1

Tesina su Phishing per Reti, Internet e Sicurezza.

Abstract
Viene spiegato lattacco informatico phishing, con il quale lattaccante usando dupliche di false pagine
web, acquista laccesso in sensibili informazioni della vittima, rubando i suoi credenziali d accesso. Queste
credenziali potrebbero essere, o credenziali dei social, o username e password di accesso ai conti bancari.
Tranne la parte tecnica, per la realizzazione dellattacco, importante luso di tecniche social
engineering per costringere la vittima di cadere nella trappola. Su questa tesina si spiegher solo la parte
tecnica e la configurazione per la realizzazione del attacco anche sotto la copertura di rete VPN.

Cosa viene usato per il test?

Kali Linux ( https://www.kali.org/ )
SET (Social Engineer Toolkit) ( https://github.com/trustedsec/social-engineer-toolkit )
TP-Link Router
DNS Dinamico ( https://www.noip.com/ )
Facebook ( https://www.facebook.com/ )
Anonsurf ( https://github.com/Und3rf10w/kali-anonsurf )
OpenDNS Cisco Umbrella ( https://umbrella.cisco.com/products/features/opendns-cisco-
umbrella )
Sito web di una Banca ( http://www.tuttitalia.it/banche/elenco/ )
SET User Manual Made for SET 6.0 ( http://index-of.es/Miscellanous/LIVRES/User_Manual.pdf )

RETI INTERNET E SICUREZZA GEORGIOS KOLIOU

 2

Configurazione del router.

Devo lasciare aperta la porta 80 sul mio router per il funzionamento del SET e il ritorno dei dati tra
vittima e attaccante. Cio, il mio IP e della vittima. Questo lo far creando un server virtuale sul mio
router HTTP_Server con uso di protocollo TCP, che da default lascia aperta la porta 80. Serve anche
identificare lIP locale del pc che uso per lattacco, cio questo con Kali Linux.

Questo serve per la configurazione del DDNS, cosi se non abbiamo unIP dinamico, o realizziamo lattacco
sotto rete VPN e il nostro IP cambia spesso, il servizio lo mantiene automaticamente aggiornato dentro
un URL DDNS che sar pi facile memorizzarlo.

LIP locale si trova scrivendo su terminale di Kali ifconfig. Il risultato sar il seguente.

RETI INTERNET E SICUREZZA GEORGIOS KOLIOU

 3

Essendo connesso via WiFi in internet, lIP locale si trova nella parte wlan0, nel mio caso 192.168.1.103.
E sar questo che uso per la configurazione del router come si vede sulla prima immagine.

Cos il Dynamic DNS?

ll DNS Dinamico una tecnologia che permette ad un nome DNS in Internet di essere sempre associato
all'indirizzo IP di uno stesso host, anche se l'indirizzo cambia nel tempo.

Configurazione di DDNS
Per la configurazione di DDNS basta creare un account online e creare un link, tipo url, che si usa per il
phishing. Nel mio esempio lindirizzo sar halloworld.ddns.net. Praticamente uso questo indirizzo sia
per motivi social engineering, sia per non usare direttamente il mio IP. E un mondo di copertura e di
autoconfigurazione! La vittima sar convinta pi facile di cliccare su un link di tipo freepassIbiza.ddns.net
che in un numero XXX.XXX.XXX.XXX che dopo ore di attesa probabilmente sar cambiato.

Per collegare il mio pc con il link, basta installare il client NO-IP per Linux. Una volta installato, lo posso
avviare scrivendo su terminale noip2 e noip2 -S per controllare s attivo.

Sullimmagine si vede lindirizzo IP (Telecom Italia) collegato con il link creato, il nome del mio account e
in ultima linea, ogni quanti minuti il client aggiorner il mio IP con il link. Il mio link attivo ed indirizzato
col mio computer. Per vedere se funziona bene effettuo il ping ed il risultato deve essere positivo con
0% pacchetti persi.

RETI INTERNET E SICUREZZA GEORGIOS KOLIOU

 4

Usando SET
Il prossimo passo, avviare SET, il Social Engineer Toolkit. Si tratta di un kit che offre tanti strumenti di
attacchi. Io user lattacco site cloner cio il duplico di un sito. SET preinstallato su Kali Linux e per
avviarlo basta digitare su terminale setoolkit e premere invio.

Sopra si vede il GUI del programma con le scelte disponibili per gli attacchi.

