Herramienta Social Engineer Toolkit
Zulma Maritza Mesa Rivera
Fabio Andres Cardenas Guio
Redes y Seguridad
Ingeniería De Sistemas
Duitama,2019
1
�Herramienta Social Engineer Toolkit
Zulma Maritza Mesa Rivera
Fabio Andres Cardenas Guio
Trabajo Presentado A:
Ing. Sonia Garzón
Redes y Seguridad
Ingeniería De Sistemas
Duitama,2019
2
� TABLA DE CONTENIDO
Pág.
Introducción ………………………………………………………………………….…..4
Objetivos ………………………………………………………………………….………5
- General…………………………………………………………………………….5
- Específicos………………………………………………………………………..5
Formulación Del Problema……………………………………………………………..6
- Identificación Del Problema……………………………………………………6
Documentación…………………………………………………………………………..7
- Kali Linux………………………………………………………………………….7
- Social-Engineering Toolkit……………………………………………………..8
- Ingeniería Social………………………………………………………………..10
- Como defenderse……………………………………………………….....10
Vulnerabilidades………………………………………………………………………..12
Recomendaciones……………………………………………………………………...13
Impacto………….………………………………………………………………………..14
- Tecnológico……………………………………………………………………..14
- social………………………………………….…………………………………..14
Descripción Del Proyecto……………………………………………………………..15
Paso a Paso Del Proyecto ……………………………………………………………16
Conclusiones ………………………………………………………………………......23
Infografía ………………………………………………………………………………...24
3
� INTRODUCCION
Actualmente la informática hace parte importante de nuestras vidas, tanto en
entornos personales, familiares y empresariales, como también en prácticamente
todo lo que hacemos y más con la invención de la ingeniería de las cosas, esto es
ayudado por el fácil acceso a todas las tecnologías a un bajo presupuesto, la gran
mayoría son gratuitas presentan problemas que para un ingeniero de sistemas son
un gran desafío.
Desde que la informática y la tecnología invadieron a todo el mundo, el hombre ha
presentado la necesidad de salvar y guardar su información y mantener su
privacidad a salvo, mediante los diferentes tipos de herramientas que han
evolucionado con el paso del tiempo, siempre se ha tratado de tener un buen
ambiente para que los usuarios de estas tecnologías tengan la confianza necesaria
para vivir y trabajar en un lugar seguro, sin que las amenazas latentes pongan en
riesgo su integridad física, personal y su tranquilidad; sin embargo estas formas de
protección y defensa siempre son vulneradas y los mecanismos de ataque son
perfeccionadas por delincuentes (hackers/crackers) que perfeccionan su accionar
con el paso de los años y en la medida de los avances tecnológicos.
Es por esta razón, que a través de este trabajo de investigación vamos a explicar
mediante el hacking ético, como acceder a las vulnerabilidades que se presentan
en un diario vivir informático, que tipo de recomendaciones se darán para este caso
y las herramientas para tener una buena protección.
4
� OBJETIVO GENERAL
Realizar un ataque informático, por medio de Kali Linux para la determinación
de las diferentes vulnerabilidades que se presentan en diferentes medios de
tecnología.
OBJETIVOS ESPECIFICOS
Dar recomendaciones para que el sitio web no sea tan vulnerable.
Identificar el ataque informático, con una de las herramientas que
proporciona KALI LINUX
5
� IDENTIFICACION DEL PROBLEMA
Dar a conocer que la sociedad se encuentra muy vulnerable hacia diferentes
ataques informáticos en redes sociales como lo son Facebook, Twitter, Instagram y
correos electrónicos. Uno de los factores más peligrosos, es la creciente tendencia
por parte de los usuarios, principalmente los más jóvenes, a colocar información
personal y sensible en forma constante y sin ninguna precaución.
Se ve la necesidad de darles a entender a las personas, como nos pueden abstraer
nuestra información en segundos. Húrtanos nuestras contraseñas es una manera
muy fácil para un (Hacker, Crackear) y hasta para una persona adicta a la
informática.
6
� KALI LINUX
Es una distribución basada en Debian GNU/Linux diseñada principalmente para la
auditoría y seguridad informática en general. Fue fundada y es mantenida por
Ofensiva Security Ltd. Mati Aharoni y Devon Kearns, ambos pertenecientes al
equipo de Offensive Security, desarrollaron la distribución a partir de la reescritura
de BackTrack, que se podría denominar como la antecesora de Kali Linux.
Kali Linux trae preinstalados más de 600 programas incluyendo Nmap (un escáner
de puertos), Wireshark (un sniffer), John the Ripper (un crackeador de passwords)
y la suite Aircrack-ng (software para pruebas de seguridad en redes inalámbricas).
Kali puede ser usado desde un Live CD live-usb y también puede ser instalada como
sistema operativo principal.
Kali es desarrollado en un entorno seguro; el equipo de Kali está compuesto por un
grupo pequeño de personas de confianza quienes son los que tienen permitido
modificar paquetes e interactuar con los repositorios oficiales. Todos los paquetes
de Kali están firmados por cada desarrollador que lo compiló y publicó. A su vez, los
encargados de mantener los repositorios también firman posteriormente los
paquetes utilizando GNU Privacy Guard.
7
� HERRAMIENTA SET
Social-Engineering Toolkit
Social-Engineer Toolkit (SET) es un framework de código abierto para realizar
pentesting de sistemas y redes, enfocado específicamente en ataques de ingeniería
social para conseguir su objetivo.
SET tiene una serie de herramientas para realizar ataques personalizados que nos
permitirán realizar un ataque de manera rápida y efectiva. Esta herramienta ha sido
desarrollada por la firma de seguridad TrustedSec y está disponible de manera libre
para todos nosotros. Esta herramienta fue creada por David Kennedy (ReL1K), el
mismo creador de otra herramienta muy popular llamada Fast-Track, que también
es una herramienta que automatiza algunos ataques más comunes y más usados
en las pruebas de penetración (penetration test) mediante algunos scripts hechos
en Python.
8
�Algunos de los ataques de ingeniería social que incorpora este framework son por
ejemplo el Spear-Phishing, un ataque de ingeniería social a través del correo
electrónico de la víctima con el objetivo de conseguir información confidencial e
incluso acceso al propio sistema.
Otros ataques que incorpora la herramienta son utilizando los Applets de Java, el
“Full Screen Attack” que sirve para engañar a la víctima de que hemos visitado una
web a pantalla completa, también incorpora “Credential Harvester” que consiste en
obtener credenciales de usuarios por diferentes métodos. Este framework SET
también utiliza para algunos de sus ataques el conocido framework Metasploit para
pentesting.
9
� INGENIERÍA SOCIAL
¿QUÉ ES LA INGENIERÍA SOCIAL?
La Ingeniería Social es el acto de manipular a una persona a través de técnicas
psicológicas y habilidades sociales para cumplir metas específicas.
Éstas contemplan entre otras cosas: la obtención de información, el acceso a un
sistema o la ejecución de una actividad más elaborada (como el robo de un activo),
pudiendo ser o no del interés de la persona objetivo.
La Ingeniería Social se sustenta en un sencillo principio: “el usuario es el eslabón
más débil”. Dado que no hay un solo sistema en el mundo que no dependa de un
ser humano, la Ingeniería Social es una vulnerabilidad universal e independiente de
la plataforma tecnológica.
A menudo, se escucha entre los expertos de seguridad que la única computadora
segura es la que esté desenchufada, a lo que, los amantes de la Ingeniería Social
suelen responder que siempre habrá oportunidad de convencer a alguien de
enchufarla
La Ingeniería Social es un arte que pocos desarrollan debido a que no todas las
personas tienen “habilidades sociales”. Aun así, hay individuos que desde pequeños
han demostrado tener la aptitud y con un poco de entrenamiento convertirla en el
camino ideal para realizar acciones maliciosas. Por ejemplo, hay crackers que en
vez de perder horas rompiendo una contraseña, prefieren conseguirla preguntando
por teléfono a un empleado de soporte técnico.
¿CÓMO DEFENDERSE CONTRA LA INGENIERÍA SOCIAL?
La mejor manera de enfrentar el problema, es concientizar a las personas al
respecto. Educarles sobre seguridad y fomentar la adopción de medidas
preventivas. Otros mecanismos sugeridos son:
Nunca divulgar información sensible con desconocidos o en lugares
públicos (como redes sociales, anuncios, páginas web, etc.).
10
� Si se sospecha que alguien intenta realizar un engaño, hay que exigir se
identifique y tratar de revertir la situación intentando obtener la mayor
cantidad de información del sospechoso.
