Que és un Xploitz i com s'utilitza.
Aprèn com s'utilitza un Xploitz per hackejar el 2022
Si vols saber que és i com s'utilitza un Xploitz ets al lloc adequat.
Primer que tot hi ha un parell de punts que aclarir, XNUMX Explotar no és el mateix que un Xploitz. El primer és un programa informàtic o una ordre que provoca comportaments imprevistos en un programari / maquinari. Aquest programa o ordre informàtic aprofitarà una fallada per poder provocar errors i et permetran prendre part de control sobre el sistema atacat. Generalment sol ser per aconseguir privilegis de admin per part de l'atacant o per llançar ciberatacs com DoS o DDoS, dels quals parlarem en un altre article
El Xploitz sol basar-se en enginyeria social. Pel que fins i tot requerint d'un nivell de programació adequat no té la mateixa intencionalitat que l'anterior.
A més, cal aclarir que la nostra intenció a l'redactar sobre això és purament Acadèmica i que no intentem fomentar a l'ús d'aquesta pràctica ja que l'ús d'un Xploitz és TOTALMENT IL·LEGAL.
La intenció d'aquest article és que entenguis el seu funcionament per evitar caure en aquests mètodes i conscienciar de com resulta de fàcil piratejar i la poca seguretat que s'ofereix a la xarxa.
És important aclarir aquests punts.
Comencem.
Què és un Xploitz?
Com ja hem dit, el Xploitz sol funcionar per Enginyeria Social. La intenció d'aquest és aconseguir dades d'accés a plataformes o comptes mitjançant l'engany i així aconseguint que la víctima et faciliti les dades de forma voluntària. Sense entrometerte en el seu dispositiu amb codis complexos.
Hi ha diverses plataformes que ofereixen la feina feta. Pudes veure-les fent una simple cerca a google, encara que per ara no parlarem d'elles. Aquí anem a entendre el seu funcionament.
L'Xploitz consisteix a clonar i falsificar les planes de log-in d'una plataforma concreta amb la qual llançarem l'atac mitjançant enginyeria social. En aquest cas ho exemplificarem amb Instagram. Tot i que ja hem parlat de diferents mètodes per hackejar instragram, si t'interessa obtenir informació sobre això et recomanem revisar aquest article:
Primer pas: clonar la plana de log-in Instagram.
Mitjançant programació, per fer-ho d'una manera senzilla podem modificar els apartats de "usuari i contrasenya" utilitzant un mòdul de formulari de contacte modificat. Deixant els apartats d'usuari i contrasenya com a camps obligatoris i canviant el disseny d'aquest mitjançant html i CSS. El formulari disfressat de log-in, permetrà que quan la persona introdueixi les credencials ja faci clic a Inicia la sessió aquest formulari ens enviï de manera instantània les dades introduïdes en aquests dos camps. La víctima, en lloc de trobar-se amb "el teu missatge ha estat enviat", es trobaria amb el missatge que les dades que s'han introduït són incorrectes. Seguidament la plana falsa haurà redireccionar automàticament a la plana original de l'log-in REAL d'Instagram. Així la víctima mai es donarà compte del que acaba de passar i que acaba d'enviar les seves dades voluntàriament mitjançant un Xploitz en tota regla.
Hi ha diferents mètodes amb el mateix resultat, en aquest cas, per explicar-ho d'una manera entenedora i senzilla per als més principiants he volgut explicar-ho amb un Formulari de Contacte modificat que ens donaria l'enteniment l'ús que estem buscant. Encara que podem fer-ho de mil maneres diferents.
Com clonar un web fàcil.
Hi ha un programa, HTTrack , Que clona de manera exacta les pàgines web que li posem, pel que això serviria per clonar en HTML i CSS el web que es vol suplantar. Clonaríamos bàsicament la plana de log-in i desecharíamos la resta. Aquí ens tocaria modificar els links de destinació de la plana original per quedar-nos només amb la pàgina desitjada, després introduir la funcionalitat de l'Formulari modificat als apartats d'Usuari, contrasenya i Inicia la sessió. A punt, tenim la plana desitjada, només haurem de pujar-la a un domini web. Si pot ser, un domini que tingui relació amb el nom "Instagram".
Enviament de plana i Enginyeria Social
Un cop tenim el Xploitz preparat, anem a la part més interessant i creativa.
Si coneixem de primera mà la víctima en qüestió, resulta molt més senzill utilitzar enginyeria social per aconseguir fer-la caure. Necessites que la persona introdueixi les seves credencials en aquesta plana, pel que hauràs de fer-les arribar d'alguna manera.
Els mètodes més utilitzats són mitjançant correu electrònic o contacte per xarxes socials. Encara que per mail sol ser molt més eficaç.
Comptes de correu modificades.
Per fer-ho el més creïble possible, havent falsificat la plana d'Instagram dels que es dediquen a fer Xploitz necessiten utilitzar un correu electrònic creïble, per exemple support-instagram@gmail.com o una altra adreça de correu semblant que puguin crear per enviar la plana desitjada . Si adquireixes un domini web com per exemple "instagramssupport.com" o semblant, l'adreça de correu serà molt més creïble que un gmail.com, d'aquesta manera podríem utilitzar comptes de correu com "no-reply@instagramssupport.com" que donaria molta més credibilitat a l'correu.
Fa temps, vaig rebre un intent de Xploitz o Pishing el qual escric en el següent article, et servirà per saber Indentificarlos.
Un cop tens el compte de correu creat simplement pots enviar un mail a la persona a la qual es dirigeix el Xploitz amb un títol cridaner com:
S'ha detectat un Inici de sessió no autoritzat al teu compte.
Com en aquest exemple:
Després en el text de l'electrònica doncs el següent:
Al mail s'introdueix el link en qüestió mitjançant un "text àncora". Això és escriure https://www.instagram.com/ però canviar-li la direcció on t'envia. En aquest cas si entres a aquest link et enviarà a un altre lloc. La persona pensarà que està sent enviada a l'URL de destinació, però estarà sent enviada a un XPLOITZ.
En aquesta imatge, el Xploitz en qüestió és de baixa qualitat, si es té informació de la víctima llavors es dirigirà a l'idioma utilitzat per aquesta persona i es personalitzarà d'una manera més creativa. Fins i tot incuyendo imatges que poden ser copiades dels mails rebuts d'instagram, per aparentar més realisme.
Complementat amb Enginyeria Social
Per poder llançar el xploitz i augmentar-ne dràsticament els resultats, els hackers utilitzen enginyeria social per aconseguir informació a prop de la víctima.
Això permetrà al hacker poder personalitzar el correu electrònic d'una manera molt més realista o trobar altres “punts febles” que facin funcionar Xploitz. Si vols aprendre més a prop com apliquen l'Enginyeria social per piratejar.
I així de fàcil pots caure en un Xploitz i patir un robatori d'identitat.
Si us ha semblat interessant, agraïm que compartiu la informació per poder arribar a més gent. D'altra banda, si vols saber si les teves dades estan rodant per internet perquè has estat hackejat et recomano revisar-ho en aquest article.
