Pages

Ads 468x60px

jueves, 13 de junio de 2013

Creando correo phishing sin herramientas





Hola.

Os dejo una entrada sobre como se puede simular fácilmente un phishing.

Ya se que el tema esta trillado y que todos sabéis perfectamente de que va el tema. Pero para los que no, os dejo un ejemplo.

Ademas, me ha llamado la atención que desde una página de una multinacional aeronáutica, no me dejase hacer el envío.
Os dejo los ejemplos.

Es tan fácil como, en casi cualquier pagina, darle a "enviar noticia a un amigo" y rellenar los campos que muestro.





Le damos a enviar y llegará a nuestra bandeja de entrada de Gmail sin mayor problema. Se lo come con patatas ya que no pasa ni por la carpeta de spam.






Ahora os dejo la imagen de lo que os comentaba al principio. Una empresa española, en la que supongo que han pagado a alguien que SI sabe lo que hace y no permite el envío.





Como veis, sale la advertencia de "se ha producido un error" y no deja realizar el envío.
A pesar de lo que pueda parecer, es muy muy fácil encontrar paginas desde las que se puede personalizar nuestro phishing.

Ahora imaginad que el link realmente apunta a algún sitio malicioso y que nos cuelan un troyano, o cualquier otro malware.

Conclusiones:


  • Aunque nos llegue un correo que parece legitimo y a pesar de estar en la bandeja de entrada, no os fiéis de nadie, ni siquiera de vuestros propios contactos.
  • Tened cuidado en los enlaces que pincháis, podéis verificar el sitio real donde os va a llevar solo pasando el ratón por encima del link y mirando en la parte de la izquierda de la pantalla.






  • Siempre usad la cabeza, un banco JAMAS te va a pedir ningún dato como tu PIN de la tarjeta.
Como dice Angelucho, nosotros somos nuestra peor vulnerabilidad, pero también nuestro mejor antivirus.

Saludos

*Quiero dejar bien claro que el correo que he usado para enviarlo es mio propio y que en ningún caso he pretendido hacer nada malo con esto. Solo es a modo explicativo, nunca para que lo uséis contra nadie.

7 comentarios:

  1. Comparto para concienciar a mi círculo de amig@s y familiares ;)

    Por cierto! Lo he probado enviándolo a mi correo y el Outlook me lo detecta como "Correo no deseado".

    Pero también es verdad que en mi caso estoy detrás de un IronPort :/

    ResponderEliminar
    Respuestas
    1. Hola Carlos, gracias por la visita y por compartir.

      Lo que comentas de outlook puede ser por eso o por las políticas que tengáis configuradas...
      No obstante sólo probé con gmail, lo mismo hotmail o Yahoo lo trata de otra manera.

      A lo otro que me comentas, si me dejas un correo lo hablamos jeje ;-)

      Eliminar
  2. No puedo decir otra cosa que gracias por el post y que sin duda hay que seguir difundiendo pues todavia hay demasiada gente que cae en el phising por desgracia y desconocimento. Saludos amigo.

    ResponderEliminar
    Respuestas
    1. Gracias Jorge (lanzanet jeje) un abrazo

      Eliminar
  3. Como bien dice Jorge, hay que darle caña y caña a este tema, porque por desgracia siguen picando.
    Recuerdo la "sorpresa" en las jornadas X1RedMasSegura cuando Juan Garrido hizo que nos llegara un email de Zapatero jajaja. Es que aún sabiendo que lo puedes hacer, las mentes puras e inocentes no pensamos en semejantes maldadas XD.

    Muy buena la URL con "te voy a robar hasta la cartera".
    Por curiosidad, la web seria que no te ha dejado enviar el phishing, ¿qué herramientas puede tener, alguna específica para esto?¿en qué se basa, en analizar palabras o texto extraño, además de remitente, destinatario, etc?.
    Quizás he sido un poco plasta, pero hice lo que recomendó Angelucho, recopilé como 10 correos de Phishing y otros tantos de spam, y se los envié al correo que dejó de OSI/INTECO. Han contestado que gracias y que lo analizarán para saber la procedencia y evitar fraudes.

    Un saludo cordial y felicidades por tu blog.

    ResponderEliminar
    Respuestas
    1. De nuevo muchas gracias por comentar.

      Debo confesar que como no soy ningún experto en la materia ( ni en nada jeje) no se exactamente como funciona.
      Puedes preguntar a Lorenzo o a Juanan que seguro que te contestan y lo hacen bien, porque yo no sabría explicártelo jeje

      Gracias por pasar ;-)

      Eliminar
  4. De nada, gracias a ti, es muy importante la tarea que haces en este blog.
    Na, no voy a preguntar a Lorenzo ni Juanan, no llega a tanto mi curiosidad, pero gracias por la recomendación :)
    Saludos cordiales.

    ResponderEliminar

Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates