Contenido

Diseño del ataque de Ingeniería Social:......................................................................................3

Explicación de escenarios:.......................................................................................................3
Escenario 1: Prueba básica con SET.......................................................................................3
Escenario 2: Phishing real de Sitio Bancario............................................................................7
Compra de dominio.............................................................................................................. 8
Ataque de homografía IDN...................................................................................................8
Ambiente utilizado para el ataque.........................................................................................8
Configuración de Registros DNS..........................................................................................9
Creación de cuentas de correo con el dominio comprado....................................................9
Creación de sitio web clonado............................................................................................10
Configuración Servidor IIS..................................................................................................12
Certificado SSL de CA confiable.........................................................................................13
Resultado Final Sitio Clonado.............................................................................................15
Correo Electrónico Phishing...............................................................................................15
Ataque del lado de la victima.................................................................................................17
¿Qué tipo de Brecha de Seguridad es?.................................................................................20
PLAN DE ACTUACIÓN.......................................................................................................... 20
Objetivos del Plan:.............................................................................................................. 20
Acciones a realizar:............................................................................................................ 21
RECOMENDACIONES DE COMO MITIGAR ESTE TIPO DE ATAQUES..........................21
 Diseño de Ataque de Phishing

Explicación de escenarios:

Para esta práctica se utilizaron dos escenarios:

Escenario 1: Este escenario fue un escenario ficticio dentro de una LAN a través de la
herramienta SET- Social Engineering Tookit en el cuál se hizo un clon de Twitter. A pesar de
que SET es una herramienta muy robusta, es bastante limitada en cuanto a su capacidad para
clonar sitios ya que se puedo constatar que los sitios bancarios no los pudo clonar
correctamente, por esta razón se optó por el escenario 2.
Escenario 2: Se simuló un ataqué lo más real posible, donde se adquirió un dominio real, se
clono un sitio manualmente que se publicó en internet, se programó el recolector de datos del
sitio clonado, se crearon cuentas de correo con el dominio comprado, se generó un certificado
SSL de una CA confiable y el mail de phishing elaborado luce igual que el de la entidad
bancaria del sitio clonado.

Escenario 1: Prueba básica con SET

Como punto de partida el objetivo de un ataque phishing es manipular psicológicamente a las

víctimas con el objeto de que estos proporcionen información que los cibercriminales necesitan
para realizar accesos ilegítimos a equipos o sistemas, así como la obtención de información
confidencial como usuarios y contraseñas, datos de tarjeta, entre otros.
Debido a que SET tiene dificultades para clonar o importar sitios bancarios mostraremos
rápidamente el uso de la herramienta con la clonación de Twitter y la posterior obtención de
credenciales.
En este punto seleccionamos la opción de vectores de ataque de tipo Phishing, posteriormente
en la siguiente lista de opciones se seleccionara la opción 3 que utiliza el método de
recolección de credenciales.

Posteriormente, se selecciona la opción de templates en donde se elige como ejemplo el

template de Twitter, por defecto nos colocara la IP del Host local en donde se publicará el
servicio de la página clonada.
Selección de IP en la cuál se clonara el sitio

Selección del template de Twitter

Al ingresar a la ip del host local nos mostrará la página de inicio de Twitter para luego de
ingresar las credenciales y usuarios esta se guardará en la consola de la herramienta y
redireccionara a la página oficial del sitio haciendo creer que hubo algún tipo de error.
Escenario 2: Phishing real de Sitio Bancario

Para este escenario se clonará el sitio de BAC Credomatic https://www.baccredomatic.com/es-

gt/ utilizando el método de ataque de recolección de credenciales, donde se obtiene de forma
ilegal información de login o de identidad de los usuarios. Generalmente, esta información se
almacena en un servicio en línea y se adquiere sin el consentimiento del propietario o del
usuario, y puede usarse para suplantarlos o hacerse pasar por ellos en otros contextos.
El nombre de dominio y el sitio a clonar lucen de la siguiente manera:
Compra de dominio

Utilizando el servicio Route 53 de AWS, se hizo la compra de un dominio parecido al de BAC

Credomatic para que las victimas del ataque no sospechen cuando vean la nombre del sitio al
que se les estará redireccionando a través del correo malicioso.
El nombre del dominio adquirido fue baccredomatlc.com, es cuál reemplaza la “i” por una “l” y
que hace difícil que se detecte que en realidad se trata de un sitio completamente distinto.

Ataque de homografía IDN

La técnica mencionada anteriormente de engañar al usuario para que no sospeche de que se

encuentra en un sitio clonado es conocida como ataque de homografía de nombres de dominio
internacionalizado (IDN). Debido a que Route 53 no permite utilizar otro tipo de caracteres
como los cirílicos, se hizo uso del reemplazo entre la ”i” y la “l”. A continuación otro ejemplo de
este tipo de ataque.

