Hace un tiempo, por linkedin, estuve en el target de una estafa por internet. Una persona de un país sospechoso se comunicó conmigo por un supuesto trabajo y entablamos comunicación. Cada vez que me topo con estas situaciones trato de seguirle el juego durante un tiempo para ver con qué me topo y esta vez no fue la excepción.
Seguro han visto por internet estos videos donde un «hacker» accede remotamente a diferentes callcenters de estafadores, usualmente en india, y logran acceder al cctv y sus equipos personales pero que tan real es?. Quise averiguarlo y empecé probando Storm Breaker!
Storm Breaker
Storm Breaker es una aplicación de ciberseguridad orientada a pentesting o auditoría basada en el «phishing». Si bien elegí esta herramienta para hacer las primeras pruebas también estuve probando otras un poco más profesionales: beEF es una de ellas. Esta es un poco más compleja de instalar (o al menos a mi me resultó así) así que hoy les cuento como me fue con Storm Breaker.
Esta es una herramienta de ingeniería social desarrollada en Python y su función principal es recopilar información sobre el dispositivo a quién pensas atacar (como la ubicación GPS, IP, fotos y datos del sistema) o acceder de forma remota a su cámara y micrófono.. y esto es un montón por si todavía no te convenció.
¿Cómo funciona?: La app nos da unos enlaces pre armados (aunque podemos modificar enlaces reales agregando ese código). Cuando la víctima hace clic en el enlace, se le solicita permiso para acceder a su ubicación o cámara (ahí entrá en juego tu creatividad sobre el engaño). Si aceptara al clickear el enlace esto nos da acceso directamente a su equipo(o la información que estemos buscando).
Instalando la app
Las instrucciones en github son bastante sencillas:
#Clonamos el repo
git clone https://github.com/ultrasecurity/Storm-Breaker
cd Storm-Breaker
#Instalamos
sudo bash install.sh
#Requerimientos
sudo python3 -m pip install -r requirements.txt
#Luego lo corremos
sudo python3 st.pyEn el caso de que se te complique instalar las librerías con -m pip yo lo hice con pipx. La otra opción era crear en un entorno virtual.
Luego accedes via web:
La interfaz es bastante sencilla con opciones muy pavas. Si te fijas bien te da la forma de vincular la interfaz con ngrok.
Y si la misma app nos lo recomienda, vamos a probarlo con ngrok!!!. Esto en pos de que sea accesible via internet 😉
Registrensé en ngrok. com y luego a copiar el token para loguearnos:
ngrok config add-authtoken $YOUR_TOKEN
ngrok http 2525Y ahora le enviamos el enlace a nuestra víctima:
Vamos a modificar esto: http://localhost:2525/templates/camera_temp/index.html por esto:
La url será: https://<link>.ngrok-free.app/templates/camera_temp/index.html. En este caso modifiqué el template para capturar al atacante vía linkedin… pero que bah!, la prueba la haremos conmigo!. Le envio el link por whatsapp o linkedin o donde sea…
Y podemos ver que el usuario cayó en la trampa!!!. Bingo!!!
Y acá es donde logramos obtener una imagen de nuestro hacker!!!
También tenemos un template de ubicación que nos promete conocer gente que viva cerca nuestro (Obviamente una trampa para que aceptemos «permitir la ubicación»).
Lo hacemos y Storm Breaker no defrauda y nos muestra nuestra ubicación:
Conclusiones
Al final del día, después de levantar una app como esta y ver cómo hace prácticamente todo el trabajo sucio con un par de clics, te queda una doble sensación. Por un lado, está buenísimo: en un ratito pones en funcionamiento un script de «hacker» que accede a la cámara o la ubicación del objetivo, y todo funciona muy bien, demasiado bien. Es una locura.
Pero por el otro, da un toque de miedito. Que una herramienta de ingeniería social e infiltración sea tan fácil de usar significa que la barrera de entrada para cualquiera que tenga malas intenciones está en el piso. Ya no necesitás ser el hacker de las películas que rompe un satélite escribiendo código en pantalla verde; con bajarte un repositorio de GitHub y correr un script ya podés hacer daño u hackear remotamente una cámara con un click.
La clave, como siempre, es cómo reaccionamos a ella. Si para nosotros es una pavada implementarlo en un entorno controlado, imagínate para el que está del otro lado buscando vulnerabilidades en tu red corporativa.
Este lab nos sirve para dos cosas: Divertirnos probando herramientas potentes, pero sobre todo para entender que la seguridad nunca se puede dar por sentada. Si es fácil de atacar, el hardening tiene que ser el doble de robusto. Ojo con los links donde ponemos el dedo!.
«¿Querías la verdad? No puedes manejar la verdad. Pero puedes manejar Stormbreaker con un par de líneas de código.» (A Few Good Men)