eJPT
  • 👋Welcome
  • Tools
    • 🔭Escaneo y Enumeración
  • SECTION 1: Assessment Methodologies
    • Assessment Methodologies: Information Gathering
      • Introducción a la Recopilación de Información
        • Start Quiz
      • Passive Information Gathering
      • Active Information Gathering
    • Assessment Methodologies: Footprinting & Scanning
      • Introduction
      • Networking Primer
      • Host Discovery
      • Port Scanning
      • Evasion, Scan Performance & Output
      • Page
      • Challenges
    • Assessment Methodologies: Enumeration
      • Overview
      • SMB Lesson
      • FTP Lesson
      • SSH Lesson
      • HTTP Lesson
      • SQL Lesson
    • Assessment Methodologies: Vulnerability Assessment
      • Vulnerability Assessment
      • Course Labs
  • SECTION 2: Host & Networking Auditing
    • Assessment Methodologies: Auditing Fundamentals
      • Assessment Methodologies
      • Practice
  • SECTION 3: Host & Network Penetration Testing
    • Host & Network Penetration Testing: System/Host Based Attacks
      • Introduction to Attacks
      • Windows Vulnerabilities
      • Exploiting Windows Vulnerabilities
      • Windows Privilege Escalation
      • Windows File System Vulnerabilities
      • Windows Credential Dumping
      • Linux Vulnerabilities
      • Exploiting Linux Vulnerabilities
      • Linux Privilege Escalation
      • Linux Credential Dumping
      • Conclusion
    • Host & Network Penetration Testing: Network-Based Attacks
      • Network-Based Attacks
    • Host & Network Penetration Testing: The Metasploit Framework (MSF)
      • Metasploit
        • Metasploit Fundamentals
      • Information Gathering & Enumeration
        • Nmap
        • Enumeration
      • Vulnerability Scanning
        • MSF
        • Nessus
        • Web Apps
      • Client-Side Attacks
        • Payloads
        • Automating
      • Exploitation
        • Windows Exploitation
        • Linux Exploitation
        • Post Exploitation Fundamentals
        • Windows Post Exploitation
        • Linux Post Exploitation
      • Armitage
        • Metasploit GUIs
    • Host & Network Penetration Testing: Exploitation
      • Introduction To Exploitation
      • Vulnerability Scanning Overview
      • Exploits
        • Searching For Exploits
        • Fixing Exploits
      • Shells
      • Frameworks
      • Windows
      • Linux
      • Obfuscation
    • Host & Network Penetration Testing: Post-Exploitation
      • Introduction
      • Windows Enumeration
      • Linux Enumeration
      • Transferring Files
      • Shells
      • Escalation
        • Windows Privilege Escalation
        • Linux Privilege Escalation
      • Persistence
        • Windows Persistence
        • Linux Persistence
      • Dumping & Cracking
        • Windows Password Hashes
        • Linux Password Hashes
      • Pivoting Lesson
      • Clearing
  • Host & Network Penetration Testing: Social Engineering
    • Social Engineering
  • SECTION 4: Web Application Penetration Testing
    • Introduction to the Web & HTTP Protocol
      • Web Applications
      • HTTP Protocol
        • HTTP/S Protocol Fundamentals
        • Website Crawling & Spidering
Powered by GitBook
On this page
  • What is Social Engineering?
  • Social Engineering & Social Media
  • History of Social Engineering
  • Social Engineering & Pentesting
  • Types of Social Engineering
  • Phishing
  • Spear-Phishing
  • Quiz: Introduction to Social Engineering
  • Pretexting
  • What is Pretexting?
  • Characteristics of Pretexting
  • Pretexting Examples
  • Importance and Impact
  • Pretexting Templates/SampIes
  • References & Resources
  • Quiz: Pretexting
  • Phishing with Gophish - Part 1
  • Gophish
  • References & Resources
  • Lab Demo: Phishing With Gophish
  • Phishing with Gophish - Part 2
  • Menú Lateral Izquierdo de Gophish
  • Quiz: Phishing with Gophish
  1. Host & Network Penetration Testing: Social Engineering

Social Engineering

Introduction to Social Engineering

What is Social Engineering?

