Un blog de Seguridad Informática, desde un punto de vista tecnológico

Uso de SMS Spoofing desde SET

Aprovechando la publicación de los vídeos de la NcN, para aquellos que estén interesados, comentamos que durante la charla se realizó una demostración del uso de la funcionalidad de “SMS Spoofing” que se ha añadido a la versión 1.0 de Social Engineering Toolkit (SET). Por cierto, aprovechamos tambén para agradecer a Dave Keneddy la “acogida” de la aportación al framework de SET. Ha sido un auténtico placer poder colaborar con este proyecto.

En este post nos gustaría acabar de repasar las diferentes opciones disponibles des de la funcionalidad de “SMS Spoofing”.
Tras ejecutar SET, se puede acceder a las opciones de “SMS Spoofing” desde el menú principal, con la opción “7”:

Ya desde el menú de “SMS Spoofing” se puede acceder a las siguientes opciones:

  1. Realizar un ataque de SMS Spoofing
  2. Crear una plantilla

Veamos a continuación la utilización de ambas opciones.

Realizar un ataque de SMS Spoofing

Si se selecciona la opción “Perform a SMS Spoofing Attack” se accederá al menú de ataque permitirá seleccionar, antes que nada, la posibilidad seleccionar como objetivo un número de teléfono o un diccionario de números:

Si se selecciona la opción “SMS Attack Single Phone Number” se pedirá al usuario el número de teléfono objetivo:

Sobre el formato de los números de teléfono de destino, destacar que se ha de incluir el código de país.
Si se utiliza la segunda opción, “SMS Attack Mass SMS”, se deberá especificar la ruta absoluta del diccionario de teléfonos:

El formato del diccionario de teléfonos es un fichero de texto plano con los números de teléfono separados por un salto de línea.
A continuación, sea cual sea la opción que se haya elegido para especificar los objetivos, se permitirá al usuario construir el mensaje SMS para el ataque desde 0, o bien utilizar una de las plantillas existentes:

Si se elige la la opción “1. Pre-Defined Template” se mostrará un listado de plantillas con mensajes que pueden ser utilizados para ingeniería social (aunque es recomendable modificar el mensaje para adecuarlo a cada ocasión). De la plantilla se obtendrá el número de origen y el texto para el mensaje:

Si se opta por la opción “2. One-Time Use SMS” se deberá proporcionar la siguiente información:
– El número de teléfono (spoofeado) que se quiere utilizar como origen del mensaje.
– El texto del mensaje.

Finalmente, se le ofrecerá al usuario un listado de proveedores que se pueden utilizar para el envío de SMS Spoofeados.
La lista incluye un proveedor gratuito (SohoOS), que últimamente ha dejado de ofrecer servicio, y dos servicios de pago (Lleida.net y SMSGANG). En el caso de utilizar servicios de pago habrá que proporcionar las credenciales de usuario.
Cabe destacar que con todos los proveedores es posible el envío de mensajes SMS a números españoles.
Finalmente, también se incluye, para la realización de pruebas, la posibilidad de realizar envíos de SMS a una instancia del emulador de Android ejecutándose localmente.

Creación de Plantillas

Si desde el menú de “SMS Spoofing” se selecciona la opción “Create a Social-Engineering Template”, el usuario podrá crear plantillas para ser utilizadas posteriormente durante ataques de SMS Spoofing. La información que se le pedirá al usuario para construir la plantilla es la siguiente:

  • El nombre del autor
  • El teléfono de origen del mensaje
  • El tema de la plantilla
  • El cuerpo del mensaje

Únicamente los parámetros “teléfono de origen” y “cuerpo del mensaje” se utilizarán para el envío del mensaje, el “nombre del autor” y “tema de la plantilla” se utilizan para la organización de la colección de plantillas.
La plantilla resultante se almacenará en el directorio “$SET/templates/sms”, dónde también puede encontrarse la colección de plantillas que se ha creado a partir de mensajes SMS reales y que pueden utilizarse durante la realización de pruebas de ingeniería social.
Para aquellos que quieran revisar el código de “SMS Spoofing” se facilita un diagrama del diseño (bueno, intenta serlo :)) de la modificación realizada a SET:

Finalmente, algunas referencias para aquellos que quieran más información acerca del uso de SET:

– Información en el Social Engineering Framework: http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_%28SET%29Video tutoriales: http://www.secmaniac.com/movies/

– Video Tutoriales: http://www.secmaniac.com/movies/

– En castellano, post en DragonJar en el que se cubren las novedades de la versión 1.0: http://www.dragonjar.org/the-social-engineer-toolkit.xhtml

Anuncios

17 comentarios

  1. Pingback: Falsificar remitente en mensajes de texto (SMS spoofing) | Openanimo

  2. unknown

    Genial aportación a SET y muy buen post presentando las funcionalidades añadidas.

    El diagrama de diseño perfecto por si alguien le quiere continuar metiendo mano 🙂

    Gracias y un saludo!

    2 diciembre, 2010 en 22:21

    • juan vazquez

      muchas gracias ! 🙂

      Nos alegramos de que se encuentre útil la aportación! Si alguien utiliza la funcionalidad y quiere añadir algún comentario o feedback será super bienvenido!

      slds,

      juan

      3 diciembre, 2010 en 0:27

  3. Pingback: SMS Spoofing

  4. argentina

    ¿Qué es castellano? Aquí no hablamos eso.

    3 diciembre, 2010 en 15:15

    • Julian Vilas

      Buenas argentina,

      disculpa por el lío 🙂

      En España hay otras lenguas oficiales en diversas comunidades autónomas (Catalán, Gallego, Euskera, etc.), y a veces se suele denominar “Castellano” al “Español”.

      Gracias y saludos.

      3 diciembre, 2010 en 17:17

  5. Pingback: Uso de SMS Spoofing desde SET « Red-Orbita

  6. No funciona el SMS Spoofing Attack Vector con el servidor SohoOS, alguna solucion? Decian que habeces daba fallos, alguien sabe si va a volver a estar ON?

    22 diciembre, 2010 en 15:57

    • juan vazquez

      Hola Critikalhack,

      Cierto, el servicio ahora lleva ya un tiempo OFF. Personalmente, no sé si lo volverán a habilitar ni cuando. A ver si alguien te puede decir algo más 🙂

      Saludos!

      22 diciembre, 2010 en 21:33

  7. Funcionaria si se instala el Emulador de Android, ya que lo soporta, aunque en la documentacion no dice si se pueden enviar sms.

    De todos modos estoy instalandolo para probar y les dejo saber.

    30 diciembre, 2010 en 23:25

  8. juan enriq

    q cheveer3

    11 marzo, 2011 en 16:24

  9. Pingback: Uso de SMS Spoofing desde SET » Red-Orbita

  10. Rosaura

    Hola, me gustaría saber si hay algún modo para poder saber quien realmente ha sido quien ha enviado el sms falso. Alguien ha usado esta pesada broma contra mi, y me ha metido en un grave problema.

    18 junio, 2011 en 12:16

    • Julian Vilas

      Buenas Rosaura,

      tu operadora podría confirmarte el origen del SMS. Probablemente sea un servicio de mensajería masiva, y entonces tendrás que contactar con los responsables de este servicio para ver si te pueden proporcionar más datos del usuario que ha enviado el mensaje.

      Lamentablemente no puedes estar segura de que vayas a identificar a quien ha enviado el mensaje con esos datos, así que tendrás que tener suerte.

      Si tienes más dudas aquí estamos 😉

      Suerte con la investigación!

      18 junio, 2011 en 12:39

  11. Pingback: Falsificar remitente en mensajes de texto (SMS spoofing)

  12. quesiera registrarme en spoofing pero no se como sera que me pueden dar pautas

    18 abril, 2013 en 15:20

  13. asa

    no

    10 diciembre, 2016 en 0:49

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s