INSTITUTO TECNOLÓGICO DEL VALLE DE OAXACA.
MATERIA
SEGURIDAD WEB
CARRERA: INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES.
DOCENTE:
DIEGO LUNA
ALUMNA:
SURIANITA SIERRA LÓPEZ
TRABAJO:
CLONACIÓN DE UNA PÁGINA CON SOCIAL- ENGINEER-TOOLKIT
INTRODUCCIÓN
La siguiente práctica tiene se relaciona con el tema de Ingeniera Social, por lo que
es importante saber de qué se trata esto, por lo que se dice que la ingeniería
social es la práctica de obtener información confidencial a través de la
manipulación de usuarios legítimos 1, esto quiere decir que la ingeniería social es
una técnica utilizada para obtener información confidencial de los usuarios, para
esto los expertos en este ámbito se encargan de hacerle creer al usuario que es
una persona, empresa u organismo “oficial” cuando en realidad no lo es.
Los medios por los cuales se practica ingeniería social regularmente suelen ser
vía telefónica o por Internet; la principal defensa contra la ingeniería social es
educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse
de que estas sean seguidas.
Con la finalidad de ver un poco lo que es ingeniería social se realiza la siguiente
práctica la cual nos permite clonar o copiar una página oficial y mediante la
herramienta de social-engineer-toolkit (SET), la cual es una completísima suite
dedicada a la ingeniería social , que nos permite automatizar tareas que van
desde el de envío de SMS (mensajes de texto) falsos, con los que podemos
suplantar el número telefónico que envía el mensaje, a clonar cualquier página
web y poner en marcha un servidor para hacer phishing en cuestión de
segundos2.
En este caso solo se utilizara para realizarla clonación de una página web donde
se puede observar los datos que el usuario ha ingresado desde su navegador,
dicha información debe ser utilizada de forma adecuada y en este caso solo con
fines educativos.
1 http://es.wikipedia.org/wiki/Ingenieria_Social_(seguridad_inform%C3%A1tica)
2 http://www.hackplayers.com/2012/10/social-engineering-toolkit-set.html
PRACTICA DE INGENIERÍA SOCIAL
Lo primero que se debe hacer es conectarse a una red y checar la dirección IP
que ha sido asignada, para esto se utiliza el comando ifconfig.
Una vez que se tiene instalada la herramienta de social-engineer-toolkit se
procede a entrar al directorio en el que esta ubicada, para esto se ingresar el
comando cd social-engineer-toolkit dentro de este directorio se encuentran
varios archivos de configuración, después se pone el comando ./setoolkit, para
ejecutar la aplicación.
En seguida muestra un mensaje de bienvenida junto con el menú de opciones, del
cual elegiremos la opción 1 que son ataques de Ingeniería Social y dar enter dos
veces.
Despues se muestra otro menú con las opciones de:
1.- Ataques de phising: que son ataques de correo electrónico. 2.- Ataques de Sitios Web: ataques basados en Web. 5.- Mass Mailer Attack: ataque masivo mandando correos a múltiples víctimas y personalizar los mensajes. La opción que se utiliza es la 2) Website Attack Vectors.
Dentro de este tendremos otro menú y la opción que se utiliza es la 3)Credential
Harvester Attack Method que es ataque para la obtención de credenciales
(usuario y contraseña).
Después se muestra otro menú en el cual se selecciona la opción 2)Site Cloner
para clonar el sitio web.
Una vez seleccionada las opciones el siguiente paso nos pide introducir una
dirección IP, la cual introduciremos la que se nos asignó desde el inicio.
Después ingresamos la dirección (URL) del sitio que se desea clonar.
Inicia la clonación del Sitio
Después nos pregunta si deseamos deshabilitar Apache, a lo que le damos yes.
Detiene el servidor Apache y continua con la petición de la clonación del Sitio
Una vez terminado el proceso de la clonación se puede visualizar en el navegador
la página que ha sido clonada para esto solo se escribe la dirección IP de la
maquina virtual.
Al introducir los datos de usuario y contraseña sobre el formulación de la página
clonada de Facebook se puede apreciar que el SET obtiene dichos datos que
fueron ingresados por el usuario.
CONCLUSION
Al llevar a cabo esta práctica puede observar cómo es que a través del uso de
esta herramienta se pueden realizar distintos ataques y obtener información,
además de que con la práctica de la ingeniería Social pues en la mayoría de las
veces las personas proporcionan información pensando que esa información es
enviada al destinatario correcto cuando puede ser que no sea así, puesto que no
se tiene el cuidado de tomar medidas de seguridad para evitar ser víctimas.
Esta practica me agrado y me pareció muy interesante ya que como usuario nunca
sabes que puede haber del otro lado, y no se tiene la certeza de que tu
información “confidencial” no esté en manos de alguien más.
REFERENCIAS BIBLIOGRAFICAS
Ingeniería Social: Recuperado de:
http://es.wikipedia.org/wiki/Ingenieria_Social_(seguridad_inform%C3%A1tica)
SET: Recuperado de:
http://www.hackplayers.com/2012/10/social-engineering-toolkit-set.html