En el contexto de las pruebas de penetración y los equipos de ataque, la ingeniería social es una técnica utilizada para manipular a individuos o empleados dentro de una organización para obtener acceso no autorizado a información, sistemas o instalaciones confidenciales.

Explota la psicología, la confianza y las vulnerabilidades humanas para engañar a las víctimas y lograr que realicen acciones que comprometan la seguridad, ya sea mediante la divulgación de información o realizando acciones específicas que pueden parecer inocuas a primera vista.

Los ataques de ingeniería social tienen como objetivo eludir los controles técnicos al atacar el eslabón más débil de la cadena de seguridad: el elemento humano.

La premisa de la ingeniería social es explotar el elemento humano, es decir, poner a las personas o empleados en situaciones en las que confiarán en sus instintos básicos y en las formas más comunes de interacción social como:

  • El deseo de ser útil

  • La tendencia a confiar en las personas

  • El deseo de aprobación

  • El miedo a meterse en problemas

  • Evitar conflictos o discusiones

Al aprovecharse del elemento humano del acceso al sistema, la mayoría de las veces los atacantes no tienen que navegar por el perímetro de seguridad de una organización.

Los atacantes/Pentesters solo necesitan interactuar con los empleados dentro de la empresa para que hagan lo que ellos quieren.

En lugar de pasar incontables horas tratando de infiltrarse en sistemas/redes a través de ataques tradicionales del lado del servidor como ataques de fuerza bruta, los atacantes pueden aprovechar la ingeniería social para obtener información o facilitar la ejecución de malware dentro de la red de la empresa en cuestión de minutos.

Social Engineering & Social Media

La aparición y adopción de las redes sociales como forma de comunicación ha mejorado enormemente la capacidad y la eficacia de los atacantes (y también de los pentesters) para realizar ataques de ingeniería social, ya que cualquier persona del mundo puede ponerse en contacto fácilmente con los empleados o los objetivos.

Además, las redes sociales también han propiciado el aumento de empleados que, de forma consciente o involuntaria, exponen una gran cantidad de información privada que los atacantes pueden utilizar para sus ataques de ingeniería social (correos electrónicos, números de teléfono, direcciones, etc.).

History of Social Engineering

Aunque muchos profesionales de la ciberseguridad piensan que la ingeniería social es una técnica exclusiva de la seguridad ofensiva, eso no podría estar más lejos de la verdad.

La ingeniería social es una práctica que es tan antigua como el tiempo. Desde que existe la información codiciada, ha habido personas que buscan explotarla.

El término ingeniería social fue acuñado por primera vez por el industrial holandés J.C. Van Marken en 1894. Van Marken sugirió que se necesitaban especialistas para atender los desafíos humanos además de los técnicos.

La ingeniería social se definió como una forma de alentar a las personas a manejar las relaciones sociales de manera similar a cómo abordan las máquinas o los sistemas mecánicos.

Social Engineering & Pentesting

Si bien la ingeniería social ha sido un vector de ataque muy viable para los atacantes, hasta hace poco los evaluadores de penetración la han pasado por alto con frecuencia.

Contextualizar y poner en práctica la ingeniería social como un vector de ataque válido en las pruebas de penetración es un conjunto de habilidades vitales que debe poseer un evaluador de penetración moderno.

En las pruebas de penetración y los ejercicios de formación de equipos rojos, las simulaciones de phishing son valiosas para evaluar la susceptibilidad de una organización a los ataques de ingeniería social e identificar áreas de mejora en la conciencia y los controles de seguridad.

Types of Social Engineering

Phishing

Correos electrónicos, mensajes o sitios web engañosos diseñados para engañar a los destinatarios para que revelen información confidencial, como contraseñas, credenciales de cuenta o datos financieros.

Spear Phishing

Ataques de phishing dirigidos que se personalizan para individuos o grupos específicos dentro de una organización, a menudo utilizando información o contexto personalizados para aumentar la credibilidad.

Vishing (Voice Phishing)

Ataques de phishing realizados a través de llamadas telefónicas o mensajes de voz, donde los atacantes se hacen pasar por entidades legítimas (por ejemplo, soporte de TI, representantes bancarios) para extraer información confidencial o manipular a las víctimas para que realicen acciones específicas.

