viernes, 10 de enero de 2014

Spoofing, suplantando tu identidad (IV de VIII)

Aunque la suplantación de identidad por mail o por IP, suele ser muy tentador, puede que un atacante quiera ir mas allá y hacer un ataque mas atrevido, como puede ser un ataque de phone spoofing. Bajo esta técnica se puede utilizar tanto el SMS spoofing, como el Caller ID spoofing y hacerse pasar por alguien mas, como lo puede ser tu jefe o el administrador de sistemas de tu empresa. 

Definitivamente para realizar este ataque, el atacante debe conocer bien el listado de números telefónicos de la empresa y trata dialogar con alguna persona importante dentro de la empresa, a fin de captar su tonalidad de voz. Esto me hace recordar que durante un curso en la Universidad, llegue a imitar la voz del catedrático de dicho curso, con el fin de bromear con los amigos después de un tiempo era sumamente difícil notar la diferencia entre su tonalidad y la mía. Un ataque de igual forma podría tomarse el tiempo para afinar sus cuerdas vocales y posteriormente elaborar un buen ataque de ingeniería social. 

Por supuesto, estos ataques van mas allá del entorno empresarial, pues podría utilizarse para hacer phishing por medio del móvil, solicitando números de seguro social, datos de tarjetas de crédito y demás o peor aun, si alguien quiere hacerte daño, bastaría con comunicarse contigo, haciéndose pasar por alguien a quien tu le tengas confianza y citarte en un lugar, al cual seguramente asistirías.

Caller ID Spoofing

Para realizar una llamada con un identificador falso hay múltiples opciones, desde sitios web, donde en algunos de los casos te dejan probar un trial del servicio, y después pagas por el, otros completamente de pago y otros completamente gratuitos, pero con restricciones hacia algunos paises.

También puedes hacerlo con metasploit y SIP:  

 Spoofing Caller ID
También puedes hacerlo con tu Iphone, para mayor comodidad, aunque tendrás que disponer de unos cuantos dolares para contratar el servicio.  
Utilizando Spoofcard en Iphone  
SMS Spoofing
Para realizar este ataque, de igual forma puedes valerte de servicios gratuitos o de pago que hay en la red, te dejo uno por si quieres hacer la prueba fakemsg.com, también puedes utilizar algunas aplicaciones para smartphones. O si lo prefieres hacerlo desde SET.  
 SMS Spoofing desde SET
 
Ahora ya sabes que no debes de fiarte de las llamadas o mensajes que te puedan llegar al móvil, si un día recibes un sms sospechoso, donde el administrador te pide, tus credenciales del sistema, para verificar algún evento del sistema, o algún amigo o familiar te pide algo por alguna llamada telefónica, cerciorarte de que es verdaderamente esa persona la que te lo esta solicitando, porque puede que este siendo victima de un ataque de phone spoofing.    
  
Saludos.
Lexer Pars.


*************************************************************************************************************************************** Spoofing, suplantando tu identidad (I de VIII)
Spoofing, suplantando tu identidad (VIII de VIII)
***************************************************************************************************************************************

No hay comentarios:

Publicar un comentario