{"id":11120,"date":"2020-01-17T12:52:29","date_gmt":"2020-01-17T11:52:29","guid":{"rendered":"https:\/\/callidusprolab.com\/smartfense\/la-perspectiva-del-ciberdelincuente-lanzar-un-ataque-bec-con-herramientas-gratuitas\/"},"modified":"2024-04-22T16:33:35","modified_gmt":"2024-04-22T14:33:35","slug":"la-perspectiva-del-ciberdelincuente-lanzar-un-ataque-bec-con-herramientas-gratuitas","status":"publish","type":"post","link":"https:\/\/smartfense.com\/es-ar\/blog\/la-perspectiva-del-ciberdelincuente-lanzar-un-ataque-bec-con-herramientas-gratuitas\/","title":{"rendered":"La perspectiva del ciberdelincuente: lanzar un ataque BEC con herramientas gratuitas"},"content":{"rendered":"

Un buen d\u00eda para un ataque BEC<\/h2>\n

Hoy, como todos los d\u00edas, era un buen d\u00eda para lanzar un ataque de Phishing. Podr\u00eda ser masivo, pero por motivos econ\u00f3micos, opt\u00e9 por un\u00a0ataque del tipo BEC<\/a><\/strong>\u00a0dirigido a la compa\u00f1\u00eda\u00a0H\u00e1bitos Inseguros S.A<\/i>.<\/p>\n

Cosechando potenciales v\u00edctimas<\/h3>\n

Lo primero que necesit\u00e9 para realizar mi ataque fue conseguir el correo electr\u00f3nico del CEO de la compa\u00f1\u00eda,\u00a0para suplantar su identidad<\/strong>. Adem\u00e1s, tuve que conseguir la direcci\u00f3n de correo de mis potenciales v\u00edctimas.<\/p>\n

Para esto,\u00a0generalmente, basta con hacer un poco de OSINT<\/strong>. Utilic\u00e9 la herramienta\u00a0The Harvester<\/strong><\/a>, que brinda un listado de los\u00a0correos electr\u00f3nicos que se encuentran publicados en Internet\u00a0<\/strong>de una determinada compa\u00f1\u00eda, analizando para esto diversas fuentes abiertas como Google, Twitter o LinkedIn.<\/p>\n

Todos los correos encontrados ten\u00edan la\u00a0forma estandarizada<\/strong>\u00a0de\u00a0nombre.apellido@habitos-inseguros.com<\/i>.<\/p>\n

Con esto en mente,\u00a0ingres\u00e9 a LinkedIn<\/strong>\u00a0y en minutos encontr\u00e9 el nombre y apellido tanto del CEO como de algunas personas dedicadas a las finanzas de la organizaci\u00f3n.<\/p>\n

Con esta informaci\u00f3n pude construir los correos electr\u00f3nicos que necesitaba para mi trampa de forma realmente sencilla.<\/p>\n

Preparando la carnada<\/h3>\n

Con el correo del CEO es sencillo idear distintos enga\u00f1os, dado su nivel jer\u00e1rquico. Adem\u00e1s,\u00a0los correos son f\u00e1ciles de dise\u00f1ar<\/strong>, ya que suele bastar con simples correos en texto plano.<\/p>\n

En este caso, utilic\u00e9 el siguiente mensaje y seleccion\u00e9 como destinataria a una de las dos personas de finanzas que encontr\u00e9 en LinkedIn.<\/p>\n

\"\"<\/p>\n

En este caso, el correo\u00a0se bas\u00f3 en hacer sentir importante a la persona receptora\u00a0<\/strong>con una serie de halagos, apelando a su profesionalidad para que responda con prioridad al pedido realizado. Con una excusa de \u00e1mbito legal, se solicit\u00f3 que la comunicaci\u00f3n se realice s\u00f3lo por email\u00a0para evitar que una comunicaci\u00f3n por v\u00edas alternativas arroje luz sobre el enga\u00f1o<\/strong>.<\/p>\n

\u00a1A pescar!<\/h3>\n

A la hora de enviar un correo de Phishing, existen diferentes caminos a seguir. En mi caso, como deseo suplantar al CEO de la organizaci\u00f3n, lo primero que hice fue utilizar la herramienta\u00a0Spoofcheck<\/strong><\/a>\u00a0para ver si el dominio\u00a0habitos-inseguros.com\u00a0<\/i>pod\u00eda ser suplantado, pero me encontr\u00e9 con que estaba protegido mediante SPF, DMARC y DKIM.<\/p>\n

En este caso, hab\u00eda dos alternativas:<\/p>\n