Smishing (SMS Phishing)

Ataques de phishing realizados a través de SMS o mensajes de texto, donde se engaña a los destinatarios para que hagan clic en enlaces maliciosos o proporcionen información confidencial haciéndose pasar por entidades de confianza.

Pretexting

Creación de un pretexto o escenario falso para ganar la confianza de los objetivos y extraer información confidencial. Esto puede implicar hacerse pasar por figuras de autoridad, colegas o proveedores de servicios para manipular a las víctimas para que divulguen datos confidenciales.

Baiting

Atraer a los objetivos para que realicen una acción específica (por ejemplo, hacer clic en un enlace malicioso, abrir un archivo malicioso) ofreciendo incentivos o recompensas tentadoras, como software gratuito, premios u oportunidades laborales.

Tailgating

Seguir físicamente a personas autorizadas a áreas o instalaciones restringidas sin la debida autenticación. Los atacantes explotan las normas sociales o la cortesía para obtener acceso no autorizado a lugares seguros.

Phishing

El phishing es uno de los ataques de ingeniería social más frecuentes y eficaces que se utilizan en las pruebas de penetración y en los equipos de ataque. Normalmente, implica los siguientes pasos:

  1. Planning & Reconnaissance: los atacantes investigan la organización objetivo para identificar posibles objetivos, recopilar información sobre los empleados y comprender los canales y protocolos de comunicación de la organización.

  2. Message Crafting: los atacantes crean correos electrónicos o mensajes engañosos diseñados para imitar comunicaciones legítimas de fuentes confiables, como colegas, departamentos de TI o instituciones financieras. Estos mensajes suelen incluir un lenguaje urgente o convincente para evocar una sensación de urgencia o miedo.

  3. Delivery: Los atacantes envían correos electrónicos o mensajes de phishing a personas específicas dentro de la organización, utilizando técnicas para eludir los filtros de spam y los controles de seguridad. También pueden aprovechar tácticas de ingeniería social para aumentar la probabilidad de que los destinatarios abran los mensajes.

  4. Deception & Manipulation: Los mensajes de phishing contienen enlaces maliciosos, archivos adjuntos o solicitudes de información confidencial. Se engaña a los destinatarios para que hagan clic en enlaces, descarguen archivos adjuntos o proporcionen credenciales de inicio de sesión con falsas pretensiones.

  5. Exploitation: una vez que la víctima interactúa con el mensaje de phishing, los atacantes explotan las vulnerabilidades en los sistemas o aplicaciones del objetivo para obtener acceso no autorizado, instalar malware o robar información confidencial.

Spear-Phishing

El phishing selectivo es una forma específica de ataque de phishing que dirige correos electrónicos o mensajes maliciosos a individuos o grupos específicos dentro de una organización.

A diferencia de los ataques de phishing tradicionales, que abarcan una amplia red y tienen como objetivo engañar a la mayor cantidad posible de destinatarios, los ataques de phishing selectivo son altamente personalizados y adaptados para explotar las características, los intereses y las relaciones únicas de los objetivos previstos.

  1. Tarqet Selection & Research:

Los atacantes seleccionan cuidadosamente sus objetivos en función de criterios específicos, como puestos de trabajo, departamentos o jerarquías organizativas.

Se lleva a cabo un reconocimiento exhaustivo para recopilar información sobre los objetivos, incluidos nombres, cargos, funciones, responsabilidades, relaciones laborales e intereses personales.

Se pueden extraer datos de fuentes disponibles públicamente, perfiles de redes sociales, directorios corporativos y datos filtrados para compilar perfiles detallados de los objetivos.

  1. Messaqe Tailorinq:

Con la información recopilada, los atacantes crean mensajes o correos electrónicos altamente personalizados y convincentes diseñados para parecer legítimos y confiables.

El contenido de los mensajes puede hacer referencia a eventos, proyectos o actividades recientes relevantes para el rol o los intereses del objetivo para mejorar la credibilidad.

Los atacantes pueden hacerse pasar por personas de confianza, como colegas, supervisores o socios externos, para aumentar la probabilidad de que los objetivos abran los mensajes y realicen las acciones deseadas.

  1. Delivery:

Los mensajes de phishing selectivo se envían a las personas a las que se dirigen a través del correo electrónico, las redes sociales, las plataformas de mensajería instantánea u otros canales de comunicación.