Ambiente utilizado para el ataque

El escenario de la solución fue implementado en un servidor Windows Server 2022 alojado en

el servicio EC2 de AWS. El tipo de la instancia T2.medium que cuenta con el siguiente
dimensionamiento:
ELEMENTO TAMAÑO
vCPUs 1
RAM 4GB
Almacenamiento 20GB EBS
Rendimiento de Moderado
 red

La instancia fue configurada para que AWS le asigne una IP pública de forma automática cada
vez que la instancia de reinicie.
un redireccionamiento DNS al domino adquirido y a la ip pública.

Configuración de Registros DNS

Una vez se tiene el dominio y la instancia sobre la cuál trabajar se procedió a la creación de
registros DNS que redireccionen a la IP publica de la instancia creada. Para ello se crearon dos
registros DNS de tipo A, que apuntan a la misma IP pero tiene diferente nombre de registro.

Creación de cuentas de correo con el dominio comprado

Se tiene conocimiento que la entidad que se está usurpando mediante el sitio clonado utiliza las
direcciones de correo notificaciones@baccredomatic.com y alertas@baccredomatic.com
para notificar a los usuarios sobre cambios de seguridad como cambios de contraseña,
bloqueos de usuario, actividad sospechosa, transacciones bloqueadas, entre otras. Por esta
razón se utilizó el servicio Google Workspace para crear cuentas de correo con el dominio
comprado que tengan la misma direcciones que las que utiliza BAC Credomatic, de esta
manera el correo de phishing pasará desapercibido por la victima del ataque, ya que este ya
sería cuentahabiente de la entidad y sabe las direcciones que BAC utiliza por lo regular.

Para pegar el dominio DNS y Google Workspace también fue necesario crear registros DNS de
tipo MX para los servidores de mail de Google.

Creación de sitio web clonado

Para la clonación del sitio web se procedió a descargar la página web completa de BAC
Credomatic. Luego se importó el HTML y los recursos descargados a un proyecto de ASP.NET
core en Visual Studio donde se editó el HTML y se creó un controlador que capturara el
usuario, contraseña, e IP pública de la víctima. En este punto cuando el usuario ingresa sus
datos y presiona Ingresar la página desplegara un mensaje indicando que no se pudo tener
conexión con los servicios del banco y al dar aceptar se enviaran los datos que se guardaran y
se redireccionara a la página oficial de BAC de manera que no se sospeche y se piense que es
un problema de página. Una vez se obtienen las credenciales estas se guardan en el archivo
passwordhasvester.txt.
Además se creó también un TCPListener que escucha en el puerto asignado y despliega los
nuevos datos obtenidos de las victimas conforme van ingresando. El código fuente del método
post dentro del controlador que obtiene las credenciales del usuario es el siguiente:

[HttpPost]
//[ValidateAntiForgeryToken]
public ActionResult Ingresar(UsuarioModel usuario)
{
 if(!ModelState.IsValid)
{
return View("~/Views/Home/Index.cshtml");
}

var remoteIpAddress =Request.HttpContext.Connection?.RemoteIpAddress;

if (remoteIpAddress == null)
remoteIpAddress = Request.HttpContext.Connection?.LocalIpAddress;

usuario.Ip = remoteIpAddress == null ? "" : remoteIpAddress.ToString();

string docPath =
Environment.CurrentDirectory;

try
{
using (StreamWriter outputFile = new StreamWriter(Path.Combine(docPath,
"passwordharvester.txt"), append: true))
{
outputFile.WriteLine($"usuario: {usuario.Username}, contraseña:
{usuario.Password}, ip: {usuario.Ip}");
}
}
catch
{

TcpClientUtil.Connect("127.0.0.1", usuario);

return Redirect("https://www.baccredomatic.com/es-gt");

Fragmento de código del TCPListener

Configuración

Configuración Servidor IIS

Una vez listo el sitio clonado este se publicó en la instancia de AWS, específicamente en el
servidor IIS de dicha instancia, en la carpeta por defecto. Las credenciales se almacenan en
dos ubicaciones, la primera es en un documento de Texto llamado passwordharvester y el
segundo esta almacenado en un servidor TCP que muestra en tiempo real los ingresos de
datos al sitio clonado.
Certificado SSL de CA confiable

Para hacer el ataque más funcional y disminuir las sospechas de las víctimas se solicitó un
certificado de Let’s Encrypt que proporciona certificados SSL sin costo. Y a través de la
herramienta Win-Acme se realizó la solicitud.
Resultado Final Sitio Clonado

Dominio falso

Sitio Clonado

Correo Electrónico Phishing

Se procedió a fabricar el correo que sería enviado a las victimas del ataque con las cuentas de
correo creadas en Google Workspace, para lo cuál se edito el cuerpo del correo con HTML
imitando la identidad corporativa de BAC Credomatic. Además en este escenario las victimas
son 3 de los miembros del grupo para los cuales se tiene listo un correo configurado en
borradores.
Que al visualizar dentro del sitio web de Google se ve de la siguiente manera:

A continuación se hace el envió de los correos a las victimas.

