[Euskalhack VII] Vishing: Todo empieza con un SÍ

Hola a todos!

Después de muchísimo tiempo sin escribir por aquí, vuelvo con la idea de hacer próximamente un par de post’s relacionados con el taller que impartí en Euskalhack VII.

Antes de entrar en detalle, me gustaría dar las gracias a la organización por el esfuerzo y dedicación para montar cada edición (ya van 7!) con objeto de regalar un evento de estas características y con una calidad enorme. Así como a nivel particular por seguir confiando en mí y ser ponente por 4º vez.

Vamos allá!

Seguro que si te digo phishing enseguida sabes de que va o recuerdas alguna anécdota de algún correo que has recibido últimamente, pero ¿Sí te pregunto por vishing? Tanto sí te suena de algo como sino, continua leyendo que vas a averiguar.

El vishing consiste en obtener información mediante llamadas telefónicas, o bien la manipulación del llamado para alcanzar unos objetivos. A diferencia de un phishing o smishing que no hay interacción directa con la víctima, en un vishing es total al basarse en una llamada entre dos partes donde hay comunicación directa.

El taller se estructura en el siguiente índice:

  • En qué se basa el vishing y con qué finalidad lo usan los ciberdelincuentes
  • Hitos y objetivos en un vishing
  • Cómo montar una campaña de vishing
    • OSINT genérico de la compañía objetivo.
    • Montar la infraestructura necesaria: spoofing, clonación de voz y uso de dispositivos de llamada
    • OSINT a empleados y preparación de preguntas.
  • Cómo protegernos de un intento de fraude por vishing

Las campañas de vishing no es algo novedoso pues llevan haciéndose muchísimo tiempo, sí es cierto que no con tanta frecuencia ni demanda que las campañas de phishing. Sin embargo, desde mi punto de vista desde la aparición de las IA’s ha habido un cambio de paradigma, al potenciar los deep fakes, y añadir una voz clonada de calidad en las llamadas que ha provocado un nivel de credibilidad mayor.

En el taller, se detalla también el uso de las IA’s a la hora de automatizar ciertas búsquedas en la fase OSINT de la compañía target.

A continuación, se dejan algunos ejemplos con chatgpt y Gemini (antiguo Google Bard):

Conocer las empresa del grupo:

O listar dominios y subdominios:

Bien es cierto que esta información hay que darle la veracidad justa pues también mete falsos positivos o incluso parte de la información puede encontrarse desactualizada o incluso obsoleta, pero como se puede ver en unos minutos se puede obtener una foto sobre la empresa para profundizar con la parte manual.

A continuación, se detalla qué checks se recomienda a hacer a la hora de la búsqueda de información de cara a a disponer de ganchos para posteriormente crear pre-textos. Para ello, es importante revisar:

  • Información que pueda extraerse de metadatos documentos publicadas o indexados.
  • Revisión de vídeos o imágenes. Típicos vídeos o imágenes de conoce nuestras oficinas donde repente se ve que están usando un Windows XP ó 7, o bien el uso de software concreto o incluso imágenes de como son las acreditaciones.
  • Sitios webs. El primer lugar donde se inicia la búsqueda. En este apartado no es raro encontrar los típicos «El equipo», whoiswho o similares. Se puede llegar a obtener desde puestos, correos electrónicos, teléfonos de contacto o hasta la estructura jerarquica de la empresa.
  • Portales públicos: A través de pliegos de contratación, artículos de prensa o boletines oficiales.
  • Proveedores. Típico apartado de «casos de éxito»
  • RRSS: Desde imágenes corporativas o videos que sube el equipo de MkT o hasta empleados con perfil público que suben fotos en el entorno laboral pudiendo exponer información de manera accidental.
  • Leaks de correos o passwords. Búsqueda de posible leaks que ha sufrido la compañía. Esto podría usarse para generar un buen gancho.

