Nunca percebi como era fácil obter um nome de usuário e senha para uma conta de e-mail até que minha mãe foi hackeada. Ao ouvi-la explicar o que aconteceu, percebi que o ataque era bastante simples ... ela se conectou à sua conta do Google por meio de um e-mail pedindo que confirmasse seu nome de usuário e senha. Por que ela questionaria o pedido?

Quando tive acesso ao laptop dela, suspeitei que o ataque às credenciais dela fosse muito maior e tivesse migrado para o computador dela. Ela me contou sobre compras não autorizadas na Amazon enquanto eu observava mensagens pop-up aleatórias aparecerem em seu laptop. Fechei o computador dela, disse a ela para nunca mais entrar nele, comprei um iPad para ela e mudei todas as suas senhas. Então tivemos uma longa conversa sobre links maliciosos e pessoas de suporte aleatórias ligando para ela para 'ajudá-la'.

Tentei entender como ela chegou a esse ponto de contas comprometidas e descobri que é bem simples.

Ataque de phishing por e-mail

Phishing é um tipo de golpe online em que os criminosos se fazem passar por organizações legítimas por e-mail, mensagens de texto ou anúncios para roubar nomes de usuário e senhas. Isso acontece ao incluir um link que parece levá-lo ao site da empresa para preencher suas informações - mas o site é uma falsificação inteligente e as informações que você fornece vão direto para os hackers por trás do golpe.

Caiu mais ou menos assim:

1. O invasor enviou um e-mail de phishing para minha mãe. Nesse caso, um documento cuidadosamente redigido para clicar em um link que a conectará à conta do Google.com. Se ela não respondesse imediatamente, sua conta seria bloqueada.
2. Minha mãe clicou no link e chegou a uma página da web que parece idêntica a uma página de login do Google.com.
3. Ela entrou no site falso do Google.com. Ela vê páginas normais do Google e acredita que fez login com sucesso no Google.com e evitou que sua conta fosse bloqueada.
4. As informações de nome de usuário/senha são enviadas ao hacker que coleta os dados da credencial e passa para o próximo estágio do ataque.

e-mail de phishing

Um e-mail de phishing cuidadosamente elaborado, sem erros de digitação ou gramática bizarra, é importante para o sucesso da campanha de phishing. O e-mail que ela recebeu era semelhante a este com o assunto: Verifique sua conta do Google.

e-mail de phishing

Esse método específico usa duas ferramentas comuns de engenharia social usadas por agentes mal-intencionados: confiança e urgência.

Ironicamente, alguns dias depois de enviar este e-mail de teste de phishing para mim mesmo, eu o vi na minha caixa de entrada e o abri, esquecendo que havia criado este alerta para este artigo. É fácil ser enganado se você estiver distraído!

Como um hacker roubou as informações de login da minha mãe

Vamos usar o Kali Linux para este passo a passo, mas há várias ferramentas disponíveis para coleta de credenciais. Este ataque é incrivelmente simples, estou surpreso que seja tão fácil de implementar.

Começando

1. Na linha de comando, inicie o Social Engineering Toolkit (SET) como root.

# setoolkit

O Social-Engineer Toolkit é um conjunto de ferramentas fornecidas pela Trustedsec.com para testes de penetração e hacking ético.

1. No menu principal, selecione Opção 1 , Ataques de engenharia social .

   
   

No menu Ataques de engenharia social, selecione Opção 2 , Vetores de ataque de site.

1. No submenu Ataques de engenharia social, selecione a Opção 2, Vetores de ataque ao site .

   
   

No menu Site Attack Vectors, selecione a opção 3 , Credential Harvester Attack Method . Usando modelos integrados, esta opção nos permite usar sites populares, como Google, Yahoo, Twitter e Facebook.

Para o método Credential Harvester Attack, selecione a opção 1, Web Templates

O Credential Harvester começa a construir o site de coleta. Se você estiver usando a mesma máquina para coletar suas informações, use o endereço IP padrão para o POST em Harvester/Tabnapping [192.168.1.183]: selection. Altere este endereço para sua máquina.

Na lista de modelos da Web, selecione a opção 2 . Google .

Menu de Modelos da Web

O Social Engineer Toolkit — Credential Harvester Attack cria um site temporário clonando uma cópia de google.com. Ele iniciará um servidor web no endereço que você especificou e iniciará um ouvinte na porta 80. Quaisquer conexões a esta porta são registradas no console.

Console do Coletor de Credenciais

Você pode testar esta exploração apontando seu navegador para o endereço IP fornecido na seção Harvester/Tabnapping ou incorporando este link em seu e-mail de phishing cuidadosamente elaborado. http://192.168.1.183

A exploração está completa. Tudo o que o hacker precisa fazer é esperar que alguém carregue a página.

Os usuários casuais não notarão o URL não convencional e o bloqueio Não seguro destacados em vermelho na barra de localização do navegador da web.

Captura de credencial bem-sucedida

Enquanto isso, o invasor aguarda a seguinte mensagem.

O preenchimento da página falsa de login da Conta do Google captura as credenciais e as envia para o console do computador do invasor. Em nosso exemplo, um possível nome de usuário é [email protected] , enquanto a senha dela parece ser Ilikecats .

Um pouco de confiança e uma história crível é tudo o que é necessário para colher algumas credenciais. Imagine lançar este ataque contra vários milhares de endereços de e-mail?

Como Proteger a Mãe

Não há nada de novo na prevenção desse tipo de ataque. Aplicam-se práticas de segurança cotidianas regulares: não clique em links de alguém em quem você não confia. Se você sentir a necessidade de clicar no link, confirme se o URL é da mesma fonte confiável, se não há erros de digitação e se não é de um endereço IP.

Ela adora seu novo iPad.

Também publicado aqui