Modo compacto | Modo extendido

Buscar · 23-12-2010 12:08 PM

The Social Engineer Toolkit (SET) es una suite desarrollada en Python que consta de herramientas específicamente diseñadas para realizar ataques al elemento humano usando como método la Ingeniería Social en procesos de auditoría en seguridad (Pentesting). Está programado por David Kennedy (ReL1K).

Ahora vamos a instalar y explorar las principales opciones que nos ofrece esta aplicación.

Instalación
SET es multiplataforma, así que sólo necesitaremos tener instalado el intérprete de Python -en caso de usar Windows- para poder ejecutarlo.

Para descargar SET debemos de ejecutar en la terminal lo siguiente:

Código:

windhack@laptop ~ $ svn co http://svn.secmaniac.com/social_engineering_toolkit set/

O podemos descargar directamente el fichero .tar: Clic aquí.

Posteriormente ejecutamos como root:

Código:

windhack@laptop ~/set $ sudo ./set

[sudo] password for windhack:

Error!!! BeautifulSoup is required in order to fully run SET

Please download and install BeautifulSoup: http://www.crummy.com/software/BeautifulSoup/download/3.x/BeautifulSoup-3.0.8.1.tar.gz

Would you like SET to attempt to install it for you?

yes or no: yes

Me dio error debido a la falta de dependencias, pero automáticamente nos dá la opción de descargar e instalar por medio de la misma herramienta. Luego volvemos a ejecutar.

Ahora funcionó perfectamente. Podemos ver que ofrece opciones muy variadas desde la creación de correos fraudulentos hasta enviar mensajes de texto que ayuden en nuestro ataque.

A continuación veremos algunas de las principales opciones del SET.

Sistema de Phishing
Este sistema es bastante completo. Permite la creación automática de un sitio web falso para engañar al destinatario. También se pueden enviar correos masivos con archivos adjuntos maliciosos.

Creación de medios infectados
Permite crear el fichero autorun.inf y un payload de Metasploit. Al insertar el medio, sea este CD/DVD/USB se ejecutará automáticamente y posteriormente nos dará acceso a la máquina afectada.

Falsificación de mensajes de texto (SMS)
Esta es una de las opciones más interesantes y eficientes del SET, pues nos permite enviar mensajes de texto (SMS) falsos, suplantando el número telefónico del remitente, lo cual ayuda a la hora de hacerle creer al receptor que efectivamente ha sido enviado por esa persona o empresa. Además incluye la opción para el envío masivo de SMS sin problema.

Las empresas prestadoras del servicio de envío de mensajes son: SohoOS, Lleida.net, SMSGANG. La única gratuita es SohoOS, y debido a esa característica en el mayor de los casos es limitada.

Interfaz Web
Esta versión de SET ha integrado una fantástica interfaz web para lanzar cualquier tipo de ataque de una manera más cómoda e intuitiva. Para iniciarla sólo se debe ejecutar:

Código:

windhack@laptop ~/set $ ./set-web

Abrimos en el navegador la URL que nos indica y nos aparecerá la interfaz web de SET. (Muy cómoda por cierto)

--
Escrito para DaW - Labs & Cibernodo

Buscar · 23-12-2010 12:27 PM

la verdad que la ingenieria social es muy sabia.......debes contar además de con tu buen kit de herramientas debes contar con tecnicas de por decir asi psicologia........

Buscar · 23-12-2010 12:51 PM

Sí, ya lo dijo Kevin Mitnick:

"Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores"
-- Kevin Mitnick

Buscar · 23-12-2010 07:38 PM

Buenas herramientas, vamos, magníficas las tengo que probar algún día. Gracias Wind.

Buscar · 24-12-2010 02:32 AM

wow excelente post!!! no conocia esta herramienta parece ser muy prometedora para un buen pentesting.. veo que estuvo involucrado ademas Kevin Mitnick.
me intereso el sms spoofing y la posibilidad de usarla en combinacion del metasploit ..
se podria hacer un combo de: set con nmap y metasploit, seria interesante verlo en un ataque real :D

Buscar · 27-12-2010 01:32 PM

Actualización
Version 1.1 del Social-Engineer Toolkit con nombre clave “Happy Holidays”, en la que se incorporan las siguientes novedades:

• Cuatro nuevos Client-Side Attacks basados en Metasploit
• Optimizaron el servidor Web, los multihilos que manejaba y mejoraron algunas funcionalidades del codigo, para accelerar su funcionamiento
• Nueva opción set_config con la que podrás especificar si deseas o no redireccionar automaticamente por ejemplo a un applet de java en un ataque multiple del tipo Applet Java+ Credential Harvester de esta forma solo se redireccionará al applet de Java si la credencial fue aceptada.
• Se añadió soporte para UPX

Buscar · 02-02-2011 09:30 PM

Hola, este es mi primer post, así que un saludo a todos los foreros. Estoy haciendo pruebas con el SET, pero no consigo resultados. A ver si alguien me puede echar un cable:

He montado un punto de acceso wifi con airbase-ng (usando el script FakeAP_pwm), que funciona perfectamente, pero en cuanto pongo en marcha el SET fakeando una web, me cambia el ip_forward a cero, impidiendo el acceso a internet a los clientes y tampoco se puede entrar en la página falsa. No sé que más datos podrían ser útiles (el apache por ejemplo me monta el asunto en 127.0.1.1, en vez de 127.0.0.1, que supongo sería lo correcto).

Saludos.

PD: Si este no es el lugar correcto para plantear la duda, ruego a los administradores me lo hagan saber, o la trasladen directamente.