Asignatura Datos del alumno Fecha

Análisis de Apellidos:
Vulnerabilidades Nombre:

Realizar un ataque de Phishing

Introducción

En la siguiente actividad deberás de realizar un ataque de Ingeniería Social usando

técnicas de Phishing. Para ello se hará uso de dos herramientas:

▸ Social Engineer Toolkit (SET) y Metasploit Project, ambas herramientas se

encuentran incorporadas en la distribución Kali Linux.
▸ Kali Linux puede ser descargada en formato instalable (ISO) que puede ser
isado en una máquina virtual, o ya como máquina virtual (disponible para
VMwarde o Virtual Box). https://www.kali.org/downloads/
▸ Como sistema operativo del equipo a ser atacado se recomienda Windows,
versión 7 en adelante, éste puede ser descargado de DreamSpark.

Objetivos

▸ Utilizar herramientas que ayudan a la realización de un ataque de Ingeniería

Social. Éstas permiten la clonación de sitios Web y generación de archivos
ejecutables que establecen una comunicación hacia una dirección IP y
número de puerto específico, entre otras facilidades.
▸ Aprovechar las facilidades ofrecidas por SET para la obtención de credenciales
de los usuarios víctima.
© Universidad Internacional de La Rioja (UNIR)

▸ Hacer uso de una aplicación diseñada para establecer conexiones remotas

(Metasploit), y aprovechar sus funcionalidades para la obtención de
información del equipo víctima.

Actividades
 Asignatura Datos del alumno Fecha
Análisis de Apellidos:
Vulnerabilidades Nombre:

Descripción

▸ La actividad será desarrollada en dos partes: obtención de credenciales

haciendo uso de SET, y control de un equipo remoto utilizando las facilidades
ofrecidas en conjunto por SET y Metasploit.
▸ Nota. La actividad sugiere el uso de correo electrónico para el envío de la
información al equipo víctima, esto puede ser sustituido ingresando el URL
directamente en el navegador del equipo víctima (obtención de credenciales),
y copiando el archivo en alguna carpeta del equipo víctima parasu ejecución
(control del equipo remoto).

Obtención de credenciales

▸ Entre las opciones de SET se tiene una destinada a la obtención de credenciales

(Credential Harvester Attack Method).
▸ Como sitio a ser usado para la obtención de credenciales se utilizará el de
Facebook (www.facebook.com).
▸ La idea es enviar un correo electrónico a una víctima con la URL de enlaceal
equipo atacante. Tanto la URL como el contenido del correo, deberán
ser adecuados para que sean creíbles por la víctima. Para ello se sugiere utilizar
TinyURL (https://tinyurl.com/).
▸ Como resultado se debe obtener evidencia de la captura de credenciales
utilizadas en la máquina víctima al establecer una sesión con Facebook a través
del equipo atacante.
© Universidad Internacional de La Rioja (UNIR)

Actividades
 Asignatura Datos del alumno Fecha
Análisis de Apellidos:
Vulnerabilidades Nombre:

Control del equipo remoto

▸ SET permite la generación de archivos ejecutables, que al ser lanzados en el

equipo víctima establecen una comunicación hacia una dirección IP y número
de puerto determinado. Por su parte Metasploit es una aplicación que permite
poner un número de puerto a la escucha y establecer una comunicación con
un equipo víctima.
▸ En este caso se pretende generar un archivo maligno que será enviado a la
víctima vía correo electrónico. Igual que el caso anterior, deberá ser
confeccionado de tal forma que sea creíble e invite a la víctima a ejecutar su
contenido.
▸ Para la generación del archivo maligno se hará uso de la opción de
Create a Payload and Listener.
▸ Nota, el archivo generado por Metasploit es considerado como maligno por las
aplicaciones antivirus, por lo que se deberán tomar las medidas necesarias
para su envío y ejecución.
▸ La información mínima para obtener del equipo víctima es la siguiente:
información del sistema, SID, nombre del usuario actual y listado del directorio
actual.

Requerimientos para la documentación de la actividad

▸ Para que puedan ser evaluadas las acciones solicitadas en la actividad,

se deberá presentarse evidencia (impresión de pantalla o fotos) de la
realización de todo el proceso, en especial aquellas pantallas que muestrenlo
© Universidad Internacional de La Rioja (UNIR)

descrito en los criterios definidos en la rúbrica de la actividad.

▸ La impresión de pantallas o fotos deberán mostrar la fecha y hora en que fueron
realzadas las actividades, mostrando estos datos dentro de la imagen, se
deberá incluir también información relativa al alumno (iniciales, nombre …).

Actividades
 Asignatura Datos del alumno Fecha
Análisis de Apellidos:
Vulnerabilidades Nombre:

Si esta información no aparece dentro de las imágenes, no será tomada como

evidencia de ejecución.

Extensión máxima: 15 páginas (Georgia 11 e interlineado 1,5).

© Universidad Internacional de La Rioja (UNIR)

Actividades
 Asignatura Datos del alumno Fecha
Análisis de Apellidos:
Vulnerabilidades Nombre:

Rúbrica

Realización de Puntuación
Peso
un ataque de Descripción máxima
%
Phishing (puntos)
Generación del sitio clonado para la obtención
Criterio 1 2 20%
de credenciales (SET)
Generación del URL compacto para la
Criterio 2 obtención de credenciales (TinyURL o 0.5 5%
equivalente)

Evidencia de captura de credenciales en el

Criterio 3 1.5 15%
equipo atacante

Generación del archivo maligno a ser enviado

Criterio 4 2 20%
al equipo víctima (SET)

Ejecución del archivo maligno en el equipo

Criterio 5 víctima y establecimiento de la sesión con el 2 20%
equipo atacante

Obtención de la información del equipo víctima

Criterio 6 2 20%
usando las funcionalidades de Metasploit

10 100 %
© Universidad Internacional de La Rioja (UNIR)

Actividades