Simulação de Rede Falsa para Roubar Senhas

Muitas vezes existem várias redes WiFi abertas para se escolher em um Aeroporto, Praça de Alimentação ou em um Café, e alguns usuários se conectam a redes completamente desconhecidas simplesmente porque estão abertas. Obviamente, esta prática apresenta sérios riscos, especialmente se o ponto de acesso for mal-intencionado ou está sendo manipulado por um invasor.

Uma das maiores ameaças é o “spoofing de página”, onde um ponto de acesso malicioso controla uma resolução de nomes de domínio (DNS). No processo normal de resolução de DNS, o usuário se comunicará com um servidor DNS legítimo para se conectar à Internet.

Em um ataque de spoofing, um hacker cria uma versão falsa de um site para roubar credenciais. No exemplo ilustrado a seguir, o usuário acessou uma página falsa do Facebook e, mesmo antes mesmo de perceber o que aconteceu, as suas credenciais foram roubadas. Poderia ser qualquer outra página, até mesmo a de um banco.

Ghost Phisher

Como é meio difícil atingir diretamente a interface Wireless com uma máquina virtual (tenho usado a VMWare Workstation), para testes de penetração WiFi uso o Kali em um pendrive juntamente com o Win32 Disk Imager para executar na inicialização – poderia ser o Rufus –, é o método mais rápido para executar o Kali Linux “ao vivo”. Neste modo de execução ainda lido com alguns problemas de privacidade mas possui vantagens por não ser destrutivo – não faz alterações no disco rígido do sistema host -; ser portátil – você pode levar o Kali Linux no seu bolso; além de ser customizável e também ser persistente – os dados são salvos e utilizados nas reinicializações

O Ghost Phisher é um programa gráfico, escrito em Python, que oferece vários recursos para executar ataques MitM, incluindo a configuração de um AP de honeypot e serviços de rede falsos (HTTP, DNS e DHCP), sequestro de sessão, envenenamento ARP (ARP Poissoning) e descoberta de senha.

O uso do programa é fácil e intuitivo. Para iniciá-lo, é só executar o comando ghost-phisher no terminal ou no Kali Linux, onde já vem pré-instalado, é só clicar no menu Applications>Wireless Attacks>ghost phisher. A janela do programa é dividida em guias diferentes, cada uma para um recurso diferente, e cada guia inclui uma seção de configuração no topo e uma seção de status na parte inferior.

O que eu vou expor a seguir, muitos consideram como ataque MitM, com o Ghost Phisher isto também é possível, porém trata-se de Phishing, ou seja criar um ambiente falso: um AP falso, um servidor DHCP falso, um servidor DNS falso e um servidor HTTP falso com uma Página Web falsa.

Confesso que não acho muita graça neste procedimento, no entanto para efeito educativo resolvi testar o Ghost Phisher e constatei a facilidade que um indivíduo qualquer, sem nenhum conhecimento e/ou sem qualquer ética, pode roubar credenciais de usuários/senhas de redes sociais ou até mesmo de bancos com este aplicativo.

O esquema consiste em criar um Ponto de Acesso (AP) falso, um servidor DHCP falso, um servidor DNS falso e um servidor HTTP falso com uma ou mais páginas web falsas.

Primeiro de tudo, é preciso clonar uma página da web que se deseja “pescar” as credenciais de login, isso é um trabalho que não vou entrar no mérito por não fazer parte do objetivo desta postagem, isso não é uma receita para fraudes, mas um alerta aos ingênuos que ficam felizes por acessar uma rede Wifi gratuita, sem exigências de segurança, nos aeroportos, shopping centers, ou mesmo nas ditas “cidades digitais”. Para os mais nerds (não gosto deste termo), aconselho usar algum App tal qual o PingTools Network Utilities para Android. Enfim, a rede tornou-se nossa extensão e como tal devemos conhece-la para preservarmos nossa privacidade. Mas vamos ao que interessa, o esquema descrito a seguir está resumido na figura abaixo:

GF_Conceito_com_camadas.jpg

Para executar tal ataque, segui as seguintes etapas:

  1. A primeira guia é relativa à configuração do AP falso. Em Wireless Interface, selecionei a interface wlan0 e coloquei no modo monitor clicando no botão Set Monitor:
  2. Nas Configurações do Ponto de Acesso, atribuí o SSID, um endereço IP privado válido (por exemplo, 192.168.0.1), o canal e o tipo de criptografia para o Honeypot AP.

Em seguida, cliquei no botão Iniciar e o AP foi iniciado, como mostra o painel Status:

GF_AP

Como se pode ver eu já conectei um dispositivo móvel a este AP

3. Em seguida, iniciei o servidor DHCP falso com uma atribuindo um range de IP de rede classe C (no caso, 192.168.0.3 a 192.168.0.254), definindo o IP do AP (192.168.0.1) como o gateway e o servidor de DNS falso. Assim, quando uma vítima se conecta ao AP, é atribuído um endereço IP nesse intervalo.

GF_DHCP

Sempre verificando: a vítima é 192.168.0.4

4. Criei um servidor HTTP falso, para hospedar uma página clonada de um site legítimo no qual a vítima pretende entrar, por exemplo, para acessar o Facebook – poderia ser uma conta bancária. Neste caso, especifiquei a página da Web para quando a vítima visitar o site http://www.facebook.com; e já fui acessando esta URL com a minha “vítima”: um modesto Samsung GT-S5360

GF_HTTP

  1. Chegou a hora de criar servidor de DNS falso que resolve as consultas da vítima para este domínio específico para o endereço IP do nosso AP.

6. Ao clicar no botão Add (Adicionar), o endereço IP do AP falso (192.168.0.1) foi usado para resolver o domínio alvo http://www.facebook.com. Eu poderia também adicionar outros domínios de destino para serem resolvidos por este endereço de IP.

GF_DNS

Sempre verificando: a vítima, 192.168.0.4, tentou acessar o Facebook e visualizou uma página de login falsa, semelhante à que está no site legítimo e foi clonada está hospedada em root/Download/Facebook.html.

7. As credenciais inseridas pela vítima (meu modesto Samsung GT-S5360) foram captadas pelo servidor HTTP falso e exibida na aba “Harvested Credentials:

GF_Final

As credenciais colhidas são armazenadas em um banco de dados SQLite em /usr/share/ghostphisher/Ghost-Phisher-Database.

Vale ressaltar que esses ataques são ilegais se conduzidos sem a permissão escrita e explícita do Proprietário da rede!

 

Anúncios

1 comentário

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s