INSTITUTO TECNOLÓGICO DEL VALLE DE OAXACA.

MATERIA

SEGURIDAD WEB

CARRERA: INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES.

DOCENTE:

DIEGO LUNA

ALUMNA:

SURIANITA SIERRA LÓPEZ

TRABAJO:

CLONACIÓN DE UNA PÁGINA CON SOCIAL- ENGINEER-TOOLKIT

INTRODUCCIÓN

La siguiente práctica tiene se relaciona con el tema de Ingeniera Social, por lo que

es importante saber de qué se trata esto, por lo que se dice que la ingeniería

social es la práctica de obtener información confidencial a través de la

manipulación de usuarios legítimos 1, esto quiere decir que la ingeniería social es

una técnica utilizada para obtener información confidencial de los usuarios, para

esto los expertos en este ámbito se encargan de hacerle creer al usuario que es

una persona, empresa u organismo “oficial” cuando en realidad no lo es.

Los medios por los cuales se practica ingeniería social regularmente suelen ser

vía telefónica o por Internet; la principal defensa contra la ingeniería social es

educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse

de que estas sean seguidas.

Con la finalidad de ver un poco lo que es ingeniería social se realiza la siguiente

práctica la cual nos permite clonar o copiar una página oficial y mediante la

herramienta de social-engineer-toolkit (SET), la cual es una completísima suite

dedicada a la ingeniería social , que nos permite automatizar tareas que van

desde el de envío de SMS (mensajes de texto) falsos, con los que podemos

suplantar el número telefónico que envía el mensaje, a clonar cualquier página

web y poner en marcha un servidor para hacer phishing en cuestión de

segundos2.

En este caso solo se utilizara para realizarla clonación de una página web donde

se puede observar los datos que el usuario ha ingresado desde su navegador,

dicha información debe ser utilizada de forma adecuada y en este caso solo con

fines educativos.

1 http://es.wikipedia.org/wiki/Ingenieria_Social_(seguridad_inform%C3%A1tica)

2 http://www.hackplayers.com/2012/10/social-engineering-toolkit-set.html

PRACTICA DE INGENIERÍA SOCIAL

Lo primero que se debe hacer es conectarse a una red y checar la dirección IP

que ha sido asignada, para esto se utiliza el comando ifconfig.

Una vez que se tiene instalada la herramienta de social-engineer-toolkit se

procede a entrar al directorio en el que esta ubicada, para esto se ingresar el

comando cd social-engineer-toolkit dentro de este directorio se encuentran

varios archivos de configuración, después se pone el comando ./setoolkit, para

ejecutar la aplicación.

En seguida muestra un mensaje de bienvenida junto con el menú de opciones, del

cual elegiremos la opción 1 que son ataques de Ingeniería Social y dar enter dos

veces.

Despues se muestra otro menú con las opciones de:

1.- Ataques de phising: que son ataques de correo electrónico. 2.- Ataques de Sitios Web: ataques basados en Web. 5.- Mass Mailer Attack: ataque masivo mandando correos a múltiples víctimas y personalizar los mensajes. La opción que se utiliza es la 2) Website Attack Vectors.

Dentro de este tendremos otro menú y la opción que se utiliza es la 3)Credential

Harvester Attack Method que es ataque para la obtención de credenciales

(usuario y contraseña).

Después se muestra otro menú en el cual se selecciona la opción 2)Site Cloner

para clonar el sitio web.

Una vez seleccionada las opciones el siguiente paso nos pide introducir una

dirección IP, la cual introduciremos la que se nos asignó desde el inicio.

Después ingresamos la dirección (URL) del sitio que se desea clonar.

Inicia la clonación del Sitio

Después nos pregunta si deseamos deshabilitar Apache, a lo que le damos yes.

Detiene el servidor Apache y continua con la petición de la clonación del Sitio

Una vez terminado el proceso de la clonación se puede visualizar en el navegador

la página que ha sido clonada para esto solo se escribe la dirección IP de la

maquina virtual.

Al introducir los datos de usuario y contraseña sobre el formulación de la página

clonada de Facebook se puede apreciar que el SET obtiene dichos datos que

fueron ingresados por el usuario.

CONCLUSION

Al llevar a cabo esta práctica puede observar cómo es que a través del uso de

esta herramienta se pueden realizar distintos ataques y obtener información,

además de que con la práctica de la ingeniería Social pues en la mayoría de las

veces las personas proporcionan información pensando que esa información es

enviada al destinatario correcto cuando puede ser que no sea así, puesto que no

se tiene el cuidado de tomar medidas de seguridad para evitar ser víctimas.

Esta practica me agrado y me pareció muy interesante ya que como usuario nunca

sabes que puede haber del otro lado, y no se tiene la certeza de que tu

información “confidencial” no esté en manos de alguien más.

REFERENCIAS BIBLIOGRAFICAS

Ingeniería Social: Recuperado de:

http://es.wikipedia.org/wiki/Ingenieria_Social_(seguridad_inform%C3%A1tica)

SET: Recuperado de:

http://www.hackplayers.com/2012/10/social-engineering-toolkit-set.html