La campañas de phishing se usan y se siguen usando para el robo de credenciales, para infectar a los usuarios, para hacer campañas de click-fraud, en fin para diversos menesteres.
Hoy os traemos SPToolkit, un framework para ataques de phishing.


Para usarlo, nos bajamos el código de Github.
https://github.com/sptoolkit/sptoolkit/tree/master/spt

Necesitaremos un servidor con mysql, apache2, php5, y las extensiones de curl y ldap de PHP. Opcionalmente necesitaremos el paquete ZIP instalado.
Antes de instalar el framework, SPToolkit comprobará que lo tenemos todo instalado.


Previamente necesitaremos crear la base de datos, donde instalaremos el Framework SPT.
Una vez tengamos los datos, los proporcionamos en la instalación.


Instalamos la base de datos.


Aquí muestra que se va a instalar en la base de datos del framework, podemos ver cosas como las campañas, los objetivos etc…
Le damos a Continue
Tiene requerimientos de contraseña y no pueden haber espacios en el campo Last Name.
Ya hemos rellenado todos los campos que necesitábamos. Ahora recibiremos un mensaje de que hemos terminado el proceso.

Ahora que lo tenemos instalado, haremos login en la aplicación.


Como veis arriba. nos indica de que actualicemos el navegador.
Introducimos los datos de acceso y vamos por la aplicación.



Este es el aspecto que tiene la aplicación una vez iniciada.
Es muy simple y tendremos estadísticas nada mas entrar al panel.
No tendremos que hacerlo todo de zero. El framework ya tiene algunos templates custom para hacer campañas de phishing.


Vemos que hay diferentes opciones para los templates custom.
Vamos a editar uno para ver el aspecto que siguen.


Aquí tenemos un perfecto ejemplo de un correo de phishing.
Habría que editar algún template, además de añadir los valores del servidor de correo y los targets para iniciar la campaña de phishing.

Fuente: http://www.dragonjar.org/sptoolkit-una-campana-de-phishing-profesional-desde-tu-casa.xhtml