Ataque del lado de la victima

Al trasladarnos al correo de la víctima podremos observar el correo electrónico recibido por la

cuenta de notificaciones, en donde indica que su cuenta ha sido bloqueada y que por favor
desbloquee su cuenta ingresando al botón de desbloquear usuario, en donde se colocó el link
del sitio clonado.

Se mostrará el mensaje antes visto, al presionar aceptar enviará los datos capturados y
redireccionará a la página oficial.
Y de esta manera los datos se capturarán en el servidor TCP y el archivo TXT
¿Qué tipo de Brecha de Seguridad es?

La brecha de seguridad que se ve afectada para este tipo de ataque es confidencialidad la

cual se produce cuando ocurre un acceso no autorizado, o bien cuando un actor con un
ilegitimo se hace de la disposición de datos sensitivos y personales con el fin de utilizar esos
datos para mal o hacerse pasar por la víctima.

PLAN DE ACTUACIÓN

Justificación del Plan: Debido a la práctica realizada es necesario la existencia de un plan de

actuación sobre el entorno de trabajo, asegurando de mejor manera la minimización de riesgos

Objetivos del Plan:

- Reducción de riesgos para clientes

- Hacer más confiable y seguro el sitio
- Concientizar sobre el tipo de ataques existentes y lograr los usuarios puedan ser más
precavidos.

 Medidas para reducir riesgos:

- Capacitación de usuarios:
Los usuarios a veces manejan la idea errónea de estafas de phishing son fáciles de
detectar y que sólo las personas sin conocimientos técnicos o ingenuas pueden ser
víctimas. Existe la seguridad falsa de confiar demasiado en la tecnología para evitar el
phishing o asumir que sea poco probable que nuestra empresa sea un objetivo.
Por lo que es importante trasladar a los usuarios cómo funciona el phishing y como
poder prevenir caer, se propone realizar demos para demostrar lo sencillo que puede
ser caer y ser vulnerables ante estas estafas.
- Denuncia de sitios clonados:
Cuando un sitio web es dudoso o se detecta que es una réplica maliciosa de un sitio
conocido, esto puede ser denunciado desde el navegador donde se está cargando la
página, esto lo puede hacer cualquier usuario sin tener mayor conocimiento técnico,
Ejemplo: En el navegador Google se denuncia el sitio como abuso siguiendo estos
pasos:
* En la parte inferior del formulario, haz clic en Denunciar abuso.
* Elige el tipo de abuso detectado en el formulario.
 * Haz clic en Enviar denuncia de abuso.
Cuando el sitio esta denunciado y el navegador detecta si el sitio es malicioso se recibe
notificación y el sitio es bloqueado.
- Colocar la etiqueta de external en mails externos a la organización
Son etiquetas que se adjuntan a correos electrónicos externos con el fin de advertir al
usuario de que este correo electrónico no procede debido a que no pertenece a la
organización. Las etiquetas externas ayudan a los administradores a realizar un
seguimiento del correo electrónico sospechoso y potencialmente dañino.

Acciones a realizar:

- Activa la autentificación en dos pasos: Habilitar la autentificación en dos pasos en

todos los servicios, se evalúa activar 2FA, el cual será de ayuda aunque los atacantes
descubran las credenciales para una cuenta de banca electrónica no podrán acceder.

- Solicitud contraseñas únicas: Recomendar los usuarios utilicen contraseñas únicas

para cada sitio, esto hará que los ciberdelincuentes que obtengan una contraseña, no
compromete el resto de los recursos en riesgo.

- Simula ataques de phishing internos para reforzar la formación.

- Proporciona a los clientes un contacto que pueda ayudarles a verificar correos

electrónicos sospechosos.

RECOMENDACIONES DE COMO MITIGAR ESTE TIPO DE ATAQUES

Para poder hablar de como mitigar un ataque de phishin se pueden implementar una diversidad
de controles que se presentan a continuación.
1. Aprende a identificar claramente los correos electrónicos sospechosos de ser
“PHISHING”,
Existen algunos aspectos que inequívocamente, identifican este tipo de ataques a
través de correo electrónico:
 Utilizan nombres y adoptan la imagen de empresas reales.
 Llevan como remitente el nombre de la empresa o el de un empleado real de la
empresa.
 Incluyen webs que visualmente son iguales a las de empresas reales.
 Como gancho utilizan regalos o la perdida de la propia cuenta existente.

2. Si recibe un correo electrónico que le pide información personal o financiera, no

responda. Si el mensaje lo invita a acceder a un sitio web a través de un enlace incluido
 en su contenido, no lo haga. Debe saber que las organizaciones que trabajan
seriamente ya están al tanto de este tipo de fraude y, por consiguiente, no solicitan
información por este medio. Tampoco contactan telefónicamente, ni a través de
mensajes SMS o de fax.

3. Nunca entres en la web de tu banco pulsando en links incluidos en correos electrónicos

 No hagas clic en los hipervínculos o enlaces que te adjunten en el correo, ya que de
forma oculta te podrían dirigir a una web fraudulenta.
 Teclea directamente la dirección web en tu navegador o utiliza marcadores/favoritos
si quieres ir más rápido.

4. Mantenga actualizado el software de su PC: Instale las actualizaciones de seguridad de

su sistema operativo y de todas las aplicaciones que utiliza, especialmente las de su
producto antivirus, su cliente web y de correo electrónico. La mayoría de los sistemas
actuales permiten configurar estas actualizaciones en forma automática.

5. No descargue ni abra archivos de fuentes no confiables. Esos archivos pueden tener

virus o software malicioso que podrían permitir a un atacante acceder a su computadora
y por lo tanto, a toda la información que almacene o introduzca en ella.

6. Recuerde: No conteste ningún mensaje que resulte sospechoso. Si una comunicación

en su contestador le avisa sobre un evento adverso vinculado a su cuenta bancaria y le
solicita que llame a un teléfono gratuito, no lo haga. Si recibe un correo electrónico que
le pide lo mismo, desista. Si del mismo modo, le envían un SMS de bienvenida a un
servicio que no ha contratado, bórrelo y olvídese. Las mencionadas prácticas no son
sino diversas modalidades que persiguen el mismo fin: obtener sus datos personales
para cometer una defraudación.
7. Verifique los indicadores de seguridad del sitio web en el cual ingresará información
personal. Si resulta indispensable realizar un trámite o proveer información personal a
una organización a través del sitio de Internet realice los siguiente pasos:
 Escriba la dirección web usted mismo en el navegador
 Busque los indicadores de seguridad del sitio. Al hacerlo, deberá notar que la
dirección web comienza con https://, donde indica que la transmisión de
información es segura.
 Verifique también que en la parte inferior de su navegador aparezca un candado
cerrado. Al hacer clic sobre este último, podrá comprobar la validez del
certificado digital y obtener información sobre la identidad del sitio al que está
accediendo.

8. No acceda desde lugares públicos en la medida de lo posible, evite ingresar al sitio web
de una entidad financiera o de comercio electrónico desde un ciber-café, locutorio u otro
lugar público. Las PC instaladas en estos lugares podrían contener software o hardware
malicioso, destinados a capturar sus datos personales.

9. La mayor parte de ataques de phishing van contra entidades bancarias, pero en

realidad pueden utilizar cualquier otra web popular del momento como gancho para
 robar datos personales: eBay, Facebook, Pay Pal. Por lo que se debe de estar atento a
cualquier tipo de pagina que tenga relacionado algún tipo de pago o algún tipo de
información valiosa.

10. El phishing no conoce fronteras y pueden llegarte ataques en cualquier idioma. Por
norma general están mal escritos o traducidos, así que este puede ser otro indicador de
que algo no va bien. Por lo que estar constantemente alerta a los correos de páginas
que frecuentamos siempre se mantengan en el mismo idioma.

11. La mejor forma de acertar siempre es rechazar de forma sistemática cualquier correo
electrónico o comunicado que incida en que facilites datos confidenciales. Una buena
opciones eliminar este tipo de correos y llamar a la entidad bancaria para aclarar
cualquier duda.

12. Una buena manera de protegerse es utilizar un buen navegador web, que puede
bloquear muchas de las amenazas. En un estudio realizado se comprueba que Mozilla
Firefox o Microsoft Edge en Windows fueron capaces de bloquear más del 80% de las
amenazas de phishing.

13. Si has sido víctima de un ataque de phishing los principal que debes hacer es:

 Cambiar la contraseña del servicio suplantado (cuenta de correo, acceso al

servicio, etc)
 Avisar a los posibles bancos afectados del fraude (y si se ha visto implicada una
tarjeta, anularla).