Cubrimos los ataques de phishing, cómo funcionan, los componentes de un correo electrónico de phishing, los componentes de la infraestructura de phishing, las herramientas de evaluación de phishing como Gophish y SET y cómo mantenerse alerta y protegido contra los ataques de phishing. Este video utilizó el material de laboratorio de Sala TryHackMe llamada phishing y parte de la pista del equipo rojo.

También cubrimos escenarios prácticos de análisis de correo electrónico de phishing utilizando PhishTool y Any.run. En el primer escenario analizamos un correo electrónico que pretendía ser de Netflix y los otros dos escenarios contenían archivos adjuntos maliciosos que realizaban llamadas a servidores y nombres DNS maliciosos. Esto fue parte de Herramientas de análisis de phishing TryHackMe.

También repasamos un escenario práctico de análisis de phishing por correo electrónico utilizando Thunderbird. Destacamos áreas específicas para el análisis, como el correo electrónico del remitente, la ruta de retorno, el dominio del remitente, los registros SPF, la dirección IP de origen y el archivo adjunto del correo electrónico. Descubrimos que el archivo adjunto del correo electrónico era malicioso al analizarlo con VirusTotal. Además, el correo electrónico contenía errores gramaticales y estaba dirigido a un destinatario general. Eso fue parte de PruebeHackMe Greenholt Phish.

Obtenga notas del certificado OSCP

El curso completo y práctico de pruebas de penetración de aplicaciones web

Vídeos destacados

El phishing es una forma de ingeniería social enviada a través del correo electrónico para engañar a alguien para que revele información personal, credenciales o incluso ejecute código malicioso en su computadora. Por lo general, estos correos electrónicos parecerán provenir de una fuente confiable, ya sea una persona o una empresa. Incluyen contenido que intenta tentar o engañar a las personas para que descarguen software, abran archivos adjuntos o sigan enlaces a un sitio web falso.

Tenemos tres cosas con las que trabajar con respecto a los correos electrónicos de phishing: la dirección de correo electrónico del remitente, el asunto y el contenido.

Los diferentes tipos de correos electrónicos maliciosos se pueden clasificar como uno de los siguientes:

  • Correo basura – correos electrónicos basura no solicitados enviados de forma masiva a un gran número de destinatarios. La variante más maliciosa de spam se conoce como Mal spam.
  • Suplantación de identidad –  correos electrónicos enviados a un objetivo que pretende ser de una entidad confiable para atraer a las personas a proporcionar información confidencial.
  • Phishing de lanza – lleva el phishing un paso más allá al dirigirse a individuos u organizaciones específicas que buscan información confidencial.  
  • Ballenero – es similar al phishing, pero está dirigido específicamente a personas de alto nivel (CEO, CFO, etc.), y el objetivo es el mismo.
  • aplastando – lleva el phishing a los dispositivos móviles dirigiéndose a los usuarios móviles con mensajes de texto especialmente diseñados.
  • vishing – es similar al smishing, pero en lugar de utilizar mensajes de texto para el ataque de ingeniería social, los ataques se basan en llamadas de voz.

Cuando se trata de phishing, el modus operandi suele ser el mismo dependiendo del objetivo del correo electrónico.

Por ejemplo, el objetivo puede ser recolectar credenciales y otro es obtener acceso a la computadora.

A continuación se detallan las características típicas que tienen en común los correos electrónicos de phishing:

  • El nombre/dirección de correo electrónico del remitente se hará pasar por una entidad de confianza (suplantación de correo electrónico)
  • La línea de asunto y/o el cuerpo (texto) del correo electrónico se escribe con un sensación de urgencia o utiliza ciertas palabras clave como FacturaSuspendido, etc.
  • El cuerpo del correo electrónico (HTML) está diseñado para coincidir con una entidad de confianza (como Amazon)
  • El cuerpo del correo electrónico (HTML) está mal formateado o escrito (al contrario del punto anterior)
  • El cuerpo del correo electrónico utiliza contenido genérico, como Estimado señor/señora.
  • Hipervínculos (a menudo utiliza servicios de acortamiento de URL para ocultar su verdadero origen)
  • archivo adjunto malicioso haciéndose pasar por un documento legítimo

GoPhish – (Código abierto Suplantación de identidad Estructura) - getgophish.com

GoPhish es un marco basado en web que facilita la configuración de campañas de phishing. GoPhish le permite almacenar su SMTP configuración del servidor para enviar correos electrónicos, tiene una herramienta basada en web para crear plantillas de correo electrónico utilizando un sencillo editor WYSIWYG (Lo que ves es lo que obtienes). También puede programar cuándo se envían los correos electrónicos y tener un panel de análisis que muestra cuántos correos electrónicos se han enviado, abierto o hecho clic.

SET – (Kit de herramientas de ingeniería social) – confianzasec.com

El kit de herramientas de ingeniería social contiene una multitud de herramientas, pero algunas de las más importantes para el phishing son la capacidad de crear phishing ataques e implementan versiones falsas de sitios web comunes para engañar a las víctimas para que ingresen sus credenciales.