Los atacantes emplean tácticas para eludir los filtros de seguridad del correo electrónico y los mecanismos antiphishing, como el uso de cuentas de correo electrónico comprometidas o falsificadas, la explotación de vulnerabilidades de día cero o el aprovechamiento de servicios de terceros de confianza.

Quiz: Introduction to Social Engineering

Pretexting

What is Pretexting?

El pretexto es el proceso de crear un pretexto o escenario falso para ganarse la confianza de las víctimas y extraerles información confidencial. Esto puede implicar hacerse pasar por figuras de autoridad, colegas o proveedores de servicios para manipular a las víctimas para que divulguen datos confidenciales.

En pocas palabras, consiste en poner a alguien o a un empleado en una situación familiar para que divulgue información.

A diferencia de otras formas de ingeniería social que se basan en el engaño o la coerción, el pretexto implica la creación de una narrativa o un contexto falso para establecer credibilidad y ganarse la confianza de la víctima.

Characteristics of Pretexting

False Pretense: el atacante crea una historia o un pretexto ficticio para engañar a la víctima y hacerle creer que la interacción es legítima y confiable. Este pretexto a menudo implica hacerse pasar por alguien con autoridad, experiencia o una razón legítima para solicitar información o asistencia.

Establishing Trust: el atacante utiliza el pretexto para establecer una relación y generar confianza con la víctima. Esto puede implicar el uso de técnicas de ingeniería social, como imitar el lenguaje, el tono y el comportamiento de la víctima, para crear una sensación de familiaridad y conexión.

Manipulating Emotions: los pretextos suelen explotar las emociones humanas, como la curiosidad, el miedo, la urgencia o la simpatía, para manipular el comportamiento del objetivo. Al apelar a estas emociones, el atacante puede influir en el proceso de toma de decisiones del objetivo y aumentar el cumplimiento de sus solicitudes.

Information Gathering: una vez que se establece la confianza, el atacante intenta extraer información confidencial o privilegios de acceso del objetivo. Esto puede implicar hacerse pasar por una entidad de confianza (por ejemplo, un colega, un proveedor, un proveedor de servicios) y solicitar información con el pretexto de una necesidad o emergencia legítima.

Maintaining Consistency: para mantener la ilusión de legitimidad, el atacante se asegura de que el pretexto siga siendo coherente y plausible durante toda la interacción.

Esto puede requerir una planificación cuidadosa, investigación e improvisación para adaptarse a las respuestas del objetivo y mantener la credibilidad.

Pretexting Examples

Estafa de soporte técnico: un atacante se hace pasar por un representante de soporte técnico de una empresa legítima y se comunica con personas, alegando que su computadora está infectada con malware. El atacante convence a la víctima de que proporcione acceso remoto a su computadora o instale software malicioso con el pretexto de solucionar el problema.

Estafa de entrevistas de trabajo: un atacante se hace pasar por un reclutador o gerente de contratación de una empresa de buena reputación y se comunica con personas que buscan trabajo, ofreciéndoles oportunidades laborales falsas o realizando entrevistas de trabajo fraudulentas. El atacante puede solicitar información personal confidencial o un pago con el pretexto de procesar la solicitud de empleo.

Situación de emergencia: un atacante inventa una situación de emergencia, como una violación de seguridad, una fuga de datos o una interrupción del sistema, y ​​se comunica con los empleados para solicitar asistencia o información inmediata. El atacante aprovecha la sensación de urgencia y preocupación del objetivo para extraer información confidencial o acceder a los sistemas con el pretexto de resolver la emergencia.

Importance and Impact

El pretexto puede ser muy eficaz para eludir los controles técnicos y explotar las vulnerabilidades humanas dentro de las organizaciones. Se basa en la manipulación psicológica y las tácticas de ingeniería social para engañar a las personas y lograr objetivos maliciosos.

Los ataques de pretexto pueden provocar violaciones de datos, pérdidas financieras, daños a la reputación y sanciones regulatorias para las organizaciones. Por lo tanto, es esencial que las organizaciones concienticen sobre las técnicas de pretexto, implementen políticas y procedimientos de seguridad sólidos y brinden capacitación a los empleados para reconocer y mitigar los ataques de ingeniería social.

