Sptoolkit, una campaña de phishing profesional desde tu casa!!

La campañas de phishing se usan y se siguen usando para el robo de credenciales, para infectar a los usuarios, para hacer campañas de click-fraud, en fin para diversos menesteres.

Hoy os traigo SPToolkit, un framework para ataques de phishing.

Para usarlo, nos bajamos el código de Github.

https://github.com/sptoolkit/sptoolkit/tree/master/spt

Necesitaremos un servidor con mysql, apache2, php5, y las extensiones de curl y ldap de PHP. Opcionalmente necesitaremos el paquete ZIP instalado.

Antes de instalar el framework, SPToolkit comprobará que lo tenemos todo instalado.

sptoolkit

Previamente necesitaremos crear la base de datos, donde instalaremos el Framework SPT.

Una vez tengamos los datos, los proporcionamos en la instalación.

spt2

Instalamos la base de datos.

sp3

Aquí muestra que se va a instalar en la base de datos del framework, podemos ver cosas como las campañas, los objetivos etc…

Le damos a Continue

spt4

Tiene requerimientos de contraseña y no pueden haber espacios en el campo Last Name.

Ya hemos rellenado todos los campos que necesitábamos. Ahora recibiremos un mensaje de que hemos terminado el proceso.

spt5

Ahora que lo tenemos instalado, haremos login en la aplicación.

spt6

Como veis arriba. nos indica de que actualicemos el navegador.

Introducimos los datos de acceso y vamos por la aplicación.

spt7

Este es el aspecto que tiene la aplicación una vez iniciada.

Es muy simple y tendremos estadísticas nada mas entrar al panel.

No tendremos que hacerlo todo de zero. El framework ya tiene algunos templates custom para hacer campañas de phishing.

spt8

Vemos que hay diferentes opciones para los templates custom.

Vamos a editar uno para ver el aspecto que siguen.

spt9

Aquí tenemos un perfecto ejemplo de un correo de phishing.

Habría que editar algún template, además de añadir los valores del servidor de correo y los targets para iniciar la campaña de phishing.

a


Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo
  • 4rg3nt0

    tengo un problema, cuando llego al paso de instalar la base de datos se me queda en blanco, solo aparece el logo. y no pasa nada… a que se puede deber ?

  • Tengo la misma pregunta del usuario entender, solo aprece el logo , que se deberia hacer?

    • AgoraSecurity

      A mi me paso algo similar.
      Asegurense que los pre-requisitos se cumplan.
      Revisen dos veces el usuario que ponen, la contraseña y la base de datos (y los permisos del usuario en esta).
      A mi se me fue un detalle de la base de datos y el usuario y por eso.

  • diego

    No deberian hacer preguntas tan pobres.

    Revisen el log, lean el codigo fuente, aprendan php y apache … Busquen en google, y si no encuentran solucion, busquen ‘como hacer preguntas inteligentes’ y vuelvan

  • cepiyador

    Che diego esa boludes de “busquen en google” nunca la voy a entender, los pibes estan preguntando y sin animo de ofender si vos sabes podrias responder, acaso no formas parte de google al dar una opinion? y si te parecen que son poco inteligentes vos podrias tener un poco masde inteliencia y no responderle a dos “ignorantes”

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES