2. 1
Whoami / SPAM
Alejandro Quesada
Auditor senior de ciber seguridad
Varios años de experiencia en ciber
Diversas certis
Contacto:
https://www.linkedin.com/in/aquesadav/
https://www.mypublicinbox.com/AlejandroQuesada
Telegram: @tankinus
https://www.youtube.com/@LodelosHackers
https://twitter.com/hackersumh
3. 1
Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de
septiembre, de seguridad de las redes y sistemas de información
https://www.boe.es/buscar/act.php?id=BOE-A-2021-1192
4. 1
Motivación de esta charla de esta charla
• Nos puede ayudar a la hora de realizar un phishing para un ejercicio de red team o pentest.
https://attack.mitre.org/matrices/enterprise/
5. Motivación de esta charla de esta charla
• Nivel de concienciación bajo en todas muchas empresas en todo el mundo.
• Típicos perfiles que nos encontramos en cualquier empresa en España y que la
ciber seguridad le suena a película de Hollywood
Becari@s Chonis Cuñaos Pre jubilados
Canis
https://www.bing.com/images/create/
6. 1
Un día tonto lo tiene cualquiera
¿En vuestras empresas
/organizaciones realizan ejercicios
de concienciación de manera
recurrente para entrenar a la gente?
8. 1
Pasos a seguir para realizar un buen phishing (de manera ofensiva o para concienciar)
• ¿Cuál es el target? Empresa/Organización/Personas
• Recolección de información mediante OSINT y otros recursos
• Compra de dominio
• Registros DNS
• Infraestructura servidor/servidores
• Plantilla de correo y landing page
• Lanzamiento de campaña de phishing
• Análisis de resultados
• Red flags / Buenas prácticas
• Indicador de trick/consejo
9. 1
Pasos a seguir para realizar un buen phishing (de manera ofensiva o para concienciar)
• ¿Cuál es el target? Empresa/Organización/Personas
10. 1
• ¿Cuál es el target? Empresa/Organización/Personas
Fuente:
https://twitter.com/elhackernet
12. 1
Pasos a seguir para realizar un buen phishing (de manera ofensiva o para concienciar)
• ¿Cuál es el target? Empresa/Organización/Personas
• Recolección de información mediante OSINT y otras herramientas
13. 1
Pasos a seguir para realizar un buen phishing (de manera ofensiva o para concienciar)
• ¿Cuál es el target? Empresa/Organización/Personas
• Metodologías no standars para recolección de información
https://inteltechniques.com/links.html
15. 1
Recolección de información mediante OSINT y otras herramientas
• Obtención de mails y subdominios
https://github.com/laramies/theHarvester/
Realizar búsquedas DNS de
manera pasiva para no
hacer ruido con el target
17. 1
Recolección de información mediante OSINT y otras herramientas
• Subdominios de manera pasiva
https://driftnet.io/
18. 1
https://crt.sh/
Recolección de información mediante OSINT y otras herramientas
• Subdominios con certificado valido y certificados caducados
Los subdominios que no
estén siendo utilizados nos
pueden servir como
pretexto o comprar un
dominio similar
20. 1
Recolección de información mediante OSINT y otras herramientas
• Obtención de mails a través de Linkedin
https://skrapp.io/
Los emails en ocasiones
son predecibles y no
pueden ser los reales
21. 1
Recolección de información mediante OSINT y otras herramientas
• La aplicación nos genera un bonito xls con la información pública recopilada que
usaremos para cargar la lista de contacto.
https://skrapp.io/
22. 1
Recolección de información mediante OSINT y otras herramientas
• Obtención de mails y otros datos de brechas de seguridad
https://www.dehashed.com/
Para un ejercicio de red
team, cualquier fuente de
datos (aunque sea
pagando) es buena
Los mails que tengan
mayor número de entradas
tienen más probabilidad
de ser víctima para un
spear phishing
23. 1
Recolección de información mediante OSINT y otras herramientas
• Foros underground con venta de información de base de datos
https://breachforums.is/Forum-Databases
24. 1
Recolección de información mediante OSINT y otras herramientas
• Grupos de Telegram con información de usuarios y contraseñas
Grupos de Telegram
Prefiero pagar por
servicios online que no
almacenar gigas y gigas
con datos random de
usuarios
25. 1
Recolección de información mediante OSINT y otras herramientas
• Si es un ejercicio de concienciación la organización nos proporcionara un listado con
todas las personas que participaran en el ejercicio
Si es posible, que el listado
sea actual y con correos
activos para evitar
bloqueos o saturación por
reintento de entrega en el
servidor.
