Saltar navegación

Defensa Proyecto ASIR Álvaro Ruiz Córdoba

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 18 de enero de 2024 por Seyan M.

10 visualizaciones

Defensa Proyecto Álvaro Ruiz Córdoba

Más información Transcripción

Descargar la transcripción

Buenos días, Álvaro. Hoy, día 18 de enero, a las 9.25, estamos convocados a través de 00:00:00
la jefatura del departamento para la defensa del módulo profesional del proyecto de ciclo 00:00:07
formativo de grado superior de Administración de Sistemas Informáticos en Red. Te informo 00:00:12
que esta grabación se usará en el entorno cerrado de Educamadrid con fines educativos 00:00:16
y solo estará a disposición de los profesores evaluadores en el aula virtual para llevar 00:00:21
a cabo la evaluación y calificación de la defensa del proyecto. En el aula virtual 00:00:24
del proyecto, habéis sido informados de los criterios de la rúbrica y la rúbrica 00:00:29
de calificación. El orden de presentación del proyecto es el siguiente, 15 minutos máximo 00:00:32
para defender el proyecto y 5 para preguntas por parte del tribunal. Dicho esto, tu tiempo 00:00:38
de disposición comienza a partir de este momento. Adelante y mucha suerte. 00:00:43
Buenos días, mi nombre es Álvaro Ruiz Córdoba y vengo a presentaros mi trabajo de fin de 00:00:48
grado. Mi trabajo trata del fraude digital, más concretamente del phishing. Vamos a hacer 00:00:51
una breve introducción teórica para poder entender más tarde la campaña que vamos 00:00:58
a simular. En primer lugar, vamos a ver el phishing, vectores de entrada y distribución, 00:01:01
tipos de phishing, matriz de MITRE, métodos de evasión, selección de víctimas, objetivo, 00:01:06
impacto y la campaña simulada. En primer lugar, el fraude digital es aquel tipo de fraude 00:01:11
que se realiza de manera online, utilizando cualquier tipo de tecnología digital. El phishing 00:01:16
es uno de los fraudes más comunes hoy en día. Ha sufrido una gran mejora y cada día 00:01:22
son muchísimo más sofisticados. El phishing no contiene código malicioso, sino una modificación 00:01:26
en el formulario de envío de los datos. Los vectores de entrada y distribución más comunes 00:01:32
son mal spam, correo malicioso, sitios web fraudulentos, phishing web o cross-site scripting, 00:01:37
que es la inyección en páginas legítimas, mensajes de texto, redes sociales y mensajería 00:01:45
y ataques de teléfono. Tipos de phishing. El phishing regular, que es el phishing más común, 00:01:51
luego tenemos, que son campañas más grandes. Spare phishing, que es un phishing más, 00:01:59
ya no es tan la distribución tan genérica, sino es más específica hacia una persona o una compañía. 00:02:04
Phishing por aplicación, que es un documento normalmente HTML que va incluido como adjunto, 00:02:11
que finalmente es igual, un envío de formulario de datos. Rockfish es un kit de phishing que tiene varios phishings. 00:02:15
Lo malo que tiene este tipo de phishings es que es más detectable. Smishing, que es vía SMS 00:02:24
y phishing, que es vía podozo de llamada telefónica. Dentro de la matriz de Mitre lo hemos categorizado 00:02:30
en la táctica acceso inicial, la técnica se llamaría phishing y luego tenemos cuatro sub técnicas que son 00:02:38
spare phishing attachment, spare phishing link, spare phishing vía service y spare phishing voice. 00:02:44
Métodos de evasión. Los atacantes utilizan diferentes métodos de evasión para alargar la vida del sitio web malicioso. 00:02:50
Para ello utilizan tres tipos de evasiones. Redirigir al usuario a un sitio web con error 404. 00:03:00
La ventaja es que el sitio legítimo no recibe ninguna conexión y la desventaja es que el usuario podría haberse alertado. 00:03:09
Por otro lado tenemos dos que son redirigir al usuario al sitio web legítimo con error en el inicio de sesión 00:03:15
y sitio web legítimo con suplantación de inicio de sesión. La ventaja es que el usuario lo desconoce por completo 00:03:22
y la desventaja es que aparte de los datos de envío de formulario también se recogen otro tipo de datos de navegación 00:03:29
que puede ser el referer, que en este caso sería el malicioso de nuestra web que hemos creado y por lo tanto la vida del phishing se vería acortada. 00:03:36
Para la selección de víctimas hay diferentes tipos de motivaciones. Por ejemplo, la primera sería ataques con motivación geopolítica, 00:03:45
la guerra política, ataques por suplantación, ataques por recurso, ya sea Facebook, Netflix, Office 365, etc. 00:03:53
Ataques por sector como podrían ser el educacional, sanitario, etc. y ataques ya más dirigidos que son los más peligrosos. 00:04:02
Los objetivos del phishing son robo de credenciales, robo de información personal, distribución de malware, ferro de financiero y suplantación de identidad. 00:04:10
El impacto que puede derivar de ser víctima en una campaña de phishing son pérdida de datos confidenciales, 00:04:21
violación de la seguridad de la red, robo de propiedad intelectual, ferro de financiero, daño a la reputación, impacto en la continuidad del negocio. 00:04:27
Vamos a realizar una pequeña campaña simulada. En mi caso he elegido GoFish que es una herramienta de código abierto y gratuita que permite realizar simulaciones. 00:04:37
El primer paso sería la creación del perfil de envío. Vamos a acceder al apartado de Sending Profiles para crear un nuevo perfil donde rellenaríamos el Name que es el nombre del perfil de envío, 00:04:49
Interface Tape que es el protocolo que vamos a utilizar, SMTP From que es la cuenta desde la que vamos a realizar el envío de la campaña, 00:04:58
