The Social-Engineer Toolkit mas conocido como SET, es un conjunto de herramientas especialmente diseñadas para realizar ataques de Ingeniería Social en procesos de auditorias en seguridad, esta programado en Python por David Kennedy (ReL1K), quien hace poco publicó su versión 1.0 1.1 con grandes cambios y por esta razón, decidimos que era momento de dedicarle un articulo a esta excelente herramienta dentro de nuestra comunidad.

En este articulo exploraremos las principales opciones del The Social-Engineer Toolkit, ademas de las nuevas características (como la interface web) que se incorporaron al SET en su versión 1.0 1.1.

Actualizado:
Acaba de salir una nueva version 1.1 del Social-Engineer Toolkit  con nombre clave “Happy Holidays”, en la que se incorporan las siguientes novedades:

• Cuatro nuevos Client-Side Attacks basados en Metasploit
• Optimizaron el servidor Web, los multihilos que manejaba y mejoraron algunas funcionalidades del codigo, para accelerar su funcionamiento
• Nueva opción set_config con la que podrás especificar si deseas o no redireccionar automaticamente por ejemplo a un applet de java en un ataque multiple del tipo Applet Java+ Credential Harvester de esta forma solo se redireccionará al applet de Java si la credencial fue aceptada.
• Se añadió soporte para UPX

Iniciando el The Social-Engineer Toolkit

SET es multiplataforma, y solo necesitamos tener instalado el interprete de Python para ejecutarlo y ejecutarlo con ./set o Python set en la carpeta donde lo tengamos guardado (las dependencias que no tengas, las descargará automáticamente).

Al iniciar el SET, lo primero que vemos es un menú que nos ofrece una gran cantidad de opciones para lanzar nuestro ataque de ingeniería social, desde la creación de correos fraudulentos, paginas que al visitarlas infecta tu maquina, archivos multimedia que permite obtener acceso al equipo de la víctima, la posibilidad de enviar correo masivo, crear un CD/DVD o memoria USB que infecte la maquina y hasta enviar mensajes de texto que nos ayude en nuestra tarea.

Sistema de Phishing en el The Social-Engineer Toolkit

El sistema de creación de phishing en el SET es bastante completo, nos permite generar automáticamente un sitio falso con el cual engañar a los destinatario o enviar enviar de forma masiva correos con adjuntos maliciosos que permiten el acceso remoto de su maquina.

Vector de Ataque Web en el The Social-Engineer Toolkit

SET también permite realizar ataques automáticos a un usuarios que ingrese (por medio de ingeniería social) a una dirección que tu le especifiques (ahora lograr esto es mucho mas fácil gracias a los acortadores de direcciones), SET se encarga de subir el servidor y realizar el ataque que le especifiques (un applet de java, ataques múltiples, o tabnabbing entre otros…) que te devolverá una shell en el equipo víctima.

Creación de Medios Infectados en el The Social-Engineer Toolkit

Permite crear un archivo que se conecte remotamente a nuestra maquina, ofreciéndonos una shell del sistema y se ejecute en el equipo remoto al introducirse una memoria/disco duro USB, o un disco DVD/CD aprovechando el “autorun” de windows .

Generar ejecutable con Payload en el The Social-Engineer Toolkit

SET también permite (con la ayuda de metasploit framework) generar un ejecutable que se conecte remotamente a nuestra maquina, una vez lo abran en la maquina víctima, permitiéndonos configurar una gran cantidad de shells, entre ellas la famosa meterpreter, shells ciegas de windows, shells remotas y todo esto para procesadores a 32 y 64Bits

Ataques por Correo en The Social-Engineer Toolkit

En esta completa suite para hacer ataques de ingeniería social, se incluye una sección especialmente dedicada al correo electrónico, permitiendo enviar correos falsos o desde una cuenta gmail, a una o muchas personas.

Ataques con dispositivos Personalizados en el The Social-Engineer Toolkit

Los dispositivos Teensy son todos aquellos aparatos en los que se ha utilizado la tableta programable Teensy en su elaboración, al ser altamente personalizable y programable se puede emplear en procesos de auditorias en seguridad como ya nos ha mostrado IronGeek en la defcon 18 y SET nos facilita la tarea al programar estos dispositivos, ofrecernos rutinas que al conectar un dispositivo de estos nos podría poner a bajar una aplicación externa o ingresar a un sitio especifico y aceptar un applet de java, infectandonos en el proceso.

