*Disclaimer: La información aquí contenida es únicamente a modo didáctico. El uso de Shellphish contra otras personas o empresas sin su consentimiento es ilegal y considerado un delito informatico.
Los ciberdelincientes en la actualidad hacen uso de herramientas, programas y aplicaciones que facilitan enormemente el trabajo para que sus víctimas caigan en sus anzuelos (engaños) ya que proporcionan links y plantillas de paginas falsas ya diseñadas y actualizadas constantemente para emular las pantallas de inicio de las web reales donde la víctima le proporciona al hacker sus credenciales (contraseñas).
En esta oportunidad conversaremos de el Shellphish una de las mejores herramientas de hackeo de redes sociales y fácil de usar que genera de forma automática diferentes tipos plantillas de phishing para redes sociales (Pantallas falsas para engañar a las víctimas). Esta aplicación nos permite enviar señuelos a casi todas las redes sociales mas populares del momento como : Facebook, Twitter, Instagram, Snapchat, Yahoo, LinkedIn, Pinterest, así como servicios como Origin, Github, Protonmail, Spotify, Netflix, WordPress, Steam, Microsoft, InstaFollowers, y GitLab
La herramienta es a modo como un script, que utiliza webs generadas por SocialFish, y trabaja con un servidor con ngrok o serveo, para poder auditar aquellas cuentas de las que tengamos autorizacion para hacerlo.
Instalación de Shellphish
Para instalar Shellphish solo deberemos ejecutar los siguientes comandos:
git clone https://github.com/thelinuxchoice/shellphish
cd shellphish
bash shellphish.shTras esto se nos mostrará un menú con el que podemos comenzar a trabajar, eligiendo la red social con la que se desea engañar a la victima.
Comienza la pesca.
Tras ejecutar los comandos anteriores, ya dispondremos de Shellphish para empezar a pescar con el. En la pantalla principal se nos mostrarán las opciones de las que disponemos y elegiremos la red social objetivo.
- Introducimos el número de la red social que queremos atacar y pulsamos INTRO. En este caso, usaremos de ejemplo la red social Facebook, que esta señalada con el número 2.
- Luego debemos elegir la opción de reenvío de puertos. La herramienta recomienda elegir la opción 1, el método de tunelización SSH de Servo.net. Vamos a usar Servo, así que elegimos 1.
- Luego, debemos elegir el puerto, por defecto viene el 3333, nosotros vamos a usar la configuración predeterminada, por lo que dejaremos este campo en blanco y escribiremos enter.
- Tras esto, la aplicación Shellphish hará el resto, iniciará el servidor y creará un túnel SSH. La herramienta nos generará una URL larga y una acortada, que deberemos enviar al usuario de la cuenta para la que tenemos autorización y, si pica, se nos mostrarán los credenciales en el terminal. Siempre es recomendable el uso de la acortada, ya que es más complicado que luego se fije en la URL en el navegador, pero también es cierto que las URLs acortadas por la aplicación algunas veces dan fallos.
- Cuando la «víctima» pique nos aparecerá en el terminal el siguiente mensaje:
- Credentials Found!
- Account: nombre de usuario/correo electrónico
- Password: contraseña
- Saved: ruta dónde se han guardado las credenciales en formato .txt
Esta herramienta de pesca no puede eludir la verificación de 2 pasos de ninguna red social, motivo por el cual es tan recomendado utilizarla siempre , por lo que si nuestro auditado la tiene habilitada, nos quedaremos en ese paso.
Esta herramienta es un ejemplo más de lo «sencillo» que es realizar un ataque a nuestras cuentas, de redes sociales en este caso, por lo que como siempre es mejor prevenir que cuidar: ejercitemos el sentido común y habilitemos el segundo factor de autenticación de 2 pasos (2FA) en todos aquellas cuentas que lo permitan.
“El medio donde se redacta y publica este articulo no hacen responsables del mal uso de terceros de esta información”
Con información:
