Resumen:

El propósito del documento es demostrar los pasos necesarios para realizar un ataque de
phising con las herramientas SET y Metasploit incluidas en la distibución de Kali

Introducción:

El phishing es un ataque de ingeniería social, que tiene como objetivo engañar personas, en
vez de generar implementaciones técnicas sofisticadas, tal como lo explica Greg Aaron
investigador del Anti-Phishing Work Group mismo organismo que declaro al 2016 como el
peor año de este tipo de ataque en la historia con un total de 1,220,523. En México en el
mismo año la Condusef declaro cerca de 78,788 posibles casos de robo de identidad
relacionados con el phishing. La gran mayoría de estos incidentes están relacionados a
correos electrónicos donde los atacantes simulan ser entidades bancarias en ellos solicitan
proporcione datos relacionados con su cuenta, según Condusef el monto reclamado ascendió
a 3, 244 millones de pesos. Una de las características del éxito de este tipo de taque es por
la simplicidad con la cual pueden ser ejecutados tal como lo aborda Howard F. Lipson en un
documento del 2002 titulado Tracking and Tracing Cyber-Attacks: Technical Challenges
and Global Policy Issues del cual tomo la siguiente gráfica:

1
En la gráfica se expone claramente la situación de los ataques donde debido a la gran
cantidad de herramientas disponibles y su sofisticación, ya no se requiere que los atacantes
cuenten con grandes conocimientos para conducir ataques efectivos. Como a continuación
se demuestra se pueden realizar con facilidad por medio de herramientas que están
disponibles a todo el público.

Ataque mediante SET (Social-Engineering Toolkit)

Es una de las herramientas con las que cuenta la distribución de Kali y está diseñado
especialmente diseñado para realizar ataques contra el elemento humano, la forma de
realizarlo es:

1. Ejecutar la aplicación de SET ubicada dentro de Herramientas de Ingeniería Social

de Kali. Una vez ejecutada se abrirá una sesión de terminal

2
 En el menú que se despliega se deberá de elegir la opción 1 la cual ejecutará ataques
de ingeniería social
2. Dentro del menú de ataques de ingeniería social deberemos de elegir la opción 2
“Website Attack Vector”

3. Dentro del menú deberemos de elegir la opción 3 “Credential Harvester Attack

Method” el cual permite obtener las credenciales de la victima

4. Realizado el paso anterior se nos mostrarán tres opciones, para este ejercicio
utilizaremos la opción 2 la cual permitirá realizar un clon de una página la cual se
nos recomienda sea la que contenga los campos de autentificación

3
5. La aplicación nos solicitará que le proporcionemos la dirección del atacante, la cual
deberá ser la dirección ip del equipo donde estemos ejecuntando el SET, asi como la
url de la página a clonar, para nuestro ejercicio pondremos
http://www.facebook.com

4
 6. La aplicación realizara una copia de la dirección que le proporcionamos
(http://www.facebook.com ) y abre un puerto donde escuchará la información
captada por la página falsa.

7. Una vez que la víctima trata de autentificarse la aplicación capta su información y la

redirige a la página original donde, desde la perspectiva de la víctima, algo fallo y
deberá de volver a ingresar la información logrando el acceso a la página, en muchos
de los casos sin advertir que fue tacada. Por otra parte, la aplicación nos entregara la
información que la víctima capturo

En este ejemplo la víctima se autentifico como “amurguia@demo.com” y su

contraseña es “demo1234”

Ataque mediante Metasploit

Metasploit es otra de las herramientas contenidas dentro de la distribución de Kali a mi jucio

no es tan sencilla de operar como SET puesto que equiere de mayor interaccion de comandos

La forma de realizar un ataque es la siguiente:

5
1. Se ejecutará la cual se encuentra en la barra de herramientas, una vez ejecutada la
aplicación se deberá de utilizar el comando: “use
auxiliary/server/capture/http_basic” el cual activará el módulo de recolección de
credenciales de autentificación provocando que la mayoría de navegadores soliciten
una credencial por medio de un pop-up.

2. Por medio del comando “set REALM” estableceremos el nombre del supuesto
dominio que solicita la autentificación para nuestro ejercicio utilizaremos el nombre
de Banamex

3. Ahora deberemos de formar la url con la cual se atraerá a la víctima esto se realiza
por medio del comando “set URIPATH /” e iniciamos por medio del comando “run”

6
 Con lo que iniciara la escucha del puerto 80 y recolectando la información del pop-
up que se desplegaría en el navegador

4. Una vez que la víctima se autentifica la aplicación captura la información y la muestra

al atacante indicándole de donde fue obtenida, así como el usuario y contraseña que
proporciono cada victima

7
Conclusiones

Como se podrá apreciar no resulta ser de gran dificultad el conducir un ataque phishing
contando con las herramientas correctas y vuelvo a tomar el punto, en la actualidad ya no es
requerido un alto nivel técnico para llevar a cabo un ataque solo contar con el tempo, la
dedicación y la mala intención (para este caso) será suficiente para lograrlo.

Bibliografía

 Help Net Security. (2017). With 1.2 million phishing attacks, 2016 was a success for
cybercriminals. 02/12/2017, de Help Net Security Sitio web:
https://www.helpnetsecurity.com/2017/03/01/phishing-attacks-2016/
 Ruy Alonso Rebolledo. (2017). Phishing y otros 5 casos de fraudes bancarios en el
2017. 02/12/2017, de El Economista Sitio web:
https://www.eleconomista.com.mx/finanzaspersonales/Phishing-y-otros-5-casos-
de-fraudes-bancarios-en-el-2017-20170815-0130.html
 Howard F. Lipson. (202). Problems with Internet Security. En Tracking and Tracing
Cyber-Attacks: Technical Challenges and Global Policy Issues(9). Pittsburgh, PA:
Carnegie Mellon.
8
 OFFENSIVE security. (2017). Working with Active and Passive Exploits in
Metasploit (Metasploit Fundamentals). 02/12/2017, de OFFENSIVE security Sitio
web: https://www.offensive-security.com/metasploit-unleashed/exploits/
 Jorge Romero. (2016). Ingenieria Social LAB-1 Phishing con SET (Social
Engineering Toolkit). 01/12/2017, de XenTech Sitio web:
http://www.blog.xentech.cl/2016/01/15/ingenieria-social-lab-1-phishing-con-set-
social-engineering-toolkit/