Los droppers son software que se tiende a engañar a las víctimas de phishing para que los descarguen y ejecuten en su sistema. El dropper puede anunciarse como algo útil o legítimo, como un códec para ver un determinado vídeo o un software para abrir un archivo específico.

Los droppers no suelen ser maliciosos, por lo que tienden a pasar las comprobaciones antivirus. Una vez instalado, el malware deseado se descomprime o se descarga de un servidor y se instala en la computadora de la víctima. El software malicioso generalmente se conecta nuevamente a la infraestructura del atacante. El atacante puede tomar el control de la computadora de la víctima, que puede explorar y explotar aún más la red local.

Elegir lo correcto Suplantación de identidad El dominio desde el que lanzar el ataque es esencial para garantizar que tienes la ventaja psicológica sobre tu objetivo. Un equipo rojo puede utilizar algunos de los métodos siguientes para elegir el nombre de dominio perfecto.

Dominios caducados:

Aunque no es esencial, comprar un nombre de dominio con cierto historial puede conducir a una mejor puntuación de su dominio en lo que respecta a los filtros de spam. Los filtros de spam tienden a no confiar en los nombres de dominio nuevos en comparación con los que tienen cierto historial.

Error tipográfico:

Typosquatting ocurre cuando un dominio registrado se parece mucho al dominio de destino que estás intentando suplantar. Éstos son algunos de los métodos comunes:

Error de ortografía: goggle.com vs google.com

Período adicional: go.ogle.com frente a google.com

Cambiar números por letras: g00gle.com frente a google.com

Fraseo: googles.com vs google.com

Palabra adicional: resultados de google.com frente a google.com

Estos cambios pueden parecer poco realistas, pero a simple vista, el cerebro humano tiende a llenar los espacios en blanco y ver lo que quiere ver, es decir, el nombre de dominio correcto.

Respuestas de la habitación | PruebeHackMe Phishing

¿De qué tipo de manipulación psicológica forma parte el phishing?

¿En qué tipo de campaña de phishing se involucran los equipos rojos?

¿Qué táctica se puede utilizar para encontrar marcas o personas con las que interactúa una víctima?

¿Qué se debe cambiar en una etiqueta de anclaje HTML para disfrazar un enlace?

¿Qué parte de la infraestructura de un equipo rojo puede hacer que un sitio web parezca más auténtico?

¿Qué protocolo tiene registros TXT que pueden mejorar la capacidad de entrega del correo electrónico?

¿Qué herramienta puede automatizar una campaña de phishing e incluir análisis?

¿Cuál es la contraseña de Brian?
¿Los droppers tienden a ser maliciosos?
¿Qué es mejor, usar un dominio nuevo o caducado? (viejo nuevo)

¿Cuál es el término utilizado para describir el registro de un nombre de dominio similar con un error ortográfico?

¿Qué pueden contener los documentos de Microsoft Office que, cuando se ejecutan, pueden ejecutar comandos de computadora?
¿Qué CVE reciente provocó la ejecución remota de código?
¿Cuál es la bandera del desafío?

Respuestas de la habitación | Fundamentos del análisis de phishing de TryHackMe

¿A qué período de tiempo se remonta el correo electrónico?
¿Qué puerto está clasificado como Transporte Seguro para SMTP?

¿Qué puerto está clasificado como Transporte Seguro para IMAP?

¿Qué puerto está clasificado como Transporte Seguro para POP3?

¿Qué encabezado de correo electrónico es lo mismo que "Responder a"?

Una vez que encuentre la dirección IP del remitente del correo electrónico, ¿dónde puede recuperar más información sobre la IP?

En las capturas de pantalla anteriores, ¿cuál es el URI de la imagen bloqueada?

En las capturas de pantalla anteriores, ¿cuál es el nombre del archivo PDF adjunto?

En la máquina virtual adjunta, vea la información en email2.txt y reconstruya el PDF utilizando los datos base64. ¿Cuál es el texto dentro del PDF?

¿De qué entidad de confianza se hace pasar este correo electrónico?

¿Cuál es el correo electrónico del remitente?

¿Cuál es la línea de asunto?

¿Para qué sirve el enlace URL? - HAGA CLIC AQUÍ? (Ingrese la URL desactivada)

¿Qué es BEC?

Respuestas de la habitación | Herramientas de análisis de phishing TryHackMe

¿Cuál es el nombre del sitio oficial del banco al que capitai-one.com intentó parecerse?

¿Cómo se puede obtener manualmente la ubicación de un hipervínculo?
Mire la salida de Strings. ¿Cuál es el nombre del archivo EXE?

¿Qué marca fue diseñada para suplantar este correo electrónico?

¿Cuál es la dirección de correo electrónico De?

¿Cuál es la IP de origen? Desactive la dirección IP.

De lo que puedes deducir, ¿cuál crees que será un dominio de interés? Descolgar el dominio.

¿Qué es la URL acortada? Descolgar la URL.

¿Cómo clasifica AnyRun este correo electrónico?