26. 1
Pasos a seguir para realizar un buen phishing (de manera ofensiva o para concienciar)
• ¿Cuál es el target? Empresa/Organización/Personas
• Recolección de información mediante OSINT y otras herramientas
• Compra de dominio
27. 1
• Compra de dominio
• Las grandes empresas tienen monitorizados los dominios que contengan algún termino o palabra que sea igual o similar
Es mejor generar un
subdominio con el nombre
de la empresa o servicio
que utilicen, que realizar
Typosquatting para
ejercicios ofensivos.
Para ejercicios de
concienciación se suelen
comprar dominios con
nombres similares
https://www.immuniweb.com/
28. 1
• Compra de dominio
• Las grandes empresas tienen monitorizados los dominios que contengan algún termino o palabra que sea igual o similar
Intentaremos buscar un
nombre que tenga relación
con algún servicio,
promoción/publicidad en
curso, o noticia actual con
la empresa.
29. 1
• Compra de dominio
• Dominios .zip
Podemos hacer la descarga
automática de un archivo
con contenido malicioso
cuando sea visitada la URL.
30. 1
• Compra de dominio
• Dominios NRD (Newly Registered Domains)
Intentaremos dejar que
madure el dominio por lo
menos más de un mes y a
ser posible .com
https://openphish.com/
31. 1
Pasos a seguir para realizar un buen phishing (de manera ofensiva o
para concienciar)
• ¿Cuál es el target? Empresa/Organización/Personas
• Recolección de información mediante OSINT y otras herramientas
• Compra de dominio
• Registros DNS
32. 1
• Registros DNS
Registros imprescindibles
• Registro A
• Registro TXT
• Registro SPF
• Registro DMARC
• Registro DKIM
33. 1
• Registros DNS
Registros imprescindibles
• Registro A
• Registro TXT
• Registro SPF
• Registro DMARC
• Registro DKIM
34. 1
• Registros DNS
Registro opcional: reclamar la propiedad del registro
https://search.google.com/search-console/welcome?hl=es
Añade algo más de
veracidad ¿?
con un registro TXT que
nos proporciona Google y
lo incluimos en nuestro
dominio
35. 1
Pasos a seguir para realizar un buen phishing (de manera ofensiva o para concienciar)
• ¿Cuál es el target? Empresa/Organización/Personas
• Recolección de información mediante OSINT y otras herramientas
• Compra de dominio
• Registros DNS
• Infraestructura hosting/servidor/servidores
36. 1
Infraestructura servidor/servidores
• Los grandes operadores tienen buena reputación a nivel de IP pero ofrecen su servicio de phishing o te pueden dar
el toque si detectan comportamientos maliciosos.
https://learn.microsoft.com/es-es/microsoft-
365/security/office-365-security/attack-simulation-training-
simulations?view=o365-worldwide
37. 1
Infraestructura servidor/servidores
• Los grandes operadores tienen buena reputación a nivel de IP pero ofrecen su servicio de phishing o te pueden dar
el toque si detectan comportamientos maliciosos.
40. 1
Infraestructura servidor/servidores
Una vez que tenemos el servidor, será necesario instalar los recursos que vamos a necesitar
para nuestra máquina de phishing:
Servidor web: Nginx/Apache
Servidor de correo: Postfix
Let’s Encrypt certbot para certificados SSL
Herramientas necesarias para los registros DNS SPF,DKIM y DMARC
Plataforma para lanzar campaña de phishing: Gophish, Evil Gophish, Evilginx2,…
Fortificar/Asegurar nuestro/s server: UFW, Fail2ban, etc…
Podemos utilizar un servidor
para Gophish y otro para el
envío de correos para evitar
posibles baneos, proxies, etc
41. 1
Infraestructura servidor/servidores
Gophish nos permite mejorar ciertas features de seguridad como son:
• Encabezados de correo electrónico modificados enviados de forma predeterminada para no incluir la
palabra “GoPhish.”
• Modificar el nombre del servidor enviado en el navegador y con correos electrónicos al valor “IGNORE”
• Cambiar nuestra página 404.html para ser un poco más compleja y más difícil de tomar de huellas digitales
• Cambiar las cabeceras del servidor web para que parezcan reales en lugar de los simples valores
predeterminados incluidos con GoPhish
• Cambió el parámetro de seguimiento incluido en los enlaces de phishing para rastrear los clics del usuario
Hay un Docker con estas
características ya
implementadas
https://www.sprocketsecurity.com/resources/never-had-a-bad-
day-phishing-how-to-set-up-gophish-to-evade-security-controls
https://phish.acme.com/rid?=12345
https://phish.acme.com/?keyname=12345
42. 1
Pasos a seguir para realizar un buen phishing (de manera ofensiva o para concienciar)
• ¿Cuál es el target? Empresa/Organización/Personas
• Recolección de información mediante OSINT y otras herramientas
• Compra de dominio
• Registros DNS
• Infraestructura servidor/servidores
• Plantilla de correo y landing page
43. 1
Lista de usuarios Gophish
Intentamos obtener por lo
menos nombre y primer
apellido
https://docs.getgophish.com/user-guide/template-reference
Gophish dispone de unas variables que permite utilizar para personalizar los correos a cada usuario de manera única
44. 1
Plantilla de correo y landing page
Utilizar la misma firma del
correo que los utilizados
por la organización
Necesitamos un pretexto que encaje con el target/organización
Pretextos de lo más variopinto para la plantilla de correo:
Problemas de carácter técnico.
Recientes detecciones de fraude y urgente incremento del nivel de seguridad.
Nuevas recomendaciones de seguridad para prevención del fraude.
Cambios en la política de seguridad de la entidad.
Promoción de nuevos productos.
Premios, regalos o ingresos económicos inesperados.
Accesos o usos anómalos a tu cuenta.
Inminente desactivación del servicio.
Falsas ofertas de empleo. Podemos ofuscar las
imágenes de la firma en
base64 o dejar la firma sin
imágenes solo con el texto
plano
45. 1
Plantilla de correo
Intentamos obtener un
correo original o lo más
fidedigno posible para
nuestra plantilla
Podemos importar un
email en html y editarlo
a nuestro antojo
Podemos incluir una
baliza/malware que se
descargue
automáticamente y
añadir un pixel de
tracking para
monitorizar las acciones
de los usuarios.
46. 1
Landing page
Existen plantillas de los
principales portales de
login de diferentes
servicios
Podemos importar una
Web y editarla
a nuestro antojo
Podemos capturar las
acciones de los usuarios,
así como capturar los
password.
Podemos realizar una
redirección al portal
legitimo
47. 1
Perfil de envío de correo
El origen del correo será un nombre creíble o similar a los que
usen en la organización.
48. 1
Plantilla de correo y landing page
• ¡Vale, ahora lo lanzamos y a esperar que caigan todos los usuarios!
• ¡ERROR! Si hacemos esta técnica, puede valer para un ejercicio de concienciación,
pero seguramente para un spear phishing sea bloqueado o tengamos un menor índice de exito!
• Para ejercicios de red team, intentaremos buscar targets que no estén tan monitorizados como Azure AD, O365, AWS,...
• Hay más posibilidades de que un usuario ejecute una baliza (malware) que nos de acceso a una cuenta con MFA.
49. 1
Medidas anti phishing que nos podemos encontrar
https://learn.microsoft.com/es-
es/microsoft-365/security/office-365-
security/anti-phishing-protection-
about?view=o365-worldwide
chrome://settings/Security
50. 1
Medidas anti phishing que nos podemos encontrar
• Detección de clonado de webs
https://canarytokens.org/generate#
51. 1
Pasos a seguir para realizar un buen phishing (de manera ofensiva o para concienciar)
• ¿Cuál es el target? Empresa/Organización/Personas
• Recolección de información mediante OSINT y otras herramientas
• Compra de dominio
• Registros DNS
• Infraestructura servidor/servidores
• Plantilla de correo y landing page
• Lanzamiento de campaña de phishing
52. 1
Antes del lanzamiento de campaña de phishing
Realizar las pruebas
necesarias con el soporte
de la organización y abrir
el correo desde diferentes
navegadores
Para ejercicios de concienciación, jugamos con todas las cartas posibles, así que pediremos:
• Dominio en lista blanca.
• IP del servidor en lista blanca.
