Phishing: mejorando nuestras campañas

Una de las cosas más importantes a la hora de realizar una campaña de phishing [N.d.E. como es obvio, siempre desde la legalidad] es asegurarse de que nuestro correo consigue evadir los filtros anti-spam y así poder llegar a la bandeja de entrada de nuestra víctima.

En este post no se va a explicar cómo se utiliza Gophish, que ya hemos mencionado en algún post, simplemente se van a explicar una serie de pasos a seguir para que nuestros correos sean más confiables. No está de más añadir que siguiendo estos pasos no asegura un éxito del 100%, cada gestor de correos tiene sus propias reglas de filtrado.

Partimos de la base de que Gophish ya está instalado, por lo cual el siguiente paso sería obtener un dominio y realizar una serie de cambios en la administración de DNS.

En primer lugar vamos a establecer un nuevo registro SPF que es el encargado de identificar los servidores de correo que pueden enviar mensajes en nombre de nuestro dominio.

El registro SPF quedaría de la siguiente forma:

TXT        @           v=spf1 a mx ip4:IP ~all

Donde:

  1. v: versión utilizada de spf.
  2. mx: autoriza a las máquinas con la IP de los registros MX.
  3. Ip: la ip del vps donde esté GoPhish.
  4. ~all: desautoriza a las máquinas que no encajen en lo autorizado explícitamente

Después agregaremos un registro A, estos registros enlazan un dominio con la dirección IP física de un ordenador que aloja los servicios de ese dominio.

Quedaría de la siguiente forma:

A             @           IP

Para terminar, nos queda el registro MX que es aquel que define cuál es el servidor de correo electrónico para el dominio.

Por ejemplo podría ser:

MX         @           smtp.nuestrodominio.com

Una vez terminado con los registros, otro paso importante es que cuando se acceda a nuestra landing page no aparezca la dirección IP, sino el nombre de dominio. Y como una imagen vale más que mil palabras aquí tenemos como quedaría:

Con esto damos por finalizados todos los ajustes de DNS, y nuestro próximo paso va a ser la configuración e instalación de un servidor de correo de software libre, en este caso Postfix.

Desde nuestra terminal escribimos:

[RedTeam] > ~: sudo apt-get install postfix

Una vez instalado habrá que realizar unas modificaciones en el fichero de configuración que se encuentra en /etc/postfic/main.cf, será importante realizar cambios en los parámetros:

  • myhostname: aquí especificamos el nombre FQDN (fully qualified domain name).
  • mydomain: aquí tendremos que especificar el nombre del dominio
  • mynetworks: aquí definimos qué redes o hosts pueden enviar correo a través de nuestro Postfix.
  • mydestination: específica los dominios que el equipo usará para entregar los correos localmente, esta línea la podemos dejar comentada.

Para que los cambios surjan efecto tendremos que reiniciar el servicio con:

[RedTeam] > ~: sudo service postfix restart

Con todos estos cambios que hemos realizado todavía nos faltaría modificar otra cosa más, esta vez en Gophish.

A la hora de crear un sending profile  hay que tener en cuenta que se ha de modificar el campo Host (por defecto viene como localhost: 25), lo tendremos que modificar por el nombre que hayamos puesto en el registro MX.

Este pequeño detalle es bastante importante, ya que si lo dejamos por defecto en las cabeceras del correo aparecerá localhost y le restará puntos a nuestro correo.

Ahora que ya lo tenemos todo modificado ¿cómo comprobamos el nivel de spam de nuestro correo? Pues muy fácil, existen diversas herramientas on-line que nos permiten obtener un indicador de esto.

Una de las que más me ha gustado ha sido https://www.mail-tester.com/ la cual nos permite analizar hasta 3 correos al día de forma gratuita. Podemos registrar una cuenta para obtener 20 análisis o, si no queremos dar datos, utilizar distintas direcciones IP.

Y además, podemos ver en detalle donde hemos fallado, y de está formar poder ir ajustando la configuración de postfix, Gophish y nuestra plantilla de correo con tal de ir mejorando la puntuación:

Finalizar agradeciendo a Alberto Sáez y Pablo Arias la ayuda que han aportado en la recolección de toda esta información para ir mejorando las campañas de phishing.

Referencias

https://es.godaddy.com/help/administrar-dns-680

Ver también en:

Comments

  1. Muy interesante y no solo desde el punto del que infecta, sino para saber reconocerlos.