La configurazione di SET semplice. Prima chiede di inserire il mio IP, cosi torna le informazioni raccolte a
me. Come ho spiegato, collegando il mio IP su link creato, anzi lindirizzo numerico, devo inserire il link
proprio, cio halloworld.ddns.net. Poi chiede di inserire il sito da duplicare (preferirmene, un sito che
chiede il log in). Alla fine ci dice la porta su qui core il processo (come ho gi detto prima, la porta 80).

Adesso basta inviare il mio link tramite un messaggio, o e-mail alla vittima. Appena la vittima clicca sul
link, su terminale di Kali si vedr il traffico.

RETI INTERNET E SICUREZZA GEORGIOS KOLIOU

 5

In questa immagine si vede il risultato (log), quando la vittima clicca sul nostro link. Si pu vedere lIP.
Per non ha ancora inserito i credenziali. Devo aspettare!

Se il nostro trucco buono e la vittima inserisce i suoi credenziali, sul terminale apparir il seguente.

Sullo schermo della vittima, cliccando sul link si appare il seguente

RETI INTERNET E SICUREZZA GEORGIOS KOLIOU

 6

Se clicca da un calcolatore, altrimenti se clicca da uno smartphone si vedr il seguente

RETI INTERNET E SICUREZZA GEORGIOS KOLIOU

 7

Come si vede in tutti e due casi, il link non proprio quello di Facebook, ma il nostro col cui abbiamo
sostituito la pagina di Facebook con una duplicata. La pagina quella di Facebook, per lurl no! Come si
vede nella seconda immagine anche, lo smartphone collegato via 4G. Il link funziona lo stesso da per
tutto! Dipende proprio dalla vittima se osserva il link e capisce che qualcosa non va bene. Per di pi
dipende, da come lo mostriamo noi per farla cliccare!

La vittima di questo esempio si trovava in Grecia ed stata informata per il test.

RETI INTERNET E SICUREZZA GEORGIOS KOLIOU
 8

E la copertura?
La domanda questa, che succede se la vittima informata e comincia a cercare il nostro link? Facendo
ping qualsiasi persona pu vedere la nostra IP e conseguentemente, pu trovare chi siamo! Per questo
motivo consigliato effettuare lattacco sotto la copertura di una rete VPN. Per il nostro esempio, uso il
TOR. Non preinstallato su Kali Linux. Dopo la configurazione si vede cos.

Per usando un VPN la nostra IP cambia ogni tanto! E per questo motivo che allinizio ho configurato il
DDNS, per gestire questi cambiamenti automaticamente.

La mia IP usando il TOR sar questa, e dopo pochi minuti un'altra!

RETI INTERNET E SICUREZZA GEORGIOS KOLIOU

 9

Usando per la rete VPN, significa che io sono anonimo? Non proprio! La rete VPN copre solo il traffico,
se qualcuno cerca per il DNS di questo traffico? Vedr che sto in Italia!

Configurazione del DNS

Il mio DNS server prescelto si vede scrivendo su terminale cat /etc/resolv.conf.

Per cambiare il mio DNS server prescelto del sistema, basta trovare un OpenDNS e sostituirlo.

RETI INTERNET E SICUREZZA GEORGIOS KOLIOU

 10

Scrivendo su terminale nano /etc/dhcp/dhclient.conf posso sostituire il mio DNS server con questo
Open di Cisco.

Ricontrollando si vedr che il DNS server stato sostituito.

RETI INTERNET E SICUREZZA GEORGIOS KOLIOU

 11

Pi di 90% del mio traffico passa dal server 208.67.222.222.

Adesso devo riconfigurare il DDNS, per inserire su no-ip link lIP giusta di TOR.

Scrivendo in terminale noip2 -i IPaddress (sul posto di IPaddress, lIP che vogliamo usare) il sistema si
aggiorna e inserisce come IP quella attuale (per non aspettare). Poi con il ping si vede che la nuova IP
quella del VPN e non quella di prima, del mio ISP (Telecom Italia).

Anche se la vittima aggiornata, o vuole cercare di me, quello che vedr sar, che qualcuno da Canada ha
provato di truccarla!

Esempio di una Banca

RETI INTERNET E SICUREZZA GEORGIOS KOLIOU
 12

Applicando la tecnica pi sopra spiegata sul sito log in di una banca.

Si deve semplicemente trovare il sito di log in della banca e duplicarlo.

Username: test

Password: test

Ovvero, quelli che ho usato per il test sul sito duplicato! Potrebbero essere tranquillamente credenziali
veri di un cliente di questa banca.

RETI INTERNET E SICUREZZA GEORGIOS KOLIOU