¿Cuál es el nombre del archivo PDF?

¿Cuál es el hash SHA 256 para el archivo PDF?

¿Qué dos direcciones IP se clasifican como maliciosas? Desactive las direcciones IP. (respuesta: DIRECCIÓN_IP,DIRECCIÓN_IP)

Qué proceso de Windows se marcó como Tráfico potencialmente malo?

¿En qué se clasifica este análisis?

¿Cuál es el nombre del archivo de Excel?

¿Cuál es el hash SHA 256 del archivo?

¿Qué dominios figuran como maliciosos? Desactive las URL y envíe las respuestas en orden alfabético. (respuesta: URL1,URL2,URL3)

¿Qué direcciones IP figuran como maliciosas? Elimine las direcciones IP y envíe respuestas de menor a mayor. (respuesta: IP1,IP2,IP3)

¿Qué vulnerabilidad intenta explotar este archivo adjunto malicioso?

Respuestas de la habitación | Correos electrónicos de phishing de TryHackMe en acción

¿Con qué frase comienza el galimatías del correo electrónico del remitente?
ninguna respuesta
¿Cuál es el dominio raíz de cada URL? Descolgar la URL.
devret[.]xyz
Este ejemplo de correo electrónico utilizó los nombres de algunas empresas importantes, sus productos y logotipos, como OneDrive y Adobe. ¿Qué otro nombre de empresa se utilizó en este correo electrónico de phishing?
citrix
¿Qué deben hacer los usuarios si reciben un correo electrónico o un mensaje de texto sospechoso que dice ser de Netflix?
reenviar el mensaje a phishing@netflix.com
¿Qué significa BCC?
Copia oculta
¿Qué técnica se utilizó para persuadir a la víctima de que no ignorara el correo electrónico y actuara con rapidez?
Urgencia
¿Cuál es el nombre del ejecutable que el archivo adjunto de Excel intenta ejecutar?
regasms.exe

Respuestas de la habitación | Prevención de phishing TryHackMe

Haciendo referencia a la tabla de sintaxis dmarcian SPF, ¿qué carácter de prefijo se puede agregar al mecanismo "todos" para garantizar un resultado de "fallo suave"?

~

¿Cuál es el significado de la -todo ¿etiqueta?

fallar
¿Qué encabezado de correo electrónico muestra el estado de si DKIM aprobó o falló?
Resultados de autenticación
¿Qué política DMARC usaría para no aceptar un correo electrónico si el mensaje no pasa la verificación DMARC?
p=rechazar
¿Qué es el no repudio? (La respuesta es una oración completa, incluido el ".")
La unicidad de una firma impide que el propietario de la firma la repudie.

¿Qué filtro Wireshark puede utilizar para limitar la salida de paquetes mediante códigos de estado SMTP?

Respuesta correcta: smtp.response.code

Según el tráfico de la red, ¿cuál fue el mensaje del código de estado 220? (No incluya el código de estado (220) en la respuesta)

Respuesta correcta: servicio listo

Un paquete muestra una respuesta de que un correo electrónico fue bloqueado usando spamhaus.org. ¿Cuáles eran el número de paquete y el código de estado? (sin espacios en tu respuesta)

Respuesta correcta: 156.553

Según el paquete de la pregunta anterior, ¿cuál fue el mensaje sobre el buzón?

Respuesta correcta: nombre del buzón no permitido

¿Cuál es el código de estado que normalmente precederá a un comando de DATOS SMTP?

Respuesta correcta: 354

¿Qué puerto utiliza el tráfico SMTP?

Respuesta correcta: 25

¿Cuántos paquetes son específicamente SMTP?

Respuesta correcta: 512

¿Cuál es la dirección IP de origen para todo el tráfico SMTP?

Respuesta correcta: 10.12.19.101

¿Cuál es el nombre del tercer archivo adjunto?

Respuesta correcta: archivo adjunto.scr

¿Qué tal el último archivo adjunto?

Respuesta correcta: .zip

Según MITRE ATT&CK, ¿qué software está asociado con el uso de SMTP y POP3 para comunicaciones C2?

Respuesta correcta: Zebrocy

Respuestas de la habitación | Prevención de phishing TryHackMe

Cuál es el Número de referencia de transferencia enumerados en el correo electrónico Sujeto?

¿De quien es el correo electrónico?

¿Cuál es su dirección de correo electrónico?

¿Qué dirección de correo electrónico recibirá una respuesta a este correo electrónico?

¿Cuál es la IP de origen?

¿Quién es el propietario de la IP de Origen? (No incluya el “.” en su respuesta).

¿Qué es el registro SPF para el dominio Return-Path?

¿Qué es el registro DMARC para el dominio Return-Path?

¿Cómo se llama el archivo adjunto?

¿Cuál es el hash SHA256 del archivo adjunto?

¿Cuál es el tamaño del archivo adjunto? (No olvide agregar "KB" a su respuesta, NÚMERO KB)

¿Cuál es la extensión real del archivo adjunto?

Tutorial en vídeo

, ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos