Kali Linux : Social Engineer Toolkit (Phishing)

 

In questa guida, vi mostrerò come usare SET (Social Engineer Toolkit) uno strumento open source pensato utilizzato per verificare la sicurezza delle pagine web. Nel dettaglio utilizzeremo la possibilità di clonare la pagina web di accesso ad un noto social network www.facebook.com/login.php per catturare le credenziali dell’utente (vittima) per poi mostrargli la vera pagina, senza che se ne accorga, in generale questo viene chiamato Phishing.

 

Questo è legale ?

Quando userete quanto descritto, vi chiederò di promettere che userete quanto segue solo per verificare la sicurezza della vostra rete 😉

* ( Ovviamente… questo significa che tutti gli utilizzatori della vostra rete saranno informati del fatto che manipolerete il loro traffico dati )

In generale , non è illegale usare strumenti per valutare la sicurezza, ma è essenziale avere accesso agli stessi utilizzati da malfattori senza scrupoli, per capire come difendersi.

SET è un tool scritto in python, se avete una macchina windows, potreste provarlo utilizzando una macchina virtuale (Virtual Box o Vmware Player) su cui installare la distribuzione Kali Linux.
La tecnica che vi descriverò, per essere completa ha bisogno di un altro strumento, che permette la manipolazione degli indirizzi DNS.

La tecnica che vi descriverò, per essere completa ha bisogno di un altro strumento, che permette la manipolazione degli indirizzi DNS.

La manipolazione utilizzata è chiamata Spoofing, permette di compromettere i dati DNS e ci permette di dirottare il traffico dati dell’utente (vittima) verso la pagina clonata con lo strumento SET dall’attacante.

Con Linux è possibile installare dnsmasq che permette di creare un server DNS personalizzato.

Su distribuzioni basate su Debian possiamo installare dnsmasq come segue:

sudo apt-get install dnsmasq-base

Ad installazione completa è possibile configurarlo editando il file di configurazione:

/etc/dnsmasq.conf aggiungendo il contenuto:

no-dhcp-interface=
server=8.8.8.8
no-hosts
addn-hosts=/etc/dnsmasq.hosts

Successivamente editando il file di configurazione:
/etc/dnsmasq.hosts aggiungendo le coppie di chiavi
<IP-macchina-Destinazione> <URL-Da-Impersonare>
ad esempio :

192.168.1.200 www.facebook.com

Una volta configurato, riavviate il servizio utilizzando i sequenza i comandi:

Killall -9 dnsmasq
Dnsmasq –no-daemon –log-queries

SET(Social Engineer Toolkit)
L’obiettivo di questa sezione è quello di mostrarvi come utilizzare SET per clonare la pagina di login del social network Facebook.

Per accedere a SET, selezioniamo la voce Di menù Applicazioni, successivamente

13-Social Engineering Tools ed in fine SET

 

Verrà mostrata una finestra di terminale, con un un menù a scelta numerico,in sequenza selezioneremo :

1) Social Engineering Attacks

Verrà mostrato il sotto menù, dove selezionioniamo :

2) Web site Attack Vectors

 

Verrà mostrato il sotto menù, dove selezionioniamo :

3) Credentials harvester attack method

Verrà mostrato il sotto menù, dove selezionioniamo :

2) Site Cloner

A questo passo di configurazione, SET chiederà l’indirizzo IP della macchina su cui risiederà la pagina clonata, vi verrà proposto l’ip della macchina Kali corrente,per il nostro test, digitiamo Invio sulla tastiera per proseguire:

Come ultimo passo di configurazione, viene richiesto l’indirizzo url della pagina da clonare, nel nostro caso : www.facebook,com/login.php

Quando SET avrà terminato con la clonazione della pagina, avvierà un server web su cui resterà in attesa di connessione da parte della vittima.

Per provarlo, apriamo il browser digitando l’indirizzo ip della macchina su cui è in esecuzione SET, verrà mostrata l’esatta copia della pagina di accesso Facebook.

Ora se immettiamo nome utente e password (in questo esempio inventate) e guardiamo il terminale dove è in esecuzione SET, possiamo vedere come memorizza e tratta il traffico ricevuto, ci mostra le credenziali immesse e redirige l’utente (vittima) verso il vero sito Facebook, utilizzando le credenziali per effettuare il vero accesso, in modo del tutto trasparente.

A questo punto, ad un vero malfattore,mancherebbe solo il dettaglio di mascherare l’indirizzo IP della macchina Kali con SET con il nome www.facebook.com, per farlo, può utilizzare lo strumento dnsmasq descritto in precedenza.

Considerazioni

Un caso reale di manipolazione, potrebbe verificarsi, ad esempio quando ci si connette ad un Hot-Spot Gratuito, quelli che hanno come identificativo Free Wifi etc..

In generale questi hotspot si trovano negli aeroporti, piazze di grandi città, esercizi commerciali etc…

Un malintenzionato, potrebbe condividere la sua connessione internet,spacciandosi per l’hot spot e dirottando il traffico attraverso un dispositivo dove è in esecuzione SET e sono clonate le pagine web più utilizzate in assoluto (ad esempio : facebook, gmail,….).

Una delle contromisure possibili, potrebbe essere quella di utilizzare una connessione attraverso servizio VPN, o servizi di anonimato come Tor , che utilizzano DNS proprietari, e non quelli suggeriti dalla rete su cui si è connessi. Un altra contromisura può essere quella di utilizzare (se presente) un sistema di autenticazione a due passaggi, che notifica il fatto che si sta tentando di accedere da un dispositivo non registrato in precedenza.