Implementar un conjunto de políticas de seguridad en la organización que
minimice las acciones de riesgo.
Efectuar controles de seguridad física para reducir el peligro inherente a las
personas.
Realizar rutinariamente auditorías usando Ingeniería Social para detectar
huecos de seguridad de esta naturaleza.
Llevar a cabo programas de concientización sobre la seguridad de la
información.
11
� VULNERABILIDADES
Cada día se crean cientos de nuevas amenazas que se enfocan en pasar
desapercibidas por los antivirus tradicionales.
Al ser PowerShell una herramienta del sistema, los atacantes la usan mediante
scripts, para acceder a esta información y crear un malware.
Ataque de canal lateral de ejecución especulativa realizada con PowerShell
que afectan a muchos procesadores, incluidos Intel, AMD y ARM. Este
problema también afecta a otros sistemas operativos, como Android, iOS y
MacOS.
12
� RECOMENDACIONES
Hacer una ingeniería social para comprobar cómo está la seguridad de una
determinada empresa
Realizar todas las actualizaciones disponibles del sistema operativo
Windows, incluidas las actualizaciones de seguridad de Windows
mensuales.
Aplique la actualización del firmware correspondiente que proporciona el
fabricante del dispositivo constantemente
Bloquear los ordenadores de los usuarios constantemente
Hacer copias de seguridad de la información constantemente
13
� IMPACTO
SOCIAL:
Tiene un gran impacto en la sociedad, ya que la tecnología cada vez avanza más y
más, por lo tanto, queremos dar a conocer las diferentes amenazas que nos rodean
TECNOLOGICO:
Es una gran herramienta que nos permite generar una ingeniería social
demostrándonos lo frágil que es nuestra información personal
14
� DESCRIPCION DEL PROYECTO
Crear un ataque tecnológico por medio de un programa informatico llamado Kali
Linux, en base en una herramienta llamada Social Enginner Toolkit (SET), con la
cual veremos información del equipo atacado, como nombre de usuario, sistemas
operativo entre otros
Se va a extraer información oculta dentro del sistema de un equipo o PC, con esta
información crear un archivo ejecutable.
15
� PASO A PASO DEL PROYECTO
1. Abrir VirtualBox y correrlo
2. Escribir nuestro usuario y contraseña para iniciar sesión
16
�3. Nos dirigimos a Archivo, Social Engineering Tools, y damos
click en la herramienta Set
4. Escribimos la opción numero 1 Social-Engineering
Attacks(Ataque de ingeniería Social)
17
�5. Seleccionamos la opción numero 9 Powershell Attack Vectors
6. Opcion numero 1 Powershell Alphanumeric Shellcode Injector
18
�7. Abrimos otra terminal escribimos ifconfig y copiamos la IP
8. Copiamos la Ip en nuestro otra terminal
19
�9. Esperamos unos segundos a que nos aparezca una ruta
abrimos otra terminal y la pegamos
10. Después vamos a pasar el powershell al escritorio, copiando la
dirección en la que esta y diciendo que la ruta del escritorio
20
�11. Como podemos ver se nos descarga el powershell
12. A continuación, le cambiaremos el .txt por el .bat para volver
ejecutable
21
�13. Pasamos el ejecutable a la memoria para poderlo ejecutar en el
pc
14. Después traspasamos el ejecutable al pc y lo dejamos en
escritorio (para este paso toca desactivar el antivirus)
22
�15. Ejecutamos el PowerShell para darle inicio al ataque
16. En Kali Linux nos aparece que alguien ya ejecuto el programa
23
�17. Después para ver los datos de la computadora escribiremos
Sessions -i y el numero de la sesión abierta
18. A continuación, escribiremos sysin e inmediatamente después
escribimos sysinfo
24
�19. Sale la información del computador
25
� CONCLUSIONES
Hemos visto las diferentes vulnerabilidades que se obtienen al no estar bien
capacitados en cuanto a algunas herramientas propias del sistemas de un
equipo de computo
Con este trabajo de investigación se logró dar recomendaciones para
proteger la información de un usuario y su equipo o PC y se dieron a conocer
algunas herramientas para no tener inconvenientes a la hora de un ataque
informático.
Hacer un hacking ético, nos sirve tanto para protegernos nosotros mismos
de ataques maliciosos, como para proteger empresas, comunidades grandes
y en general.
26
�INFOGRAFIA
27
�28
