.py

Automáticamente entraremos en el framework, una vez dentro he puesto el comando help, para ver las opciones y el comando show para ver los parámetros que son necesarios para el correcto funcionamiento

Opciones de la herramienta Weeman

Los parámetros son los siguientes:

• url: Dirección de la página web a clonar
• port: Puerto para el servidor de phishing
• action_url:Página a la que será dirigido el usuario al obtener las credenciales
• user_agent: Respuesta que identifique al servidor
• html_file: Página de phishing (en el caso de que sea nuestra)
• external_js: Archivo de javascript para inyectar en la página web clonada.

Para poder configurar los parámetros simplemente tenemos que poner

set <parámetro>

En mi caso he clonado Facebook, para configurar el servidor lo he hecho de la siguiente forma.

Parámetros usados para configurar el servidor

Por último he puesto el servidor a funcionar y he entrado desde otro ordenador para realizar un ejemplo de como sería la captura de datos de un usuario real.

Servidor funcionando

Navegador de la víctima

Cuando el usuario entre, nosotros recibiremos las credenciales y este será automáticamente dirigido a la verdadera página de Facebook.

Credenciales del usuario

¿Cómo nos protegemos de estos ataques?

Ningún método es totalmente seguro de que tus credenciales no va a ser robadas, sin embargo puedes tomar ciertas precauciones:

• Cambiar la contraseña frecuentemente
• No introducir las credenciales en cualquier página web
• NUNCA fiarte de servicios como “Hacking Facebook Online”
• Tener un buen antivirus (algunos detectan este tipo de páginas)
• Asegurarte de que la conexión con la página viaja con HTTPS

Bueno con esto esperamos que os quede claro lo fácil que es que vuestras credenciales sean robadas, os recomendamos que toméis todas las precauciones posibles y si tenéis algún problema podéis contactar con nuestro equipo de soporte.