Pretexting Templates/SampIes

Corporate IT Department Upqrade:

Pretexto: El atacante se hace pasar por un miembro del departamento de TI de la empresa y envía un correo electrónico a los empleados, en el que afirma que se está actualizando el sistema de correo electrónico de la empresa. El correo electrónico indica a los destinatarios que hagan clic en un enlace para actualizar su configuración de correo electrónico y evitar interrupciones del servicio.

Objetivo: Engañar a los empleados para que hagan clic en el enlace malicioso, que los lleva a un sitio web de phishing donde se les solicita que ingresen sus credenciales de correo electrónico, lo que permite al atacante robar su información de inicio de sesión.

<!-- PRETEXT OVERVIEW:
Credential capture.
$organization: Target organization.
$evilurt: URL to cloned Office 365 portal.
$evitdomain: Spoofed domaim

Can be sent as helpdesk@domain.com.
Don't forget to setup the mailbox for user replies!
-->
<b>Subject: New Webmail - Office 365</b>
<br>
<br>
Dear colleagues.
<br>
<br>
In an effort to continue to bring you the best available technology, Sorganization has implemented the newest version of Microsoft's Office 365 Webmail.
Your existing emails, contacts, and calendar events will be seamlessly transferred to your new account.
<br>
<br>
Visit the (new webmail website)($eviturt) and login with your current username and password to confirm your upgraded account.
<br>
<br>
If you have additional questions or need clarification, please contact the Help Desk at helpdesk@$evitdomain.
<br>
<br>
Thank you.

References & Resources

Una biblioteca de pretextos para usar en ataques de phishing ofensivos:

Quiz: Pretexting

Phishing with Gophish - Part 1

Gophish

GoPhish es un marco de trabajo de phishing de código abierto diseñado para que los evaluadores de penetración y los profesionales de seguridad simulen ataques de phishing contra sus propias organizaciones.

Proporciona una plataforma fácil de usar para crear, ejecutar y analizar campañas de phishing, lo que permite a los usuarios evaluar la susceptibilidad de su organización a los ataques de phishing y mejorar su postura de seguridad.

GoPhish es una herramienta poderosa para que los evaluadores de penetración y los profesionales de seguridad realicen evaluaciones de phishing, eduquen a los empleados sobre los riesgos de phishing y fortalezcan las defensas de la organización contra los ataques de ingeniería social.

Gophish Features

Campaign Creation: GoPhish permite a los usuarios crear campañas de phishing personalizadas y adaptadas a sus objetivos y destinatarios específicos. Los usuarios pueden crear múltiples campañas con diferentes plantillas, contenido de correo electrónico y listas de destinatarios.

Email Template Editor: la plataforma ofrece un editor de plantillas de correo electrónico integrado con una interfaz WYSIWYG (What You See Is What You Get), lo que facilita el diseño de correos electrónicos de phishing de aspecto profesional que imitan comunicaciones legítimas.

Target Management: los usuarios pueden gestionar sus listas de objetivos y segmentarlas en función de diversos criterios, como departamento, función o ubicación. Esto permite realizar campañas de phishing dirigidas que reflejan fielmente los escenarios de ataques del mundo real.

Landing Page Creation: GoPhish permite a los usuarios crear páginas de destino de phishing que imitan portales o sitios web de inicio de sesión legítimos. Estas páginas de destino se pueden personalizar para capturar credenciales, información personal u otros datos confidenciales de los objetivos.

Tracking and Reporting: la plataforma ofrece funciones integrales de seguimiento y generación de informes que permiten a los usuarios supervisar el progreso de sus campañas de phishing en tiempo real. Los usuarios pueden realizar un seguimiento de las aperturas de correos electrónicos, los clics en enlaces y los datos enviados, y generar informes detallados para su análisis.

Scheduling and Automation: GoPhish admite la programación y automatización de campañas, lo que permite a los usuarios programar el lanzamiento de campañas en fechas y horarios específicos o configurar campañas recurrentes para realizar pruebas y evaluaciones continuas.

References & Resources

Gophish Website

Gophish GitHub Repo

Gophish Installation Guide

Lab Demo: Phishing With Gophish

  1. Clonar el repositorio de github

  2. Utilizar la herramient "Mozilla Thunderbird" y configurarlo con el correo de un usuario (empleado)

  3. Tener una plantilla de correo electronico (ejm. Restablecimiento de contraseña)\

  4. Gophish extrae fuentes y recursos desde el lado de internet, por lo cual debemos de eliminar eso

Gophish > templetes > base.html; login.html

Eliminar las siguientes lineas

  1. Configuracion de Gophish, en el cual deera configurar el DNS/IP, TLS y configuracion de la BD

Gophish > config.json

  1. Inicializar ejecutando el ejecutable del directorio de Gophish

  2. Ingresar las credenciales por defecto

Phishing with Gophish - Part 2

Menú Lateral Izquierdo de Gophish

El menú lateral izquierdo de Gophish proporciona acceso rápido a las principales funcionalidades de la plataforma, incluyendo:

  • Dashboard: Vista general de las campañas activas y estadísticas.

  • Campañas: Administración y creación de campañas de phishing.

  • Usuarios y Grupos: Configuración de usuarios y grupos para mejores prácticas de phishing.

  • Emails Templates: Plantillas de correo electrónico y administración de listas de destinatarios.

  • Landing Pages: Gestión de páginas de destino para las campañas.

El primer paso es configurar Sending Profile

  1. Accede al menú de Sending Profiles en el menú lateral izquierdo.

  2. Haz clic en "New Profileo".

  3. Rellena los campos necesarios, como nombre del perfil, dirección de correo electrónico, servidor SMTP, puerto y credenciales.

  1. Puede enviar un correo de prueba

  2. Guarda la configuración haciendo clic en "Guardar".

El segundo paso es configurr Landing Pages

  1. Accede al menú de Landing Pages en el menú lateral izquierdo.

  2. Haz clic en "New Page" para crear una nueva página.

  3. Rellena los campos necesarios, como nombre de la página, URL y contenido de la página de destino. (Tambien puede importar utilizando la opcion de "Import Site"

  1. Guarda la configuración haciendo clic en "Guardar".

El tercer paso es configuar Email Templates

Configurar Email Templates

  1. Accede al menú de Email Templates en el menú lateral izquierdo.

  2. Haz clic en "New Template" para crear una nueva plantilla.

  3. Rellena los campos necesarios, como nombre de la plantilla y contenido del correo electrónico. Tambien puede importar un email, utilizando Import Email

  1. Guarda la configuración haciendo clic en "Guardar".

El cuarto paso es crear un grupo de usuario en "Users & Groups"

  1. Accede al menú de Users & Groups en el menú lateral izquierdo.

  2. Haz clic en "New Group" para crear un nuevo grupo de usuarios.

  3. Introduce el nombre del grupo y agrega una descripción si es necesario.

  4. Asigna usuarios al grupo seleccionando de la lista disponible, también puede importar de una lista externa.

  1. Guarda el grupo haciendo clic en "Guardar".

El quinto paso es realizar la campaña "Campaigns"

Realizar la campaña "Campaigns"

  1. Accede al menú de Campaigns en el menú lateral izquierdo.

  2. Haz clic en "New Campaign" para crear una nueva campaña.

  3. Introduce el nombre de la campaña.

  1. Selecciona el grupo de usuarios anteriormente creado para dirigir la campaña.

  2. Configura los parámetros de la campaña, incluyendo duración, objetivos y otros ajustes necesarios.

  1. Ejecuta la campaña haciendo clic en "Launch Campaign".

Posterior a la ejecución podrá ver un dahsboard del detalle de la campaña.

Quiz: Phishing with Gophish

PreviousHost & Network Penetration Testing: Social EngineeringNextIntroduction to the Web & HTTP Protocol

Last updated 7 months ago

GitHub - L4bF0x/PhishingPretexts: A library of pretexts to use on offensive phishing engagements.GitHub
Gophish - Open Source Phishing Framework
Logo
GitHub - gophish/gophish: Open-Source Phishing ToolkitGitHub
Installation | Gophish User Guide
Logo
Logo
Las credenciales insertadas deberan de ser de un usuario que tengamos acceso
La direccion podria sobre cargar los recursos como la opcion Capture Password
Tambien puede adjuntar archivos maliciosos
Logo