Phish and tricks

Consejos y trucos
para
preparar/evitar un
phishing para usos
en ejercicios de
concienciación y
red teaming

1
Whoami / SPAM
Alejandro Quesada
Auditor senior de ciber seguridad
Varios años de experiencia en ciber
Diversas certis
Contacto:
https://www.linkedin.com/in/aquesadav/
https://www.mypublicinbox.com/AlejandroQuesada
Telegram: @tankinus
https://www.youtube.com/@LodelosHackers
https://twitter.com/hackersumh

1
Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de
septiembre, de seguridad de las redes y sistemas de información
https://www.boe.es/buscar/act.php?id=BOE-A-2021-1192

1
Motivación de esta charla de esta charla
• Nos puede ayudar a la hora de realizar un phishing para un ejercicio de red team o pentest.
https://attack.mitre.org/matrices/enterprise/

Motivación de esta charla de esta charla
• Nivel de concienciación bajo en todas muchas empresas en todo el mundo.
• Típicos perfiles que nos encontramos en cualquier empresa en España y que la
ciber seguridad le suena a película de Hollywood
Becari@s Chonis Cuñaos Pre jubilados
Canis
https://www.bing.com/images/create/

1
Un día tonto lo tiene cualquiera
¿En vuestras empresas
/organizaciones realizan ejercicios
de concienciación de manera
recurrente para entrenar a la gente?

1
Un día cualquiera para los phishers
https://openphish.com/

1
Pasos a seguir para realizar un buen phishing (de manera ofensiva o para concienciar)
• ¿Cuál es el target? Empresa/Organización/Personas
• Recolección de información mediante OSINT y otros recursos
• Compra de dominio
• Registros DNS
• Infraestructura servidor/servidores
• Plantilla de correo y landing page
• Lanzamiento de campaña de phishing
• Análisis de resultados
• Red flags / Buenas prácticas
• Indicador de trick/consejo

1

1
Fuente:
https://twitter.com/elhackernet

1
Empresa/Organización/Personas
Empresa afectada:
Uber
Vector de ataque:
Credenciales obtenidas a traves
Ingeniería social
Impacto:
Slack
Google Workspace (admin)
Cuentas de AWS
HackerOne (admin)
SentinelOne EDR
VMware vSphere
Dashboards Financieros

1
• Recolección de información mediante OSINT y otras herramientas

1
• Metodologías no standars para recolección de información
https://inteltechniques.com/links.html

1
Recolección de información mediante OSINT y otras
herramientas
https://osintframework.com/

1
Recolección de información mediante OSINT y otras herramientas
• Obtención de mails y subdominios
https://github.com/laramies/theHarvester/
Realizar búsquedas DNS de
manera pasiva para no
hacer ruido con el target

1
https://dnsdumpster.com/
• Subdominios de manera pasiva

1
• Subdominios de manera pasiva
https://driftnet.io/

1
https://crt.sh/
• Subdominios con certificado valido y certificados caducados
Los subdominios que no
estén siendo utilizados nos
pueden servir como
pretexto o comprar un
dominio similar

1
• Mediante el uso de Dorks

1
• Obtención de mails a través de Linkedin
https://skrapp.io/
Los emails en ocasiones
son predecibles y no
pueden ser los reales

1
• La aplicación nos genera un bonito xls con la información pública recopilada que
usaremos para cargar la lista de contacto.
https://skrapp.io/

1
• Obtención de mails y otros datos de brechas de seguridad
https://www.dehashed.com/
Para un ejercicio de red
team, cualquier fuente de
datos (aunque sea
pagando) es buena
Los mails que tengan
mayor número de entradas
tienen más probabilidad
de ser víctima para un
spear phishing

1
• Foros underground con venta de información de base de datos
https://breachforums.is/Forum-Databases

1
• Grupos de Telegram con información de usuarios y contraseñas
Grupos de Telegram
Prefiero pagar por
servicios online que no
almacenar gigas y gigas
con datos random de
usuarios

1
• Si es un ejercicio de concienciación la organización nos proporcionara un listado con
todas las personas que participaran en el ejercicio
Si es posible, que el listado
sea actual y con correos
activos para evitar
bloqueos o saturación por
reintento de entrega en el
servidor.

1

1
• Las grandes empresas tienen monitorizados los dominios que contengan algún termino o palabra que sea igual o similar
Es mejor generar un
subdominio con el nombre
de la empresa o servicio
que utilicen, que realizar
Typosquatting para
ejercicios ofensivos.
Para ejercicios de
concienciación se suelen
comprar dominios con
nombres similares
https://www.immuniweb.com/

1
• Las grandes empresas tienen monitorizados los dominios que contengan algún termino o palabra que sea igual o similar
Intentaremos buscar un
nombre que tenga relación
con algún servicio,
promoción/publicidad en
curso, o noticia actual con
la empresa.

1
• Dominios .zip
Podemos hacer la descarga
automática de un archivo
con contenido malicioso
cuando sea visitada la URL.

