SP Toolkit es un kit de phishing open source diseñado para facilitar la tarea de educar, es ideal para administradores y encargados de seguridad que quieran poner a prueba a los usuarios con ataques reales.
El kit lo hace todo con unos pocos clics, desde crear la página de phishing hasta enviar el correo electrónico falsificado, pero eso sí, los datos (usuarios y contraseñas) no son almacenados, simplemente se registran datos estadísticos para saber si cayeron o no en el engaño.
La instalación es bastante rápida, se trata de un script php por lo que necesita un servidor web y una base de datos MySQL, en Windows se puede instalar localmente con WampServer:
En la captura anterior se puede ver el panel de control desde el cual se administran las campañas.
La herramienta permite falsificar cualquier sitio web subiendo un template o copiando directamente la página de login (scraping). En la siguiente imagen se muestra lo sencillo que es crear una campaña, se personaliza el e-mail y se indica cuál página se desea falsificar, en este caso Facebook:
Cuando el usuario recibe el correo y accede a la página falsa la actividad queda registrada, recordemos que la idea no es robar contraseñas, sino evaluar la seguridad y educar por lo que una vez que caen en la trampa se les muestra una advertencia o mensaje educativo que puede ser personalizado.
En el siguiente video creado por el autor de SP Toolkit se puede ver el proceso de envío y lo que sucede al acceder a la página falsa, el ejemplo también es con Facebook pero se podría realizar con cualquier página, por ejemplo, la de una intranet:
Algunos pensarán que esta no es la mejor forma de educar a los usuarios, pero a veces por las malas se aprende :)
Muchas empresas contratan a profesionales para que evalúen su seguridad y nada mejor que realizar ataques reales para detectar los problemas, por supuesto estos se hacen con autorización y de forma controlada. Generalmente el camino más fácil para comprometer la información son los empleados, la ingeniería social a ese nivel suele ser más efectiva que atacar directamente equipos donde se han gastado varios cientos de dólares en protección.
En la web de la herramienta podrás encontrar más detalles sobre su funcionamiento y un tutorial para instalarla paso a paso.