Explicare una técnica de hacking a traves del uso de una herramienta de hacking social para poder acceder a redes wifi. “Wifiphisher”. Esta herramienta es una técnica de punto de acceso deshonesto utilizado por ciberdelincuentes para llevar a cabo ataques o por RED TEAM dentro de unas posibles pruebas de seguridad sobre una determinada red Wi-Fi. Usando Wifiphisher, los pentester pueden lograr fácilmente una posición de hombre en el medio contra clientes inalámbricos mediante la realización de ataques de asociación de Wi-Fi específicos.
Dentro de esta tecnica no realiza ningún tipo de ataque de diccionario o por fuerza bruta, utiliza el eslabón más débil que es el usuario, por lo que es un ataque de ingeniería social.
También es capaz de conseguir credenciales de las redes sociales más conocidas, aunque está diseñada específicamente para la obtención de claves WPA y WPA2-PSK.
Como referencia indica la ingeniería social es una técnica usada por los ciberdelincuentes y que consiste en engañar o manipular a las personas para conseguir su información personal, como contraseñas y datos bancarios, o para obtener el acceso a sus equipos con el fin de instalar software malicioso o malware de forma inadvertida.
Los ciberdelincuentes utilizan la ingeniería social porque es más fácil o “barato” dedicar recursos a engañar a alguien para que revele su contraseña de acceso a un servicio, que vulnerar los posibles complejos sistemas de protección perimetal seguridad. De manera sistemática, los ciberdelincuentes que emplean la ingeniería social tratarán de ofrecer algo que capte el interés sin que el usuario sospeche que ellos están detrás.
Suelen incitar al usuario victima a abrir ficheros adjuntos, haciendose pasar por otras personas que puedan resultar de confianza con el fin de obtener acceso a información privilegiada, o tratarán de hacerte creer que tu equipo está infectado con malware para ofrecer una solución que supuestamente lo desinfecte. Y es que los ataques de ingeniería social son cada vez más frecuentes y sofisticados, ya que no se trata solo de caer en una trampa, sino de la personalización que los ciberdelincuentes hacen de esta. Por poner un ejemplo, el 93% de las brechas de seguridad comienzan a partir de un correo electrónico.
Recuerda, el eslabón más débil de cualquier cadena de seguridad es el usuario, y, precisamente por esto, la ingeniería social busca explotar este punto débil, apelando a la vanidad, la avaricia, la curiosidad, el altruismo o el respeto o temor a la autoridad de las personas para conseguir que revele cierta información o que permita el acceso a un sistema informático.
En lo que respecta al tipo de vector de ataque que vamos a explicar mediante suplantación de los elementos de control de credenciales, se diseña específicamente para realizar la desautenticación a los clientes inalámbricos Wi-Fi que estén conectados a una red en concreto, una vez realizado este ataque, dichos clientes Wi-Fi se conectarán automáticamente a un punto de acceso falso que nosotros mismos hemos montado. Una vez que se haya conectado, redirigiremos al cliente a diferentes sitios web de phishing creados localmente.
“El objetivo es que el usuario directamente nos proporcione la contraseña inalámbrica Wi-Fi”
Es posible realizar ataques de phishing web personalizados contra los clientes conectados para capturar credenciales (por ejemplo, desde páginas de inicio de sesión de terceros o claves precompartidas WPA / WPA2) o infectar las estaciones de las víctimas a traves de técnicas de malware.
características generales:
- Este ataque puede funcionar durante horas dentro de un dispositivo Raspberry Pi ( por ejemplo) ejecutando todas las técnicas modernas de asociación de Wi-Fi (incluyendo “Evil Twin”, “KARMA” y “Balizas conocidas”).
- Admite docenas de argumentos pudiendo seleccionar un conjunto de plantillas de phishing dirigidas por la comunidad para diferentes escenarios de implementación.
- Los usuarios pueden escribir módulos simples o complicados en Python para expandir la funcionalidad de la herramienta o crear escenarios personalizados de phishing para realizar ataques específicos orientados a objetivos.
Cómo funciona
El phishing de Wi-Fi consta de dos pasos:
PASO 1: El primer paso implica el proceso de asociarse con clientes de Wi-Fi sin saberlo, o en otras palabras, obtener una posición de intermediario (MITM). Wifiphisher utiliza una serie de técnicas diferentes para lograr esto, que incluyen:
- Evil Twin, donde crea una red inalámbrica falsa que se parece a una red legítima.
- KARMA, donde se disfraza como una red pública buscada por clientes de Wi-Fi cercanos.
- Balizas conocidas, donde transmite un diccionario de ESSID comunes, que las estaciones inalámbricas cercanas probablemente se hayan conectado en el pasado.
Al mismo tiempo, esta solución de ataque sigue forjando paquetes de “Desauthenticate” o “Disassociate” para interrumpir las asociaciones existentes y, finalmente, atraer a las víctimas utilizando las técnicas anteriores.
Usando este tipo de técnicas, es posible realizar ataques de phishing web mediante la recopilación de información del entorno objetivo y el usuario víctima. Por ejemplo, en uno de nuestros escenarios, es posible extraer información de los marcos de baliza emitidos y el encabezado HTTP User-Agent para mostrar una imitación basada en web del administrador de red de Windows para capturar la clave precompartida.
wifiphisher --essid " FREE WI-FI " -p oauth-login -kB
En el proceso se genera una red Wi-Fi abierta con ESSID “FREE WI-FI” y se realiza el escenario “Auth Login”.
El sistema generaría un Panel falso de autenticación de nuevo red wifi fake :
“El usuario introduciría de nuevo la clave de nuevo el sistema de modo el atacante registraría la clave del sistema y devolvería la conexión al usuario el cual volvería a navegar con normalidad.”
Un ataque exitoso donde podemos ver el texto de la clave utilizada por el usuario:
” email:victim@victim.com
password: crippledblackphoenix “
Una vez con el acceso legitimo dentro de la propia red el atacante podria desencadenar scripts, escaneos y descubrimiento de la red y de los equipos, busquedas de vulnerabilidades dentro del propio perimetro de la red pudiendo ex-friltrar información, infectar equipos, introducir backdoor de supervisión remotos, keylogger’s que permitirian a un atacante controlar la actividad de un usuario, etc…
¿Cómo podemos protegernos de estos ataques?
Este tipo de vector de ataque suelen pasar totalmente desapercibidas en el caso de ser ejecutado por un profesional , ya que, haría falta un sistema de deteccion y escaneo para detectarlas. Por ello, una vez más, recomendamos que siempre que nos conectemos a redes públicas o desconocidas, lo hagamos con las medidas de seguridad adecuadas, como, por ejemplo, utilizando una conexión VPN para conectarnos desde estas redes, acceder siempre y exclusivamente a páginas HTTPS y, además, evitar consultar los datos bancarios u otras páginas de información personal que fácilmente puedan ser monitorizadas por los ciberdelincuentes.
Visita mi perfil en linkedin para ver mas informacion relacionada con seguridad :
https://www.linkedin.com/in/luis-alberto-nieto/
Mantente informado, verifica tus fuentes y contribuye a un internet más seguro y confiable.
¡Comparte este artículo para aumentar la concienciación en materia de ciberseguridad!