Se queres saber que é e como usar un Xploitz estás no lugar axeitado.
Primeiro de todo hai un par de puntos que aclarar, a Explotar non é o mesmo que un Xploitz. O primeiro é un programa ou comando de ordenador que provoca comportamentos inesperados no software / hardware. Este programa ou comando de ordenador aproveitará a falla de causar erros e permitiralle tomar parte do control sobre o sistema atacado. Xeralmente, adoita ser para obter privilexios de administrador do atacante ou para lanzar ciberataques como DoS ou DDoS, do que falaremos noutro artigo.
O Xploitz baséase normalmente na enxeñaría social. Polo tanto, aínda requirindo un nivel adecuado de programación, non ten a mesma intención que a anterior.
Ademais, é necesario aclarar que a nosa intención ao escribir sobre isto é puramente académica e que non intentamos fomentar o uso desta práctica xa que o uso dun Xploitz é TOTALMENTE ILEGAL.
A intención deste artigo é que comprendas como funciona para evitar caer nestes métodos e concienciar sobre o fácil que é ser pirateado e a pouca seguridade que se ofrece en Internet.
É importante aclarar estes puntos.
Comezamos.
Que é un Xploitz?
Como xa dixemos, o Xploitz adoita traballar para enxeñaría social. A intención disto é obter datos de acceso a plataformas ou contas mediante o engano e conseguir así que a vítima proporcione os datos voluntariamente. Sen entrar no dispositivo con códigos complexos.
Hai varias plataformas que ofrecen o traballo feito. Podes velos facendo unha simple busca en Google, aínda que polo de agora non imos falar deles. Aquí entenderemos como funciona.
O Xploitz consiste na clonación e/ou falsificación dos plans de inicio de sesión dunha plataforma específica coa que lanzaremos o ataque a través da enxeñería social. Neste caso imos exemplificalo con Instagram. Aínda que xa falamos de diferentes métodos para piratear Instagram, se estás interesado en obter información sobre el, recomendámosche que revises este artigo:
Primeiro paso: clonar a páxina de inicio de sesión de Instagram.
Programando, para facelo dun xeito sinxelo podemos modificar as seccións de "usuario e contrasinal" mediante un módulo formulario de contacto modificado. Deixar as seccións de usuario e contrasinal como campos obrigatorios e cambiar o deseño desta usando html e CSS. O formulario disfrazado de inicio de sesión permitirá que cando a persoa introduza as credenciais faga clic en Iniciar sesión, este formulario enviaranos ao instante os datos introducidos nestes dous campos. En vez de atopar "a túa mensaxe foi enviada", a vítima atoparía a mensaxe que os datos introducidos son incorrectos. A continuación, a páxina falsa debería redirixirse automaticamente á páxina orixinal do inicio de sesión REAL de Instagram. Deste xeito, a vítima nunca se dará conta do que acaba de ocorrer e que acaba de enviar voluntariamente os seus datos a través dun Xploitz de pleno dereito.
Existen diferentes métodos co mesmo resultado, neste caso, para explicalo dun xeito comprensible e sinxelo para os máis principiantes. Quería explicalo cun formulario de contacto modificado que nos daría a comprensión do uso que buscamos. Aínda que podemos facelo de mil xeitos diferentes.
Como clonar un sitio web sinxelo.
Hai un programa, HTTrack , que CLONAN exactamente as páxinas web que poñemos, polo que isto serviría para clonar en HTML e CSS a web que quere suplantar. Basicamente clonaríamos o plano de inicio de sesión e descartaríamos o resto. Aquí teriamos que modificar as ligazóns de destino da páxina orixinal para manter só a páxina desexada e despois introducir a funcionalidade do formulario modificado nas seccións Usuario, contrasinal e Inicio de sesión. Listo, temos a páxina desexada, só teremos que cargala nun dominio web. Se é posible, un dominio relacionado co nome "Instagram".
Envío de enxeñaría plana e social
Unha vez que temos o Xploitz preparado, imos á parte máis interesante e creativa.
Se coñecemos de primeira man á vítima en cuestión, é moito máis doado empregar a enxeñaría social para derrubala. Necesitas que a persoa introduza as súas credenciais nesa páxina, polo que terás que entregala dalgún xeito.
Os métodos máis empregados son por correo electrónico ou contacto a través das redes sociais. Aínda que por correo adoita ser moito máis eficaz.
Contas de correo electrónico modificadas.
Para facelo o máis crible posible, despois de ter falsificado a páxina de Instagram, os que fan Xploitz necesitan usar un correo electrónico creíble, por exemplo support-instagram@gmail.com ou outro enderezo de correo electrónico similar que poden crear para enviar a páxina desexada . Se adquires un dominio web como "instagramssupport.com" ou similar, o enderezo de correo electrónico será moito máis crible que un gmail.com, deste xeito poderiamos usar contas de correo electrónico como "no-reply@instagramssupport.com" que darían moita máis credibilidade ao correo.
Hai un tempo recibín un intento de Xploitz ou Pishing que escribo no seguinte artigo, axudarache a identificalos.
Unha vez que teña creada a conta de correo electrónico, pode simplemente enviar un correo electrónico á persoa a quen vai dirixido Xploitz cun título sorprendente como:
Detectouse un inicio de sesión non autorizado na túa conta.
Como neste exemplo:
A continuación, no texto do correo, o seguinte:
No correo electrónico, a ligazón en cuestión introdúcese mediante un "texto áncora". Isto é escribir https://www.instagram.com/ pero cambia o enderezo a onde che envía. Neste caso, se introduce esa ligazón, enviaralle a outro lugar. A persoa pensará que se está a enviar á URL de destino, pero a un XPLOITZ.
Nesta imaxe, o Xploitz en cuestión é de baixa calidade, se tes información sobre a vítima dirixirase á linguaxe empregada por esta persoa e personalizarase dun xeito máis creativo. Incluso incluíndo imaxes que se poden copiar dos correos electrónicos recibidos desde Instagram, para que parezan máis realistas.
Complementado con Enxeñaría Social
Para lanzar xploitz e aumentar drasticamente os seus resultados, os hackers usan a enxeñaría social para obter información sobre a vítima.
Isto permitirá ao hacker personalizar o correo electrónico dun xeito moito máis realista ou atopar outros "puntos débiles" que fan que Xploitz funcione. Se queres saber máis sobre como aplican a enxeñaría social para piratear.
E así de fácil pode caer nun Xploitz e sufrir roubos de identidade.
Se che resultou interesante, agradecemos que compartas a información para chegar a máis xente. Por outra banda, se queres saber se os teus datos están rodando en internet porque te piratearon, recoméndoche que o revisas neste artigo.