Falsificando Mensajes de texto en el The Social-Engineer Toolkit

Uno de los vectores de ataques mas eficientes a los que tenemos acceso con el SET, es el de envío de SMS (mensajes de textos) falsos, con los que podemos suplantar el numero telefónico que envía el mensaje, haciéndole pensar al receptor que efectivamente esa persona es quien le ha escrito, también incluye una opción para el envío masivo de SMS, por lo que podríamos enviar el mensaje a un mayor numero de destinatarios sin problema (la posibilidad de envíos a teléfonos fuera de estados unidos, depende de la disponibilidad del servicio por parte de las empresas prestadoras SohoOS, Lleida.net, SMSGANG).

Actualizando Metasploit y The Social-Engineer Toolkit

El SET esta ligado fuertemente al metasploit Framework, ya que muchas de sus funcionalidades las saca de este, por tanto incluye la posibilidad de actualizarlo desde su propia interface, así como incluye un actualizador para el mismo (recomendable que lo hagas cada que inicies el programa).

La interface web de The Social-Engineer Toolkit

En la versión 1.0 del SET se ha integrado una interface web, para lanzar todos los tipos de ataque que mencionamos anteriormente, para iniciar esta interface, solo tienes que ejecutar ./set-web o Python set-web.

Abrimos la dirección 127.0.0.1:44444 en nuestro navegador y nos aparecerá la interface gráfica del SET, desde donde podremos lanzar cualquiera de sus ataques.

Los dejo con el video de presentación de la versión 1.0 del Social Engineer Toolkit

Y los video tutoriales que publicamos hace un tiempo en la comunidad sobre esta herramienta.

Descargar el The Social-Engineer Toolkit

Mas Información:
Pagina Oficial de SET
Manual Oficial de SET
Manual de SET en el Metasploit Unleashed

También puede interesarte...

• SMS Spoofing
• Google por linea de comandos
• Video Tutorial SET (Social Engineering Toolkit)
• Curso de Python dictado por Google
• ¿Qué es la Ingeniería Social?
• MultiInjector – Herramienta Automática de Inyección SQL
• Que es Ingeniería Social
• Iguna, Herramienta gratuita para realizar de pruebas de penetración

La ingeniería social es una de las puertas de acceso mas utilizadas por los delincuentes, para robar tu información personal o infiltrarse en una empresa. Por este motivo cada pentest que realicemos a una organización, siempre debe incluirse técnicas de ingeniería social, para ver que tan vulnerable es la empresa a este tipo de ataques y tomar las medidas correspondientes.

SET (Social Engineering Toolkit) es un kit de herramientas que nos ayudara en la tarea de realizar ataques de ingeniería social, nos permite suplantar fácilmente la identidad de un sitio determinado, o enviar ataques por mail a las cuentas de correo de la compañía, infectar memorias usb o cds/dvds infectados, todo esto perfectamente integrado con el grandioso Metasploit Framework.

A continuación, les dejo una serie de vídeo tutoriales para aprender a utilizar correctamente este kit de herramientas, espero que lo disfruten:

Parte 1 – Introducción

Parte 2 – Credential Harvester

Parte 3 – Ataque JAVA Applet

Parte 4 – Creando Phishing

Mas Información:
Social-Engineering Toolkit

También puede interesarte...

• DLL Hijacking con Metasploit
• Video Tutoriales de Metasploit Framework
• Manual en español de Meterpreter
• Manual de Metasploit Framework en Español
• Vídeo: Introducción al Metasploit Framework
• Creando un Exploit Paso a Paso
• Metasploit Framework 3.3.2
• Metasploit Framework 3.2 Portable para Windows

Les dejo entonces la explicación de nonroot sobre ingeniería social para aprender mas sobre estas herramientas.

La banda sonora de los podcast no pretende dar muestra de lo geek de su autor…. jejejeje

Otros podcast de esta serie:

• ¿Que son los Sniffers?
• ¿Que es la Ingeniería Social?
• ¿Que son los Firewalls?
• ¿Que son los Proxies?
• Las Debilidad en Protocolos

También puede interesarte...

• Podcast y Video Podcast de Seguridad Informática en Español
• Mundo Hacker TV
• 101 Libros de Seguridad Informática Gratis
• BugCON 2012
• THD’ Weekend llega a Ecuador
• Curso Gratis de Seguridad y Redes en el Sena Virtual
• IntyPedia – Enciclopedia visual de la Seguridad Informática
• Call for Papers abierto para el ACK Security Conference

“la única solución es la educación” doy mi granito de arena dando a conocer a la mayor cantidad de gente esta información y les adjunto un documento que es recomendable leer (Ingeniería social)

También puede interesarte...

• IntyPedia – Enciclopedia visual de la Seguridad Informática
• Cómo conservar la privacidad en las redes sociales
• The Real Hustle – Los fraudes al descubierto
• Introducción al análisis de Malware
• Vídeo tutoriales sobre seguridad Web por OWASP
• Documental sobre Arduino en Español
• The Social-Engineer Toolkit
• Exploit 0day para Internet Explorer en Windows 7