1
00:00:00,000 --> 00:00:07,760
Buenos días, Álvaro. Hoy, día 18 de enero, a las 9.25, estamos convocados a través de

2
00:00:07,760 --> 00:00:12,320
la jefatura del departamento para la defensa del módulo profesional del proyecto de ciclo

3
00:00:12,320 --> 00:00:16,960
formativo de grado superior de Administración de Sistemas Informáticos en Red. Te informo

4
00:00:16,960 --> 00:00:21,000
que esta grabación se usará en el entorno cerrado de Educamadrid con fines educativos

5
00:00:21,000 --> 00:00:24,960
y solo estará a disposición de los profesores evaluadores en el aula virtual para llevar

6
00:00:24,960 --> 00:00:29,340
a cabo la evaluación y calificación de la defensa del proyecto. En el aula virtual

7
00:00:29,340 --> 00:00:32,700
del proyecto, habéis sido informados de los criterios de la rúbrica y la rúbrica

8
00:00:32,700 --> 00:00:38,100
de calificación. El orden de presentación del proyecto es el siguiente, 15 minutos máximo

9
00:00:38,100 --> 00:00:43,140
para defender el proyecto y 5 para preguntas por parte del tribunal. Dicho esto, tu tiempo

10
00:00:43,140 --> 00:00:48,300
de disposición comienza a partir de este momento. Adelante y mucha suerte.

11
00:00:48,300 --> 00:00:51,940
Buenos días, mi nombre es Álvaro Ruiz Córdoba y vengo a presentaros mi trabajo de fin de

12
00:00:51,940 --> 00:00:58,140
grado. Mi trabajo trata del fraude digital, más concretamente del phishing. Vamos a hacer

13
00:00:58,140 --> 00:01:01,820
una breve introducción teórica para poder entender más tarde la campaña que vamos

14
00:01:01,820 --> 00:01:06,780
a simular. En primer lugar, vamos a ver el phishing, vectores de entrada y distribución,

15
00:01:06,780 --> 00:01:11,980
tipos de phishing, matriz de MITRE, métodos de evasión, selección de víctimas, objetivo,

16
00:01:11,980 --> 00:01:16,860
impacto y la campaña simulada. En primer lugar, el fraude digital es aquel tipo de fraude

17
00:01:16,860 --> 00:01:22,020
que se realiza de manera online, utilizando cualquier tipo de tecnología digital. El phishing

18
00:01:22,020 --> 00:01:26,740
es uno de los fraudes más comunes hoy en día. Ha sufrido una gran mejora y cada día

19
00:01:26,740 --> 00:01:32,220
son muchísimo más sofisticados. El phishing no contiene código malicioso, sino una modificación

20
00:01:32,220 --> 00:01:37,820
en el formulario de envío de los datos. Los vectores de entrada y distribución más comunes

21
00:01:37,820 --> 00:01:45,060
son mal spam, correo malicioso, sitios web fraudulentos, phishing web o cross-site scripting,

22
00:01:45,060 --> 00:01:51,860
que es la inyección en páginas legítimas, mensajes de texto, redes sociales y mensajería

23
00:01:51,860 --> 00:01:59,060
y ataques de teléfono. Tipos de phishing. El phishing regular, que es el phishing más común,

24
00:01:59,060 --> 00:02:04,260
luego tenemos, que son campañas más grandes. Spare phishing, que es un phishing más,

25
00:02:04,260 --> 00:02:11,260
ya no es tan la distribución tan genérica, sino es más específica hacia una persona o una compañía.

26
00:02:11,260 --> 00:02:15,860
Phishing por aplicación, que es un documento normalmente HTML que va incluido como adjunto,

27
00:02:15,860 --> 00:02:24,860
que finalmente es igual, un envío de formulario de datos. Rockfish es un kit de phishing que tiene varios phishings.

28
00:02:24,860 --> 00:02:30,860
Lo malo que tiene este tipo de phishings es que es más detectable. Smishing, que es vía SMS

29
00:02:30,860 --> 00:02:38,060
y phishing, que es vía podozo de llamada telefónica. Dentro de la matriz de Mitre lo hemos categorizado

30
00:02:38,060 --> 00:02:44,060
en la táctica acceso inicial, la técnica se llamaría phishing y luego tenemos cuatro sub técnicas que son

31
00:02:44,060 --> 00:02:50,060
spare phishing attachment, spare phishing link, spare phishing vía service y spare phishing voice.

32
00:02:50,060 --> 00:03:00,060
Métodos de evasión. Los atacantes utilizan diferentes métodos de evasión para alargar la vida del sitio web malicioso.

33
00:03:00,060 --> 00:03:09,060
Para ello utilizan tres tipos de evasiones. Redirigir al usuario a un sitio web con error 404.

34
00:03:09,060 --> 00:03:15,060
La ventaja es que el sitio legítimo no recibe ninguna conexión y la desventaja es que el usuario podría haberse alertado.

35
00:03:15,060 --> 00:03:22,060
Por otro lado tenemos dos que son redirigir al usuario al sitio web legítimo con error en el inicio de sesión

36
00:03:22,060 --> 00:03:29,060
y sitio web legítimo con suplantación de inicio de sesión. La ventaja es que el usuario lo desconoce por completo

37
00:03:29,060 --> 00:03:36,060
y la desventaja es que aparte de los datos de envío de formulario también se recogen otro tipo de datos de navegación

38
00:03:36,060 --> 00:03:45,060
que puede ser el referer, que en este caso sería el malicioso de nuestra web que hemos creado y por lo tanto la vida del phishing se vería acortada.

39
00:03:45,060 --> 00:03:53,060
Para la selección de víctimas hay diferentes tipos de motivaciones. Por ejemplo, la primera sería ataques con motivación geopolítica,

40
00:03:53,060 --> 00:04:02,060
la guerra política, ataques por suplantación, ataques por recurso, ya sea Facebook, Netflix, Office 365, etc.

41
00:04:02,060 --> 00:04:10,060
Ataques por sector como podrían ser el educacional, sanitario, etc. y ataques ya más dirigidos que son los más peligrosos.

42
00:04:10,060 --> 00:04:21,060
Los objetivos del phishing son robo de credenciales, robo de información personal, distribución de malware, ferro de financiero y suplantación de identidad.

43
00:04:21,060 --> 00:04:27,060
El impacto que puede derivar de ser víctima en una campaña de phishing son pérdida de datos confidenciales,

44
00:04:27,060 --> 00:04:37,060
violación de la seguridad de la red, robo de propiedad intelectual, ferro de financiero, daño a la reputación, impacto en la continuidad del negocio.

45
00:04:37,060 --> 00:04:48,060
Vamos a realizar una pequeña campaña simulada. En mi caso he elegido GoFish que es una herramienta de código abierto y gratuita que permite realizar simulaciones.

46
00:04:49,060 --> 00:04:58,060
El primer paso sería la creación del perfil de envío. Vamos a acceder al apartado de Sending Profiles para crear un nuevo perfil donde rellenaríamos el Name que es el nombre del perfil de envío,

47
00:04:58,060 --> 00:05:06,060
Interface Tape que es el protocolo que vamos a utilizar, SMTP From que es la cuenta desde la que vamos a realizar el envío de la campaña,

48
00:05:06,060 --> 00:05:16,060
Host SMTP del recurso, en este caso es el propio de Outlook que se puede sacar de la propia página oficial, Username y Password de la cuenta de envío.

49
00:05:16,060 --> 00:05:33,060
Aquí vemos cómo se ha rellenado todo, el nombre del perfil, el protocolo, la cuenta de correo, el host de SMTP, smtp-mail.outlook.com por el puerto 587 que es el que utiliza

50
00:05:33,060 --> 00:05:44,060
y le daríamos a Send Test Email para mandarnos un test de prueba a nosotros mismos para comprobar que la configuración del perfil de envío ha sido correcta.

51
00:05:45,060 --> 00:05:54,060
El paso 2 sería crear la web donde vamos a redirigir a los usuarios. Para ello iríamos al landing page, importaríamos un sitio web o lo crearíamos manualmente mediante HTML,

52
00:05:54,060 --> 00:06:06,060
en mi caso he cogido la página de iniciación de Facebook. Vamos a marcar dos casquitas que a continuación os voy a mostrar y como hemos visto en la descripción de los métodos de evasión hay que redirigir

53
00:06:06,060 --> 00:06:23,060
al usuario hacia la URL del login legítima de Facebook. Ahí vemos cómo hemos importado la URL de Facebook, la original y se nos ha dibujado ya en el cuerpo del que vemos ahí en la imagen

54
00:06:23,060 --> 00:06:37,060
y luego le redireccionaremos hacia la página oficial de Facebook. Generación de la plantilla del email, en este caso vamos a generarlo desde email templates, vamos a darle un nombre a la plantilla

55
00:06:37,060 --> 00:06:49,060
y vamos a importar un correo, un correo que previamente hemos recibido legítimo de Cabify y vamos a utilizar para darle la vuelta. Vamos a importar el email y vamos a marcar la opción

56
00:06:49,060 --> 00:07:01,060
de change links to point to landing page para que el enlace del contenido sea redirigido hacia el enlace que nosotros vamos a crear. Cuando lo importamos realizamos alguna modificación en el sub y en el cuervo

57
00:07:01,060 --> 00:07:12,060
para juntar Facebook y Cabify y hacerlo todo más creíble. Aquí vemos cómo se le pone el nombre a la plantilla, importamos el email, importante que tiene que estar en texto plano

58
00:07:12,060 --> 00:07:26,060
y le marcamos la casita que comentaba de change links to point to landing page. Luego hemos hecho alguna modificación como puede ser añadir Facebook tanto en el subject como en el cuerpo del correo para hacerlo todo más creíble

59
00:07:26,060 --> 00:07:38,060
y guardaríamos la plantilla. Para añadir a los usuarios a los que se lo vamos a mandar vamos a ir a la pestaña de user and groups. Si fuese una campaña más grande y no una prueba de pentesting

60
00:07:38,060 --> 00:07:53,060
podríamos utilizar un CSV con usuarios que hayamos recopilado en cualquier sitio pero en este caso vamos a añadirlo manualmente. Añadiremos el grupo que vamos a crear, el nombre, apellidos, dirección de correo y puesto de la víctima.

61
00:07:53,060 --> 00:08:10,060
A continuación podemos ver cómo hay que darle un nombre al grupo que en este caso va a ser Cabify y después añadiríamos first name, last name, email y position. En mi caso Álvaro Ruiz, cuenta de recepción que es la que va a recibir el correo y el puesto sería víctima.

62
00:08:10,060 --> 00:08:25,060
El paso quinto y último sería el envío de la campaña. Vamos a acceder a la parte de campaigns y vamos a querer una nueva. En este caso vamos a rellenar con todas las plantillas que anteriormente hemos ido configurando.

63
00:08:25,060 --> 00:08:43,060
Añadiendo la URL donde vamos a tener nuestra landing page. En este caso como es una prueba de penetración dentro de un mismo equipo vamos a añadir la dirección de localhost. Aquí podemos ver cómo hemos rellenado con todas las plantillas que anteriormente hemos estado realizando,

64
00:08:43,060 --> 00:09:02,060
dirigiendo el grupo al que vamos a dirigir el ataque, añadiendo la URL de localhost que es donde va a estar alojada nuestra landing page y cuándo queremos lanzarlo. En este caso se lanzó el día 11 de enero pero si quisiésemos lanzarlo en algún momento en específico a lo largo del tiempo se podría seleccionar.

65
00:09:02,060 --> 00:09:26,060
Lanzaríamos la campaña y entraríamos al paso 6 que es el procesado de datos. En este caso tendremos un menú donde vamos a poder procesar el estado de nuestro email. Si se ha mandado, si se ha abierto, si se ha enviado data o si por el contrario el usuario se ha dado cuenta y ha reportado el correo.

66
00:09:26,060 --> 00:09:50,060
En la parte de la víctima, la víctima va a recibir el correo. Una vez que lo reciba lo va a abrir y clicará en el enlace. En tiempo real vamos a poder visualizar en el aplicativo cuál es el estado como antes comentaba. En este caso vemos que el email se ha enviado, la campaña ha sido exitosa, el email se ha abierto y el usuario ha clicado en el enlace.

67
00:09:50,060 --> 00:10:10,060
Posteriormente la víctima va a introducir las credenciales e iniciar la sesión. Por lo que como hemos configurado será redirigida hacia la página de login legítima de Facebook. Una vez que haya sucedido esto veremos que se ha actualizado el campo submiridata que es el que a nosotros nos interesa.

68
00:10:10,060 --> 00:10:23,060
Desplegando sobre el usuario vamos a ver a qué hora fueron realizadas todas las acciones y en qué momento y desde qué navegadores tendremos un poquito más de información relativa al usuario.

69
00:10:23,060 --> 00:10:43,060
En este caso las credenciales vienen encriptadas por lo que para poder utilizarlas habría que proceder al desencriptado de las mismas o bien utilizar el apartado de Replay Credentials que tiene Gofish para replicar esas credenciales.

70
00:10:43,060 --> 00:10:57,060
Muchísimas gracias por su atención. Esto sería todo. Muchas gracias Álvaro. Voy a detener la grabación.