(http://i64.tinypic.com/119y1km.jpg)
El phishing como un servicio: esta web permite hacerlo a cualquiera sin conocimientos técnicosEfectivamente, has leído bien:
ya no es necesario contar con conocimientos avanzados para hacer phishing y suplantar la identidad de determinados servicios, sino que la firma
Fortinet acaba de descubrir un sitio que permite a cualquiera hacerlo de un modo escalofriantemente sencillo.
En concreto se trata de Fake Game, un portal ruso que ya en su descripción se jacta de ser
"el lugar para secuestrar cuentas". De hecho, asegura (en el momento de escribir estas líneas) haberlo logrado ya con más de 700 mil. Una cifra que actualiza en tiempo real y que, no obstante haber afectado ya a cientos de usuarios de productos de empresas de la talla de Facebook, Google y otros muchos, sigue activa.
En qué consiste Fake Game(http://i63.tinypic.com/2qwemop.jpg)
Así con ella, todo aquel que quiera
"jugar a ser un ciberdelincuente" ya puede hacerlo. Sí, porque esta página y según explica la citada empresa de seguridad, ha convertido el phishing en una suerte de servicio que, por cierto, lleva activo desde hace más de un año y que cuenta con el número nada desdeñable de 60 mil usuarios activos.
Y no es de extrañar si tenemos en cuenta (además del amplio abanico de personas malintencionadas) lo fácil que es ponerlo en marcha –incluso cuenta con videotutoriales específicos y un bot de asistencia técnica-. Para empezar, eso sí, la plataforma solicita a los interesados que se registren, momento a partir del cual podrán empezar a explotar sus (cuestionables) posibilidades.
(http://i63.tinypic.com/2qwemop.png)
El siguiente paso, tal y como explica
Fortinet, será entonces elegir qué tipo de credenciales (de qué servicio) se quieren hackear. Las páginas de phishing se encuentran disponibles, además de para las citadas herramientas, para Warface, Steam, Wargaming, Google, Mail.ru, Yandex y Classmates. Una lista que deberías tener en cuenta si crees que podrías haber sido víctima de este tipo de ataque. Pero vayamos con un caso concreto.
(http://i64.tinypic.com/2ajyzi8.jpg)
De esta manera, si el cliente decide simular la herramienta de phishing de Gmail, el servicio automáticamente genera un enlace que contiene el subdominio gmail. El link incluye un identificador para cada usuario, de manera que puede saberse (e incluso hacer un seguimiento) si las cuentas robadas han sido obra de una misma persona.
(http://i65.tinypic.com/2yy8qb4.jpg)
Para ponerlo en marcha, por supuesto, tendrá que hacérselo llegar al potencial afectado. El aspecto que tendrá la página sería el que se muestra justo arriba de este párrafo. Una vez que este introduzca los credenciales, el interesado recibirá este aviso. Además, la web Fake Game cuenta con una función que verifica la validez de la información obtenida. De no serlo, muestra un mensaje de error y vuelve a cargar la supuesta web, llevando al objetivo al primer paso.
(http://i68.tinypic.com/30sya07.jpg)
(http://i67.tinypic.com/293klg7.jpg)
Para acabar y con el fin de ayudar a los cibercriminales novatos a sacar provecho de la plataforma, esta les proporciona un hipervínculo que les redirige a otro sitio ruso donde pueden vender las credenciales que han robado por un precio que ronda entre los 0,015 dólares y los 15,39. La web también les permite ponerse en contacto con otros usuarios para intercambiar opiniones.
Dicho lo cual y analizado su funcionamiento, Fake Game es un ejemplo clásico de "delincuencia como prestación", una clase de servicios que permiten a los aspirantes a delincuentes cibernéticos participar en actividades ilícitas no obstante carecer de conocimientos técnicos específicos.
Fuente: genbeta.com
La descripción de los amigos de
genbeta.com no solamente es clara, sino que evidencia lo simple que es montar un phishing. Esto,
desde mi perspectiva tiene dos puntos de análisis; por un lado la necesidad de educar al usuario común en seguridad (observando en enlace es fácilmente detectable el engaño), y por otro, este tipo de servicios fomenta las actividades lamers.
Posiblemente, de la mano de puros clics, no faltarán h4x0r5 [modo irónico ON], que ocupen el servicio (alcanza ver el número de registrados que cita la noticia) no solo para el engaño; sino para imputarse conocimientos de los que carecen. Bastante lamentable para los auténticos profesionales de la seguridad y el hacking.
Saludos
Gabriela.
hola gabriela ;D oye le estuve revisando tu post y la curiosidad me mato y entre a la pagina la cual es muy sencilla y te enseña como usarla pero algo que estoy viendo es que es detectada por el sistema de google chrome igual que mozilla firefox aparte de que la victima tiene que aceptar que esta corriendo el riesgo la pagina aparece rusa ;D ;D lo cual veo que ninguna victima se va ah comer este phishing
Entrando en la pagina
(https://i.imgur.com/MnKHbIV.png)
Accediendo a la pagina
(https://i.imgur.com/DqeJN7C.png)
Ay muchos modelos de falsificaciones etc pero en verdad las que pasan el sistema de google son los vip que para estos se necesitar pagar y aparte nunca vi donde se podia modificar el idioma :D
@Gabriela (https://underc0de.org/foro/index.php?action=profile;u=37488)