1
• Dominios NRD (Newly Registered Domains)
Intentaremos dejar que
madure el dominio por lo
menos más de un mes y a
ser posible .com
https://openphish.com/

1
Pasos a seguir para realizar un buen phishing (de manera ofensiva o
para concienciar)
• Registros DNS

1
• Registros DNS
Registros imprescindibles
• Registro A
• Registro TXT
• Registro SPF
• Registro DMARC
• Registro DKIM

1
• Registros DNS
Registro opcional: reclamar la propiedad del registro
https://search.google.com/search-console/welcome?hl=es
Añade algo más de
veracidad ¿?
con un registro TXT que
nos proporciona Google y
lo incluimos en nuestro
dominio

1
• Registros DNS
• Infraestructura hosting/servidor/servidores

1
Infraestructura servidor/servidores
• Los grandes operadores tienen buena reputación a nivel de IP pero ofrecen su servicio de phishing o te pueden dar
el toque si detectan comportamientos maliciosos.
https://learn.microsoft.com/es-es/microsoft-
365/security/office-365-security/attack-simulation-training-
simulations?view=o365-worldwide

1
• Los grandes operadores tienen buena reputación a nivel de IP pero ofrecen su servicio de phishing o te pueden dar
el toque si detectan comportamientos maliciosos.

1
• Proveedores tipo Digital Ocean, están muy sobados y la gran mayoría de IPs que proporcionan ya están en lista negra.

1
Utilizar proveedores de otros países / Leerse las normas de que se puede/prohíben con un VPS
https://victorhck.gitlab.io/

1
Una vez que tenemos el servidor, será necesario instalar los recursos que vamos a necesitar
para nuestra máquina de phishing:
Servidor web: Nginx/Apache
Servidor de correo: Postfix
Let’s Encrypt certbot para certificados SSL
Herramientas necesarias para los registros DNS SPF,DKIM y DMARC
Plataforma para lanzar campaña de phishing: Gophish, Evil Gophish, Evilginx2,…
Fortificar/Asegurar nuestro/s server: UFW, Fail2ban, etc…
Podemos utilizar un servidor
para Gophish y otro para el
envío de correos para evitar
posibles baneos, proxies, etc

1
Gophish nos permite mejorar ciertas features de seguridad como son:
• Encabezados de correo electrónico modificados enviados de forma predeterminada para no incluir la
palabra “GoPhish.”
• Modificar el nombre del servidor enviado en el navegador y con correos electrónicos al valor “IGNORE”
• Cambiar nuestra página 404.html para ser un poco más compleja y más difícil de tomar de huellas digitales
• Cambiar las cabeceras del servidor web para que parezcan reales en lugar de los simples valores
predeterminados incluidos con GoPhish
• Cambió el parámetro de seguimiento incluido en los enlaces de phishing para rastrear los clics del usuario
Hay un Docker con estas
características ya
implementadas
https://www.sprocketsecurity.com/resources/never-had-a-bad-
day-phishing-how-to-set-up-gophish-to-evade-security-controls
https://phish.acme.com/rid?=12345
https://phish.acme.com/?keyname=12345

1
• Registros DNS

1
Lista de usuarios Gophish
Intentamos obtener por lo
menos nombre y primer
apellido
https://docs.getgophish.com/user-guide/template-reference
Gophish dispone de unas variables que permite utilizar para personalizar los correos a cada usuario de manera única

1
Plantilla de correo y landing page
Utilizar la misma firma del
correo que los utilizados
por la organización
Necesitamos un pretexto que encaje con el target/organización
Pretextos de lo más variopinto para la plantilla de correo:
Problemas de carácter técnico.
Recientes detecciones de fraude y urgente incremento del nivel de seguridad.
Nuevas recomendaciones de seguridad para prevención del fraude.
Cambios en la política de seguridad de la entidad.
Promoción de nuevos productos.
Premios, regalos o ingresos económicos inesperados.
Accesos o usos anómalos a tu cuenta.
Inminente desactivación del servicio.
Falsas ofertas de empleo. Podemos ofuscar las
imágenes de la firma en
base64 o dejar la firma sin
imágenes solo con el texto
plano

1
Plantilla de correo
Intentamos obtener un
correo original o lo más
fidedigno posible para
nuestra plantilla
Podemos importar un
email en html y editarlo
a nuestro antojo
Podemos incluir una
baliza/malware que se
descargue
automáticamente y
añadir un pixel de
tracking para
monitorizar las acciones
de los usuarios.

1
Landing page
Existen plantillas de los
principales portales de
login de diferentes
servicios
Podemos importar una
Web y editarla
a nuestro antojo
Podemos capturar las
acciones de los usuarios,
así como capturar los
password.
Podemos realizar una
redirección al portal
legitimo

1
Perfil de envío de correo
El origen del correo será un nombre creíble o similar a los que
usen en la organización.

1
Plantilla de correo y landing page
• ¡Vale, ahora lo lanzamos y a esperar que caigan todos los usuarios!
• ¡ERROR! Si hacemos esta técnica, puede valer para un ejercicio de concienciación,
pero seguramente para un spear phishing sea bloqueado o tengamos un menor índice de exito!
• Para ejercicios de red team, intentaremos buscar targets que no estén tan monitorizados como Azure AD, O365, AWS,...
• Hay más posibilidades de que un usuario ejecute una baliza (malware) que nos de acceso a una cuenta con MFA.

