Hace poco he sido participante del
I Reto para Jóvenes Profesionales de ISACA,
presentando un paper sobre information gathering y
social engineering.
Tras pasar dos procesos de selección me quedé a las puertas del evento
final, quedándome sin la posibilidad de exponer mi paper.
El motivo de este post es para enseñar unos de los ejemplos que contenía
mi paper, donde se observa como el más mínimo detalle puede acabar
resultando en un ataque de ingeniería
social.
Todo empezó en mi antiguo trabajo, debido a que una de las aplicaciones
no gestionaba correctamente el envío de información y cualquiera que
tuviera acceso a la misma red podría leerla sin problema.
Mientras tuneaba el SIEM me encuentro con varias alertas que indicaban
que "habiámos sufrido" un
ataque web, sin embargo, se trataban de falsos
positivos. Lo curioso es que al analizarlas me encuentro que la
petición que había hecho saltar la alarma era parecida a la siguiente:
GET
/someapp/consultas.jsp?sendMail=true&nombre=nombre1+&apellidos=martinez+apellido2&documento=12345678A&fechaNacimiento=10%2F08%2F1962&email=uncorreo%40gmail.com&consulta=Buenas+tardes%2C+estaba+en+el+paro+y+trabaj%E9+durante+un+mes+en+Dinosol%2C+del+25+de+noviembre+de+2013+al+25+de+diciembre+de+2013%2C+quisiera+saber+si+la+empresa+al+terminar+el+contrato+me+vuelve+a+poner+directamente+en+el+INEM+o+tengo+que+ir+yo+a+la+oficina+a+inscribirme%2C+gracias.&Submit=Enviar
HTTP/1.1" 200 6966 "Mozilla/5.0 (Windows NT 6.3; WOW64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116
Safari/537.36"
Vemos como una persona realiza una consulta, y no solo se muestra el
contenido de ésta, sino que encima se muestran multitud de datos
personales como nombre y apellidos, NIF, fecha de nacimiento o email.
Vamos a ver que se puede hacer con esta información...
Buscando en Google por el nombre completo se obtienen fácilmente dos
perfiles de esta persona, uno es el perfil público de Infojobs y el otro
de la red http://es.administrativos.com. Voy a evitar poner screenshots
de ambos perfiles para no afectar a la privacidad de esta persona, ya
que por mucho que enmascare datos, dejando los relevantes para que se
entiendan las screenshots (y no parezcan un manchurrón rojo) se puede
identificar fácilmente a esta persona utilizando los operadores de
búsqueda. Ambos perfiles contienen prácticamente la misma información:
experiencia profesional, estudios y una lista de skills. Además, en el
perfil del portal de administrativos indica que tiene muy buena
disponibilidad para viajar y cambiar de residencia, además de tener
permiso de conducir y vehículo propio.
Con todos estos datos se puede montar un ataque de phising con el
objetivo que cada uno quiera. Instalar una shell, robo de
credenciales... En este ejemplo elegí un reverse VNC server,
ataque con
el que se obtendría acceso a la pantalla y se vería que es lo que está
haciendo.
Para la realización del ataque se utiliza el framework por excelencia para ingeniería
social,
Social Engineering Toolkit,
más conocido como SET. En Kali viene por defecto instalado y se ejecuta
por medio de setoolkit. Se seleccionan las opciones 1 y después 4, para
llegar al menú de "Create a payload and a listener".
Contenido completo en fuente original SecuritybyDefault