• Correo de origen desde el cual se lanzará la campaña
https://lazyadmin.nl/office-365/whitelist-domain-office-365/
Si un cliente nos indica que solo han entrado 20 mensajes en los buzones hay que
indicarles que cambien ciertos parámetros del exchange:
• Limitación de mensajes en servidores de transporte
• Limitación de mensajes en conectores de envío
• Limitación de mensajes en conectores de recepción
• Limitación de mensajes en usuarios
https://learn.microsoft.com/es-es/exchange/mail-flow/message-rate-
limits?view=exchserver-2019
53. 1
Antes del lanzamiento de campaña de phishing
Antes de lanzar el primer
correo, revisaremos todos
los tricks anteriores
Para ejercicios de pentest o red teaming:
• Elegimos muy bien los objetivos a enviar el spear phishing.
• Los correos irán personalizados con nombre y apellido a poder ser.
• Para no superar los umbrales de detección de spam/phishing no
elegiremos más de 20 candidatos
• Si es necesario, hacer campañas de una en una y observar el
comportamiento de los usuarios
• Elegir bien las franjas horarias y día cuando se va a enviar la campaña
• Elegir usuarios que sean tontacos potencialmente víctimas de caer en
un spear phishing
54. 1
Antes del lanzamiento de campaña de phishing
Para cualquiera de los dos ejercicios, podemos recurrir a servicios online que nos
puntúan nuestro adorable phishing
https://www.mail-tester.com/
Ojo con los correos que
enviamos a este servicio
por si hay leak de
información!
55. 1
Antes del anzamiento de campaña de phishing
Para ejercicios de pentest o red teaming:
• Si incluimos una baliza (malware) firmar el binario con contenido malicioso.
• Cambiar el icono del binario (ofimatica, calendario, Teams, Skype,..)
• Si tiene doble extensión podemos utilizar dos trucos:
➢ Right-To-Left Override (RLO) Extension Spoofing
➢ Espacios en blanco entre las dos extensions:
https://unprotect.it/technique/right-to-left-override-rlo-extension-spoofing/
56. 1
Pasos a seguir para realizar un buen phishing (de manera ofensiva o
para concienciar)
• ¿Cuál es el target? Empresa/Organización/Personas
• Recolección de información mediante OSINT y otras herramientas
• Compra de dominio
• Registros DNS
• Infraestructura servidor/servidores
• Plantilla de correo y landing page
• Lanzamiento de campaña de phishing
• Análisis de resultados
57. 11
Análisis de resultados
Gracias a los identificadores y tracking monitorizamos las acciones del usuario desde los dispositivos donde
realiza click, sistema operativo, navegador, dirección IP, etc…
En ocasiones podemos
encontrar que el click en
el enlace lo ha hecho una
Sandbox
58. 11
Análisis de resultados
Podemos registrar los campos del formulario que hemos incluido en el landing page.
Para ejercicios de concienciación, no se marca la opción de guardar contraseña
59. 11
Conclusiones después de unas cuantas campañas enviadas
Análisis de resultados
Partimos del número de correos abiertos (los correos enviados en ocasiones no corresponden con un buzón que el usuario
pueda tener o abrir)
De los más de 30.000 correos abiertos, un 57% de usuarios han hecho click en el correo
De los usuarios que hicieron click , casi un 41% de usuarios han introducido datos (por lo menos una vez)
60. 1
Pasos a seguir para realizar un buen phishing (de manera ofensiva o para concienciar)
• ¿Cuál es el target? Empresa/Organización/Personas
• Recolección de información mediante OSINT y otras herramientas
• Compra de dominio
• Registros DNS
• Infraestructura servidor/servidores
• Plantilla de correo y landing page
• Lanzamiento de campaña de phishing
• Análisis de resultados
• Red flags / Buenas prácticas
61. 1
Red flags
Clave para sospechar de un phishing.
¿Esperabas ese correo?
¿Quién te envía el mensaje?
¿Te piden que hagas algo?
¿Lleva algún identificador la URL?
¿El dominio es legítimo?
Cuidado con las horas a las que llegan los correos
Viernes a una hora relajada
Lunes después de las primeras horas
Después de almorzar
Fin de semana
63. 8
Si hemos accedido al enlace del phishing, checkear el enlace:
https://www.threatcop.ai/phishing-url-checker.php
https://www.virustotal.com/gui/home/url
Buenas prácticas
https://any.run/