SP Toolkit es un kit de phishing open source diseñado para facilitar la tarea de educar, es ideal para administradores y encargados de seguridad que quieran poner a prueba a los usuarios con ataques reales.
El kit lo hace todo con unos pocos clics, desde crear la página de phishing hasta enviar el correo electrónico falsificado, pero eso sí, los datos (usuarios y contraseñas) no son almacenados, simplemente se registran datos estadísticos para saber si cayeron o no en el engaño.
La instalación es bastante rápida, se trata de un script php por lo que necesita un servidor web y una base de datos MySQL, en Windows se puede instalar localmente con WampServer:
En la captura anterior se puede ver el panel de control desde el cual se administran las campañas.
La herramienta permite falsificar cualquier sitio web subiendo un template o copiando directamente la página de login (scraping). En la siguiente imagen se muestra lo sencillo que es crear una campaña, se personaliza el e-mail y se indica cuál página se desea falsificar, en este caso Facebook:
Cuando el usuario recibe el correo y accede a la página falsa la actividad queda registrada, recordemos que la idea no es robar contraseñas, sino evaluar la seguridad y educar por lo que una vez que caen en la trampa se les muestra una advertencia o mensaje educativo que puede ser personalizado.
En el siguiente video creado por el autor de SP Toolkit se puede ver el proceso de envío y lo que sucede al acceder a la página falsa, el ejemplo también es con Facebook pero se podría realizar con cualquier página, por ejemplo, la de una intranet:
Algunos pensarán que esta no es la mejor forma de educar a los usuarios, pero a veces por las malas se aprende :)
Muchas empresas contratan a profesionales para que evalúen su seguridad y nada mejor que realizar ataques reales para detectar los problemas, por supuesto estos se hacen con autorización y de forma controlada. Generalmente el camino más fácil para comprometer la información son los empleados, la ingeniería social a ese nivel suele ser más efectiva que atacar directamente equipos donde se han gastado varios cientos de dólares en protección.
En la web de la herramienta podrás encontrar más detalles sobre su funcionamiento y un tutorial para instalarla paso a paso.
Está claro que la intención no es educar sino facilitar el phising, pero lo difrazan de kit educativo para dar una imagen más correcta. Al menos eso creo. Me hace acordar a cuando publican piratería y ponen que es con propósitos meramente educativos, o sitios de warez que en la nota legal dicen que jamás apoyarían la piratería.
A propósito de piratería… NO A LA LEY SOPA!
Entiendo tu punto de vista pero no lo comparto porque toda herramienta de hacking creada con fines éticos también puede ser utilizada de forma malintencionada, no hay forma de evitarlo. Te recomiendo ver este panel de Hackers vs CSOs en el cual se discute bastante sobre el tema, es una discusión eterna como la de Windows vs Linux.
En el blog el autor también publicó un post respondiendo las críticas que recibió.
No van a joder mucho tiempo más; a internet quizás le quede poco tiempo:
USA decidió empezar cerrar todo, su invento los estaba delatando en todo el mundo.
Empezaron por Megaupload
Esto es…., como dicen en Inglés CREEPY. (da miedo).
Las páginas se ven muy reales.
Puedo caer muy fácilmente. Pondré más atención a los correos o sitios que visito.
Gracias por la información, una vez más.