1
Medidas anti phishing que nos podemos encontrar
https://learn.microsoft.com/es-
es/microsoft-365/security/office-365-
security/anti-phishing-protection-
about?view=o365-worldwide
chrome://settings/Security

1
Medidas anti phishing que nos podemos encontrar
• Detección de clonado de webs
https://canarytokens.org/generate#

1
• Registros DNS

1
Antes del lanzamiento de campaña de phishing
Realizar las pruebas
necesarias con el soporte
de la organización y abrir
el correo desde diferentes
navegadores
Para ejercicios de concienciación, jugamos con todas las cartas posibles, así que pediremos:
• Dominio en lista blanca.
• IP del servidor en lista blanca.
• Correo de origen desde el cual se lanzará la campaña
https://lazyadmin.nl/office-365/whitelist-domain-office-365/
Si un cliente nos indica que solo han entrado 20 mensajes en los buzones hay que
indicarles que cambien ciertos parámetros del exchange:
• Limitación de mensajes en servidores de transporte
• Limitación de mensajes en conectores de envío
• Limitación de mensajes en conectores de recepción
• Limitación de mensajes en usuarios
https://learn.microsoft.com/es-es/exchange/mail-flow/message-rate-
limits?view=exchserver-2019

1
Antes de lanzar el primer
correo, revisaremos todos
los tricks anteriores
Para ejercicios de pentest o red teaming:
• Elegimos muy bien los objetivos a enviar el spear phishing.
• Los correos irán personalizados con nombre y apellido a poder ser.
• Para no superar los umbrales de detección de spam/phishing no
elegiremos más de 20 candidatos
• Si es necesario, hacer campañas de una en una y observar el
comportamiento de los usuarios
• Elegir bien las franjas horarias y día cuando se va a enviar la campaña
• Elegir usuarios que sean tontacos potencialmente víctimas de caer en
un spear phishing

1
Para cualquiera de los dos ejercicios, podemos recurrir a servicios online que nos
puntúan nuestro adorable phishing
https://www.mail-tester.com/
Ojo con los correos que
enviamos a este servicio
por si hay leak de
información!

1
Antes del anzamiento de campaña de phishing
Para ejercicios de pentest o red teaming:
• Si incluimos una baliza (malware) firmar el binario con contenido malicioso.
• Cambiar el icono del binario (ofimatica, calendario, Teams, Skype,..)
• Si tiene doble extensión podemos utilizar dos trucos:
➢ Right-To-Left Override (RLO) Extension Spoofing
➢ Espacios en blanco entre las dos extensions:
https://unprotect.it/technique/right-to-left-override-rlo-extension-spoofing/

1
Pasos a seguir para realizar un buen phishing (de manera ofensiva o
para concienciar)
• Registros DNS

11
Análisis de resultados
Gracias a los identificadores y tracking monitorizamos las acciones del usuario desde los dispositivos donde
realiza click, sistema operativo, navegador, dirección IP, etc…
En ocasiones podemos
encontrar que el click en
el enlace lo ha hecho una
Sandbox

11
Podemos registrar los campos del formulario que hemos incluido en el landing page.
Para ejercicios de concienciación, no se marca la opción de guardar contraseña

11
Conclusiones después de unas cuantas campañas enviadas
Partimos del número de correos abiertos (los correos enviados en ocasiones no corresponden con un buzón que el usuario
pueda tener o abrir)
De los más de 30.000 correos abiertos, un 57% de usuarios han hecho click en el correo
De los usuarios que hicieron click , casi un 41% de usuarios han introducido datos (por lo menos una vez)

1
• Registros DNS
• Red flags / Buenas prácticas

1
Red flags
Clave para sospechar de un phishing.
¿Esperabas ese correo?
¿Quién te envía el mensaje?
¿Te piden que hagas algo?
¿Lleva algún identificador la URL?
¿El dominio es legítimo?
Cuidado con las horas a las que llegan los correos
Viernes a una hora relajada
Lunes después de las primeras horas
Después de almorzar
Fin de semana

13
No realizar acciones fuera del correo corporativo
Buenas prácticas

8
Si hemos accedido al enlace del phishing, checkear el enlace:
https://www.threatcop.ai/phishing-url-checker.php
https://www.virustotal.com/gui/home/url
Buenas prácticas
https://any.run/

16
Directivas O365
Buenas prácticas

16
DNS0 zero
Buenas prácticas
https://www.dns0.eu/es/zero

17
Dudas/Preguntas
¡¡Gracias!!

Phish and tricks

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Phish and tricks

Similar a Phish and tricks (20)

Último

Último (20)

Phish and tricks