Tras este RECON, sí se ha hecho bien, se tiene la suficiente información para la creación de escenarios. Siempre se recomienda la creación de al menos 2 escenarios para ir balanceando o bien descartar uno tras ser «detectado». Del mismo modo, se recomienda disponer de dos llamantes diferentes.

Para la creación de escenarios sí se identifica que la IA no tiene tanta imaginación como nosotros:

Posteriormente, se tienen que fijar los hitos que se desean conseguir. Obtener usuario y contraseña no es un hito REALISTA! A continuación, se detalla los 3 hitos buscados:

  • Convencer que el empleado conteste a preguntas y facilité la información.
  • Convencer que el empleado interactúe con su dispositivo (portátil, móvil o tablet).
  • Convencer que el empleado interaccione con un recurso externo (clicar en un enlace tras deletrearlo, acceder a una web, reenviar un correo o dar un código como un OTP)

Con todo esto, el siguiente paso es la creación de la introducción del gancho al escenario creado. En este punto, es importante usar un contexto coherente. Aprovechar momentos clave como el día de la bicicleta, black friday, campañas de verano o navidades o la aparición de nuevas vulnerabilidades o CVE.

Adicionalmente, para añadir más credibilidad puede ser una buena opción:

  • Registrar un dominio.
  • Creación de una web de la empresa fake.
  • Presencia en RRSS como en linkedin.

Respecto a la infraestructura lógica se podría hacer uso de un dispositivo móvil para realizar las llamadas, o bien la compra de una SIM con el riesgo de ser bloqueados o que corra la voz del número llamante. O bien el uso de un servidor Asterisk o contratar el servicio de un proveedor para realizar spoofing de cara a cambiar el caller ID. Hay que tener cuidado con el uso de spoofing pues se basa en la suplantación de una identificación y esto se considera ilegal. Se recomienda llegar a un acuerdo con el cliente si se va a aplicar esta técnica.

Fuente: https://bandaancha.eu/articulos/asi-facil-manipular-identificador-
10572

Finalmente, el uso de la IA para clonar la voz. Para ello, en el taller se utiliza el servicio de Elevenlabs.io Como PoC se realizarán diferentes escenarios:

  • El uso de una muestra de la biblioteca de la comunidad que ofrecen.
  • Clonar la voz de un fichero multimedia público que esté en Twitter (X) o youtube.
  • Clonar la voz de una persona con una simple muestra de 30 segundos.
  • Clonar la voz desde un audio de WhatsApp.

Obviamente cuando más muestras se faciliten, mejores resultados se tienen, pero ya con una muestra el resultado en este servicio es realmente bueno.

Como PoC adicional dentro de una campaña de vishing se busca el CEO de la compañía target y se encuentra una entrevista en Youtube:

Se descarga el fichero de audio y se alimenta a la IA, tal que usando su voz pasamos de texto a audio:

Realmente el resultado es impresionante.

Para finalizar quedaría la búsqueda de información de los empleados, especialmente linkedin es la mejor red profesional para encontrar información.

Tras ello y de acuerdo con el gancho se formulan las preguntas clasificándolas en:

  • Preguntas de validación: Respuestas de SÍ/NO
  • Preguntas friendly: Para ganar su confianza.
  • Preguntas técnicas/intrusivas: De cara a alcanzar los hitos marcados.

Como resumen del taller sería esto, os ánimo a revisar las slides que vienen con más detalle. Si soy aceptado en algún que otro CFP que he aplicado para el resto del año, os invito a acudir al taller si es de vuestro interés.

La slides que use las podéis encontrar en mi github.

El objetivo del post es dar una referencia o apoyo para realizar campañas de vishing en proyectos de ciberseguridad, así como una manera para mejorar la prevención y respuesta. El autor ni el blog se hace responsable de su uso para otros fines diferentes a la formación.

Nos vemos en el siguiente post!

Saludos.

N4xh4ck5

La mejor defensa es un buen ataque