Investigación: Ataques de phishing en Hotspots basados en DNS

Publicado por D3M0N, 09 de Septiembre de 2012, 06:48:08 PM

Tema anterior - Siguiente tema

0 Miembros y 3 Visitantes están viendo este tema.

D3M0N


Introducción: Este documento ofrece una breve visión práctica sobre cómo llevar a cabo un ataque de phishing basado en DNS públicos en Wi-Fi para engañar a los usuarios compartir su información personal, como contraseñas, detalles de tarjetas de crédito, etc.

Primera Parte:

Hotspot: Un Hotspot es un sitio que ofrece acceso a Internet sobre una red de área local inalámbrica mediante el uso de un encaminador conectado a un enlace a un proveedor de servicios de Internet. Los Hotspots suelen utilizar la tecnología Wi-Fi.

Hotspots se pueden encontrar en cafeterías, aeropuertos y varios otros establecimientos públicos en muchas áreas urbanas desarrolladas en todo el mundo

Rogue Access Point /Evil Twin: Evil Twin es un término para un punto de acceso Wi-Fi pícaro que parece ser un legítimo en el edificio, pero en realidad ha sido creado por un hacker para espiar las comunicaciones inalámbricas entre los internautas.

DNS: Los servidores DNS son computadoras encargadas de resolver nombres de Internet (facebook.com) en sus direcciones IP reales. La vulnerabilidad de los servidores DNS de Internet para redirigir nombres, distintas direcciones IP o los servidores (servidores falsos o phishing).

Phishing: El phishing es un intento de adquirir fraudulentamente información criminal y confidencial, como nombres de usuario, contraseñas y detalles de tarjetas de crédito, al aparecer como una entidad de confianza en una comunicación electrónica. Los bancos en línea eBay, PayPal y otros son blancos comunes.

DNS- based phishing in hotspots (Ataques de phishing en Hotspots basados en DNS):

En este ataque, el atacante crea inicialmente un punto de acceso dudoso y atrae al cliente para conectarse al punto de acceso en el que corra un falso servidor DNS. Este servidor redirige a sitios particulares servidor phishing del atacante. (IMAGEN PRINCIPAL)

Segunda Parte (Requerimientos Previos al Ataque):

Los siguientes son los prerrequisitos para llevar a cabo el ataque:

Tarjeta inalámbrica: Para crear un punto de acceso suave, la tarjeta debe ser compatible con el modo monitor y debe ser capaz de inyectar paquetes arbitrarios en el aire. Pueden utilizar cualquier placa por ejemplo la Alfa Network AWUS036H que es compatible con Back|Track y cualquier otra distribución.

Sistema Operativo para el Ataque: Puedes usar cualquier distribución de Linux con Aircrack-ng suite de herramientas instaladas. Yo uso Ubuntu 11.10 con todas las herramientas pre-instaladas.

Servidor Falso de DNS: Para redirigir sitios web a nuestro servidor donde se alojan las páginas de phishing. Yo uso un Metasploit auxiliares módulo "FakeDNS" a las cosas de ajuste con facilidad.

Phishing Servidor: Un servidor común que alberga mi página de phishing falso y también los registros o registros de todas las credenciales introducidas por la víctima.

Tercera Parte (El Ataque):

El primer paso es poner la tarjeta wireless en modo monitor para monitorear el aire para encontrar puntos de acceso, el modo monitor es similar a un modo promiscuo en LAN (red de área local). Para ello se utiliza una herramienta llamada airmon-ng:

por lo general se utiliza el comando:
Código: php
Airmon-ng start wlan0



Una nueva interfaz de monitor mon0 será creado como se muestra en la imagen de arriba.

Ahora, para controlar el tráfico a su alrededor se utiliza una herramienta llamada airodump-ng

por lo general se utiliza el comando:
Código: php
Airodunp-ng mon0



De lo anterior pic veo un punto llamado freenet y también veo a un cliente conectado a la misma.

Antes de seguir adelante podemos configurar nuestro servidor dhcp para permitir la creación de redes:


Nota: Servidor DNS está configurado para mi ip local propio donde corro el falso servidor DNS o el módulo de Metasploit auxiliar DNS falsos.

Creando el Rouge Access Point (Fake Ap) :

Ahora vamos a tener que crear un punto de acceso falso llamado freenet y que el cliente se conecte nuestro punto de acceso en lugar de la legítima. Para ello, en primer lugar crear un soft-AP usando herramienta llamada Airbase-ng

por lo general se utiliza el comando:
Código: php
airbase-ng -e freenet mon0



Nota: una interfaz tap at0 se crea como se muestra en la imagen de arriba, se asignará una dirección IP para más tarde.

Creando el Servidor de DNS Falso:

utilizar Metasploit FakeDNS módulos auxiliares para configurar mi servidor fakeDns que lo que hará es redirigir los sitios que figuran en el "dominio de destino" (Facebook se establece como un ejemplo para nuestro estudio) a mi servidor donde estoy alojar mi página falsa o suplantación de identidad página.


Ahora se le asigna una dirección IP para nuestra interfaz "at0" y llevarlo hasta:


Creando al cliente que se conectara a nuestro Fake-AP:

Ahora desconecte el cliente desde el Ap legítimo mediante el envío de De-auth inundación (de-auth paquetes) a la legítima AP. Podemos lograr esto mediante el uso de cualquiera de aireplay-ng o MDK3.

yo utilice Aireplay-ng:


Una vez hecho esto, el cliente se desconecta del punto de acceso legítimo y se conectan con el falso punto de acceso sin que él lo sepa. Podemos verificar esta conexión mirando la salida en airbase-ng pestaña como se muestra:


Ahora, cuando la víctima intenta navegar a Facebook lo hace por mi falso servidor DNS redirige a la víctima a mi servidor de phishing donde alojo mi phisher y el resto del ataque es el mismo que en el ataque de phishing normal.


La imagen de arriba muestra a la víctima ver mi phisher (página falsa) que se parece a uno legítimo entra en sus credenciales y trata de ingresar, pero se le redirige a una página diferente, destinado por el atacante.


Mientras tanto, las credenciales de la víctima está en el sistema (registrado) como se muestra a continuación.


y así obtenemos las credenciales de Facebook de las victimas. El atacante puede crear su propia página de phishing para diversos sitios de redes sociales. Así, este ataque es muy letal cuando se realiza en un punto de acceso público, como aeropuertos y cafeterías.


ZeroBits

Mas claro echale agua. Excelente Demon muy buena data! todo vale aprender!