Herramienta OSINT para buscar en bases de datos de URLs de kits de phishing.
|
Muchas brechas de redes y sistemas de grandes corporaciones comienzan con un correo electrónico de Phishing bien diseñado y persuasivo. Las organizaciones y empresas para evitar estar brechas, deberían formar continuamente a su personal para detectar correos electrónicos falsos y potencialmente maliciosos.
El Phishing consiste en el envío de correos electrónicos que simulando proceder de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que al ser pulsado, lleva a páginas Web falsas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que en realidad, va a parar a manos del estafador. La mayoría de los ataques Phishing son consecuencia de las masivas infecciones de ordenadores zombie. Las redes formadas por los troyanos(botnet) que convierten el sistema en un zombie, son utilizadas para el envió de Spam y Phishing, ya que así se escudan en personas que no son conscientes de su infección para realizar estés ataques. En la actualidad estamos viendo que estas redes son utilizadas para ataques de ransonware con el caso de NetWalker, el malware de tipo ransomware empleado por los cibercirminales, que se está usando contra hospitales de Estados Unidos, España y Francia.
StalkPhish es una herramienta creada para buscar en bases de datos OSINT gratuitas para URL de kits de phishing específicos. StalkPhish está diseñado para tratar de encontrar fuentes de kits de phishing. Algunos estafadores no pueden eliminar las fuentes de su kit de phishing cuando lo implementan, o se olvidan de hacerlo. Con esta herramienta se puede intentar encontrar estas fuentes para extraer información útil como: direcciones de correo electrónico donde se envían datos robados, algo más de información sobre el estafador o el desarrollador del kit de phishing. Desde esas fuentes, se puede ampliar el conocimiento sobre la amenaza y las organizaciones, y obtener mucha información útil para la investigación de estos cibercriminales.
Caracteristicas de StalkPhish:
- Buscar URL donde se implementa un kit de phishing (de las bases de datos OSINT).
- Averiguar si el kit de phishing todavía está funcionando.
- Generar hash de la página de kits de phishing.
- Intenta descargar las fuentes del kit de phishing (tratando de encontrar el archivo .zip).
- Use un hash del archivo del kit de phishing para identificar el kit y la amenaza.
- Extraer correos electrónicos encontrados en el kit de phishing.
- Usar marcas de tiempo para el historial.
- Permite usar el proxy HTTP o SOCKS5 (para descargas).
- Permite agregar solo una URL a la vez en la base de datos.
- Permite almacenar el número AS en la base de datos.
Módulos OSINT
- API de búsqueda urlscan.io.
- Rastreador web de búsqueda urlquery.net.
- Alimentación OSINT libre de Phishtank (con o sin clave API).
- Alimentación OSINT libre de Openphish.
- API de búsqueda de PhishStats.
- Suplantación de identidad ( phishing).
Es necesario leer el archivo “example.conf” para una configuración de ajuste precisa. Algunos parámetros configurables son:
- search: palabras clave de fuente externa para buscar.
- log_file: el archivo de registro (la ruta y el archivo se crearán si no existen).
- Kits_download_Dir: directorio para almacenar archivos descargados de kits de phishing.
- sqliteDB_tablename: tabla de base de datos principal.
- sqliteDB_Investig_tablename: tabla de investigación con información útil para investigaciones.
- http_proxy: proxy HTTP/Socks5 para usar en descargas.
- UAfile: archivo de agentes de usuario HTTP para usar en kits de phishing HTTP Obtener información.
Más información y descarga de StalkPhish:
https://github.com/t4d/StalkPhish
Video demo de StalkPhish:
https://open.tube/videos/embed/79b9b1eb-4c75-42aa-a519-ee376d0b1341
Una colección de directorios de kits de Phishing:
https://github.com/Status-418/PhishingKits
1 pensamiento sobre “Herramienta OSINT para buscar en bases de datos de URLs de kits de phishing.”