Cómo instalar y ejecutar PyPhisher en Kali Linux Herramienta de phishing
El ataque de phishing con kali Linux es una forma de ciberataque que suele basarse en el correo electrónico u otros métodos de comunicación electrónica como los mensajes de texto y las llamadas telefónicas. Es una de las técnicas más populares de ingeniería social. Donde los hackers se hacen pasar por una organización o entidad de confianza y engañan a los usuarios para que revelen información sensible y confidencial.
Social Engineering Toolkit o SET para abreviar es el estándar para las pruebas de ingeniería social entre los profesionales de la seguridad e incluso los principiantes deben tener una idea básica sobre el uso de la herramienta. Básicamente, implementa un ataque de ingeniería social basado en el ordenador.
El phishing evoluciona constantemente para atrapar a los usuarios inocentes de los ordenadores. Los consejos de seguridad recomendados serán comprobar siempre la URL de un sitio web en el navegador y utilizar la autenticación de dos factores, ya que proporciona una capa de seguridad adicional a su cuenta.
Cómo utilizar el kit de herramientas de ingeniería social en Kali Linux para el phishing
Los problemas de phishing en Instagram se están convirtiendo en un problema cada vez más grave para todos los usuarios de esta plataforma, especialmente para las cuentas de empresa de Instagram. Esto se debe a que los hackers están constantemente “mejorando su juego” y sus métodos para engañar a los usuarios desprevenidos son cada vez más sofisticados día a día.
Otro de los métodos más conocidos proviene de la tergiversación de los procesos para conseguir la insignia verificada de Instagram. Estas insignias azules suelen concederse a cuentas de influencers famosos y a cuentas de empresas. Los hackers envían correos electrónicos de autenticación falsos con enlaces de phishing, pidiendo a los usuarios que verifiquen sus cuentas utilizando la página de inicio de sesión falsa proporcionada. Por supuesto, la cuenta es robada una vez que el usuario introduce sus credenciales en el enlace de phishing.
Sin duda, los hackers imitarán la página de inicio de sesión real lo mejor que puedan. Como podemos ver a continuación, buscando con la consulta “title:Login Instagram” utilizando el filtro de título en Asset Search, podemos encontrar resultados de servidores que alojan tanto la página de inicio de sesión real como las páginas de imitación en la página de resultados.
Cómo funciona el phishing en Instagram
Recientemente ha surgido una nueva campaña de phishing en Instagram. Descubierta por primera vez por Vade a finales de julio, la estafa se aprovecha del codiciado programa de verificación de Instagram para engañar a las víctimas y hacer que divulguen información personal y credenciales de la cuenta. El ataque malicioso se dirige a usuarios específicos de la plataforma de redes sociales, mostrando más sofisticación que otras campañas de phishing que persiguen a las víctimas de forma indiscriminada.
Los hackers esperan que estas tácticas disimulen los signos de una estafa de phishing, incluido el contexto del correo electrónico. Instagram confía en que los usuarios soliciten la pregonada insignia azul y no se pone en contacto con ellos directamente. Además, la empresa reserva la verificación a personajes públicos y famosos, no a usuarios normales.
Otros signos sugieren un caso clásico de phishing. Los errores gramaticales y las erratas aparecen varias veces en el texto -la carta de presentación habitual de los malos actores extranjeros-, incluida la frase “Gracias, equipo de instagram”. El correo electrónico también insta a actuar con rapidez -otro sello distintivo de los correos electrónicos de phishing y spear phishing- diciendo a la víctima que “si ignora este mensaje, el formulario se eliminará permanentemente en 48 horas”.
Cómo los hackers crean páginas de phishing para las redes sociales
La autenticación de dos factores (2FA) ha sido una gran ayuda para los usuarios que quieren un método sencillo para reforzar la seguridad de sus cuentas en línea. Sin embargo, no es un método infalible para mantener alejados a los atacantes. De hecho, la 2FA -o al menos sus notificaciones- está siendo aprovechada por los ciberdelincuentes para estafar a los usuarios de Instagram con la esperanza de obtener lo mismo que los propietarios de las cuentas de las redes sociales quieren proteger: sus credenciales de acceso.
Según una publicación del blog de Sophos, el astuto ataque de phishing comienza con un correo electrónico que notifica a la víctima potencial que su cuenta de Instagram ha experimentado un inicio de sesión no autorizado. En el correo electrónico se incluye un código de seis dígitos y un enlace incrustado, que supuestamente lleva a una página de confirmación de Instagram. El mensaje menciona que el usuario tendrá que confirmar su identidad visitando el enlace.
Un aspecto interesante del sitio web de phishing es que utiliza un certificado HTTPS válido, lo que coincide con los hallazgos de que los sitios web de phishing que utilizan el protocolo HTTPS han ido en aumento.
