LUK
28-08-2013, 11:39
La campañas de phishing se usan y se siguen usando para el robo de credenciales, para infectar a los usuarios, para hacer campañas de click-fraud, en fin para diversos menesteres.
Hoy os traemos SPToolkit (https://github.com/sptoolkit/sptoolkit/tree/master/spt), un framework para ataques de phishing.
Para usarlo, nos bajamos el código de Github.
https://github.com/sptoolkit/sptoolkit/tree/master/spt (http://www.dragonjar.org/tag/spt)
Necesitaremos un servidor con mysql, apache2, php5, y las extensiones de curl y ldap de PHP. Opcionalmente necesitaremos el paquete ZIP instalado.
Antes de instalar el framework, SPToolkit comprobará que lo tenemos todo instalado.
http://www.dragonjar.org/wp-content/uploads/2013/08/sptoolkit.png
Previamente necesitaremos crear la base de datos, donde instalaremos el Framework SPT.
Una vez tengamos los datos, los proporcionamos en la instalación.
http://www.dragonjar.org/wp-content/uploads/2013/08/spt2.png
Instalamos la base de datos.
http://www.dragonjar.org/wp-content/uploads/2013/08/sp3.png
Aquí muestra que se va a instalar en la base de datos del framework, podemos ver cosas como las campañas, los objetivos etc…
Le damos a Continue
http://www.dragonjar.org/wp-content/uploads/2013/08/spt4.png
Tiene requerimientos de contraseña y no pueden haber espacios en el campo Last Name.
Ya hemos rellenado todos los campos que necesitábamos. Ahora recibiremos un mensaje de que hemos terminado el proceso.
http://www.dragonjar.org/wp-content/uploads/2013/08/spt5.png
Ahora que lo tenemos instalado, haremos login en la aplicación.
http://www.dragonjar.org/wp-content/uploads/2013/08/spt6-300x61.png
Como veis arriba. nos indica de que actualicemos el navegador.
Introducimos los datos de acceso y vamos por la aplicación.
http://www.dragonjar.org/wp-content/uploads/2013/08/spt7-300x135.png
Este es el aspecto que tiene la aplicación una vez iniciada.
Es muy simple y tendremos estadísticas nada mas entrar al panel.
No tendremos que hacerlo todo de zero. El framework ya tiene algunos templates custom para hacer campañas de phishing.
http://www.dragonjar.org/wp-content/uploads/2013/08/spt8-300x118.png
Vemos que hay diferentes opciones para los templates custom.
Vamos a editar uno para ver el aspecto que siguen.
http://www.dragonjar.org/wp-content/uploads/2013/08/spt9-300x158.png
Aquí tenemos un perfecto ejemplo de un correo de phishing.
Habría que editar algún template, además de añadir los valores del servidor de correo y los targets para iniciar la campaña de phishing.
Fuente: http://www.dragonjar.org/sptoolkit-una-campana-de-phishing-profesional-desde-tu-casa.xhtml
Hoy os traemos SPToolkit (https://github.com/sptoolkit/sptoolkit/tree/master/spt), un framework para ataques de phishing.
Para usarlo, nos bajamos el código de Github.
https://github.com/sptoolkit/sptoolkit/tree/master/spt (http://www.dragonjar.org/tag/spt)
Necesitaremos un servidor con mysql, apache2, php5, y las extensiones de curl y ldap de PHP. Opcionalmente necesitaremos el paquete ZIP instalado.
Antes de instalar el framework, SPToolkit comprobará que lo tenemos todo instalado.
http://www.dragonjar.org/wp-content/uploads/2013/08/sptoolkit.png
Previamente necesitaremos crear la base de datos, donde instalaremos el Framework SPT.
Una vez tengamos los datos, los proporcionamos en la instalación.
http://www.dragonjar.org/wp-content/uploads/2013/08/spt2.png
Instalamos la base de datos.
http://www.dragonjar.org/wp-content/uploads/2013/08/sp3.png
Aquí muestra que se va a instalar en la base de datos del framework, podemos ver cosas como las campañas, los objetivos etc…
Le damos a Continue
http://www.dragonjar.org/wp-content/uploads/2013/08/spt4.png
Tiene requerimientos de contraseña y no pueden haber espacios en el campo Last Name.
Ya hemos rellenado todos los campos que necesitábamos. Ahora recibiremos un mensaje de que hemos terminado el proceso.
http://www.dragonjar.org/wp-content/uploads/2013/08/spt5.png
Ahora que lo tenemos instalado, haremos login en la aplicación.
http://www.dragonjar.org/wp-content/uploads/2013/08/spt6-300x61.png
Como veis arriba. nos indica de que actualicemos el navegador.
Introducimos los datos de acceso y vamos por la aplicación.
http://www.dragonjar.org/wp-content/uploads/2013/08/spt7-300x135.png
Este es el aspecto que tiene la aplicación una vez iniciada.
Es muy simple y tendremos estadísticas nada mas entrar al panel.
No tendremos que hacerlo todo de zero. El framework ya tiene algunos templates custom para hacer campañas de phishing.
http://www.dragonjar.org/wp-content/uploads/2013/08/spt8-300x118.png
Vemos que hay diferentes opciones para los templates custom.
Vamos a editar uno para ver el aspecto que siguen.
http://www.dragonjar.org/wp-content/uploads/2013/08/spt9-300x158.png
Aquí tenemos un perfecto ejemplo de un correo de phishing.
Habría que editar algún template, además de añadir los valores del servidor de correo y los targets para iniciar la campaña de phishing.
Fuente: http://www.dragonjar.org/sptoolkit-una-campana-de-phishing-profesional-desde-tu-casa.xhtml