Campaña de phishing con Gophish – Práctica.

Campaña de phishing con Gophish – Práctica.

1. Introducción.


Implementar y lanzar una campaña de concienciación sobre phishing es esencial en el mundo actual donde los ataques de phishing se han vuelto cada vez más sofisticados y frecuentes. Gophish es una herramienta de código abierto que permite a las organizaciones simular ataques de phishing de una manera controlada y segura para educar a los empleados sobre cómo identificar y manejar intentos de phishing. En los siguientes puntos se describe cómo realizar esto utilizando Gophish.


2. Montando la campaña de phishing con Gophish.


Para implementar una campaña de concienciación de phishing con Gophish se han llevado a cabo los siguientes pasos.

  1. Configuración del entorno: Instalamos Gophish en nuestra máquina atacante siguiendo las instrucciones de instalación proporcionadas por Gophish en su repositorio de GitHub https://github.com/gophish/gophish .
  2. Configuración de los correos electrónicos de phishing: Creamos una plantilla de correo electrónico que convincente y realista, adecuándose al objetivo. La campaña realizada ha sido de tipo “spear phishing”, es decir, un phishing dirigido de manera concienzuda a un objetivo directo, en este caso a cargos directivos de la empresa JAYMON SECURITY S.L. Para ello hemos personalizado el contenido del correo electrónico, incluyendo el asunto, el remitente y el cuerpo del mensaje, para que se ajuste al objetivo de tu campaña de concienciación.
  3. Configuración de los sitios de phishing: Creamos una página web falsa imitando el panel de acceso de administración de la página web de JAYMOSECURITY.COM. Una vez se introduzcan las credenciales de acceso serán capturadas por Gophish.
  4. Configuración de objetivos y grupos: Se definen los objetivos de la campaña de concienciación, que pueden ser empleados de la empresa u organización. Creamos grupos de objetivos y asignamos las plantillas de correo electrónico y los sitios de phishing a cada grupo.
  5. Envío de correos electrónicos de phishing: A través de la creación de campaña con Gophish, éste se encarga de realizar el envio de  los correos electrónicos de phishing a los grupos de objetivos seleccionados.

En cuanto al registro y seguimiento de interacciones, veremos como Gophish registra y rastrea las interacciones de los destinatarios, como aperturas de correo electrónico, clics en enlaces y envío de información a través de los sitios de phishing. Esto permite al auditor obtener estadísticas y métricas para evaluar la efectividad de la campaña de concienciación.

Es importante destacar que después de la campaña de concienciación se deberán utilizar los resultados obtenidos para educar y concienciar a los participantes sobre los riesgos y las mejores prácticas para evitar el phishing. La campaña también servirá para proporcionar información útil sobre cómo detectar y evitar los ataques de phishing, y reforzar la importancia de la seguridad de la información.

Cabe destacar que a la hora de realizar una campaña de concienciación de phishing, deberemos tener en cuenta que para su implementación necesitaremos el consentimiento y la participación informada de los empleados u objetivos involucrados. Además, se deberá cumplir con las leyes y regulaciones de privacidad y protección de datos aplicables en tu jurisdicción.

Aclarados los puntos anteriores, damos paso al ejercicio práctico.


a) Configuración de la cuenta de correo electrónico.


A continuación, procedemos a configurar la cuenta de correo electrónico desde la que enviaremos el ataque phishing. En este caso simulamos haber obtenido acceso a una cuenta de soporte de la empresa objetivo (Jaymon Security) y será esta desde la que enviaremos los phishing.



b) Configuración de la página web trampa.


A continuación, procedemos a configurar la página web de phishing a la que será dirigida la víctima tras hacer click en el enlace trampa. Para ello hemos hecho uso de la opción “import site” que nos permite pasarle la URL de la web original, en este caso el panel de acceso de administración al WordPress de Jaymonsecurity.com.



Llegados a este punto, tenemos que configurar de manera manual la URL a la que la víctima deberá ser dirigida para aterrizar en la web trampa. Para ello vamos al contenidor de docker donde tenemos Gophish y apuntamos el puerto donde corre el servidor Web, en este caso el 8083 que hará un port forwarding al puerto 80 interno donde estará corriendo el servidor web que aloja la web trampa.



c) Configuración del correo de phishing.


Así pues, establecemos en el email trampa la URL donde deberá ser dirigida la víctima al pinchar en el enlace trampa. En este caso vamos a realizarlo de manera manual, lo cual conlleva algo más de trabajo que una simple importación de email. Más adelante también veremos esta segunda opción.



d) Montando el grupo víctima y lanzamiento de la campaña de phishing.


A continuación, creamos el grupo con los email de las víctimas de la campaña de phishing.



Una vez tengamos todo lo anterior configurado, procedemos a crear la campaña como sigue:



Tras accionar el botón “Launch Campaign”, Gophish realiza el envío de los emails a las víctimas establecidas en el grupo de la campaña.




En la imagen anterior vemos el ID “vEyQpze” asignado a la campaña. Este valor es importante porque va a ser ahí donde Gophish presente la web trampa. Es por ello que deberemos editar el link trampa como sigue:



e) Aterrizaje del correo de phishing.


Como vemos en la siguiente imagen, el correo electrónico del phishing ha llegado satisfactoriamente a su víctima, en este caso el CEO de la compañía con email [email protected].



Al ver el correo electrónico, la víctima ve lo siguiente:



Cuando la víctima pincha en el link “panel de administración”, es redireccionado a la web trampa. Se puede observar la URL http://localhost:8083/?rid=vEyQpze.



Tras pinchar el enlace, vemos cómo Gophish nos mantiene informado.



f) Robo de credenciales mediante phishing.


A continuación, la víctima introduce sus credenciales de acceso.



Tras accionar el botón de “Log In”, se realiza la redirección según se había establecido en Gophish.



Si vamos al panel de control de Gophish podemos observar que hemos obtenido las credenciales de acceso de la víctima.



Llegados a este punto ya podemos dar por finalizado el ejercicio. No obstante, en el siguiente punto se explica el funcionamiento de importación email en Gophish, ya que lo creo conveniente cara a entender la complejidad anteriormente descrita sobre el montaje de un email personalizado y manual.


3. Importando email de phishing en Gophish.


Para esta PoC vamos a obtener un email típico de publicidad. Para ello lo descargamos, y obtenemos el archivo con extensión “eml”, como se muestra a continuación.



Como podemos ver a continuación, en el archivo “eml” tenemos todas las cabeceras del mensaje exportado.



a) Importando el email.


Llegados a este punto, es tan sencillo como copiar todo el contenido del mensaje anterior y pegarlo en el campo de texto que nos brinda la opción de Gophish “import email”.



Automáticamente, Gophish reemplazará las URLs del mensaje por la URL donde brindará la web trampa. En este caso no es necesario ninguna acción manual por nuestra parte para averiguar la URL adecuada, al contrario que en el caso de la creación de un email manual.



b) Comprobación del email.


Como podemos ver a continuación, tras lanzar la campaña el email llega adecuadamente a la víctima.



Cuando la víctima pulse sobre el botón “Ver ofertas” será redirigida a la web trampa.



c) Comprobación de captura de credenciales.


Nuevamente, podemos observar cómo Gophish ha captura adecuadamente las credenciales de acceso de la víctima.



4. Conclusiones.


Como se ha podido observar, Gophish constituye una poderosa herramienta para llevar a cabo distintas campañas de concienciación mediante phishing para empresas.


En caso de necesitar una campaña de phishing o un curso de concienciación en ciberseguridad para sus empleados pueden contactarnos a través de nuestro formulario de contacto.


English

No puedes copiar el contenido