Host SMTP del recurso, en este caso es el propio de Outlook que se puede sacar de la propia página oficial, Username y Password de la cuenta de envío. 00:05:06
Aquí vemos cómo se ha rellenado todo, el nombre del perfil, el protocolo, la cuenta de correo, el host de SMTP, smtp-mail.outlook.com por el puerto 587 que es el que utiliza 00:05:16
y le daríamos a Send Test Email para mandarnos un test de prueba a nosotros mismos para comprobar que la configuración del perfil de envío ha sido correcta. 00:05:33
El paso 2 sería crear la web donde vamos a redirigir a los usuarios. Para ello iríamos al landing page, importaríamos un sitio web o lo crearíamos manualmente mediante HTML, 00:05:45
en mi caso he cogido la página de iniciación de Facebook. Vamos a marcar dos casquitas que a continuación os voy a mostrar y como hemos visto en la descripción de los métodos de evasión hay que redirigir 00:05:54
al usuario hacia la URL del login legítima de Facebook. Ahí vemos cómo hemos importado la URL de Facebook, la original y se nos ha dibujado ya en el cuerpo del que vemos ahí en la imagen 00:06:06
y luego le redireccionaremos hacia la página oficial de Facebook. Generación de la plantilla del email, en este caso vamos a generarlo desde email templates, vamos a darle un nombre a la plantilla 00:06:23
y vamos a importar un correo, un correo que previamente hemos recibido legítimo de Cabify y vamos a utilizar para darle la vuelta. Vamos a importar el email y vamos a marcar la opción 00:06:37
de change links to point to landing page para que el enlace del contenido sea redirigido hacia el enlace que nosotros vamos a crear. Cuando lo importamos realizamos alguna modificación en el sub y en el cuervo 00:06:49
para juntar Facebook y Cabify y hacerlo todo más creíble. Aquí vemos cómo se le pone el nombre a la plantilla, importamos el email, importante que tiene que estar en texto plano 00:07:01
y le marcamos la casita que comentaba de change links to point to landing page. Luego hemos hecho alguna modificación como puede ser añadir Facebook tanto en el subject como en el cuerpo del correo para hacerlo todo más creíble 00:07:12
y guardaríamos la plantilla. Para añadir a los usuarios a los que se lo vamos a mandar vamos a ir a la pestaña de user and groups. Si fuese una campaña más grande y no una prueba de pentesting 00:07:26
podríamos utilizar un CSV con usuarios que hayamos recopilado en cualquier sitio pero en este caso vamos a añadirlo manualmente. Añadiremos el grupo que vamos a crear, el nombre, apellidos, dirección de correo y puesto de la víctima. 00:07:38
A continuación podemos ver cómo hay que darle un nombre al grupo que en este caso va a ser Cabify y después añadiríamos first name, last name, email y position. En mi caso Álvaro Ruiz, cuenta de recepción que es la que va a recibir el correo y el puesto sería víctima. 00:07:53
El paso quinto y último sería el envío de la campaña. Vamos a acceder a la parte de campaigns y vamos a querer una nueva. En este caso vamos a rellenar con todas las plantillas que anteriormente hemos ido configurando. 00:08:10
Añadiendo la URL donde vamos a tener nuestra landing page. En este caso como es una prueba de penetración dentro de un mismo equipo vamos a añadir la dirección de localhost. Aquí podemos ver cómo hemos rellenado con todas las plantillas que anteriormente hemos estado realizando, 00:08:25
dirigiendo el grupo al que vamos a dirigir el ataque, añadiendo la URL de localhost que es donde va a estar alojada nuestra landing page y cuándo queremos lanzarlo. En este caso se lanzó el día 11 de enero pero si quisiésemos lanzarlo en algún momento en específico a lo largo del tiempo se podría seleccionar. 00:08:43
Lanzaríamos la campaña y entraríamos al paso 6 que es el procesado de datos. En este caso tendremos un menú donde vamos a poder procesar el estado de nuestro email. Si se ha mandado, si se ha abierto, si se ha enviado data o si por el contrario el usuario se ha dado cuenta y ha reportado el correo. 00:09:02
En la parte de la víctima, la víctima va a recibir el correo. Una vez que lo reciba lo va a abrir y clicará en el enlace. En tiempo real vamos a poder visualizar en el aplicativo cuál es el estado como antes comentaba. En este caso vemos que el email se ha enviado, la campaña ha sido exitosa, el email se ha abierto y el usuario ha clicado en el enlace. 00:09:26
Posteriormente la víctima va a introducir las credenciales e iniciar la sesión. Por lo que como hemos configurado será redirigida hacia la página de login legítima de Facebook. Una vez que haya sucedido esto veremos que se ha actualizado el campo submiridata que es el que a nosotros nos interesa. 00:09:50
Desplegando sobre el usuario vamos a ver a qué hora fueron realizadas todas las acciones y en qué momento y desde qué navegadores tendremos un poquito más de información relativa al usuario. 00:10:10
En este caso las credenciales vienen encriptadas por lo que para poder utilizarlas habría que proceder al desencriptado de las mismas o bien utilizar el apartado de Replay Credentials que tiene Gofish para replicar esas credenciales. 00:10:23
Muchísimas gracias por su atención. Esto sería todo. Muchas gracias Álvaro. Voy a detener la grabación. 00:10:43
Subido por:
Seyan M.
Licencia:
Todos los derechos reservados
Visualizaciones:
10
Fecha:
18 de enero de 2024 - 9:58
Visibilidad:
Clave
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
11′
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
78.00 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid