Social-Engineer Toolkit (SET)

El Social-Engineer Toolkit (SET) es una herramienta open-source desarrollada en Python, utilizada para realizar y simular ataques de ingeniería social. Está incluida en Kali Linux y permite evaluar la seguridad organizacional al emular ataques reales.

• Propósito: Identificar vulnerabilidades humanas explotables mediante ingeniería social.
• Interfaz: Basada en menús y texto.
• Ejemplo de uso: Simulación de correos phishing, clonación de sitios web y generación de cargas útiles (payloads).

Cómo iniciar SET

1. Inicia sesión en Kali Linux como root con la contraseña: Pa$$w0rd.
2. Abre la Terminal.
3. Ejecuta el comando:bashCopiar códigosetoolkit
4. Navega por los menús utilizando los números y la tecla Enter.
   • Para salir o retroceder en el menú, usa el número 99.

Funciones clave de SET

1. Spear-Phishing Attack Vectors

• Permite realizar ataques de phishing dirigidos a individuos o grupos.
• Opciones disponibles:
  1. Perform a Mass Email Attack: Envía correos phishing personalizados con cargas útiles.
  2. Create a FireFormat Payload: Personaliza las opciones del payload (archivo malicioso).
  3. Create a Social-Engineering Template: Crea plantillas personalizadas de correos de phishing.

Ejemplo:
Puedes enviar un correo falso simulando ser el departamento de TI solicitando "actualizar credenciales" con un enlace malicioso.

2. Website Attack Vectors

• Configura ataques basados en sitios web falsos para robar credenciales o ejecutar cargas maliciosas.
• Opciones comunes:
  • Clonar un sitio web legítimo: El atacante copia la apariencia de un sitio confiable (ej. página de inicio de sesión de Gmail) y redirige a la víctima.
  • Credential Harvesting: Captura nombres de usuario y contraseñas ingresadas.

Ejemplo:
Clonar una página bancaria y engañar al usuario para que introduzca sus credenciales.

3. Infectious Media Generator

• Crea medios físicos infectados (USB, CD, DVD) que, al ejecutarse, lanzan un payload (carga útil) automáticamente.

Ejemplo:
Generar un USB que instala un shell inverso en el sistema de la víctima cuando lo conecta a su equipo.

4. Create a Payload and Listener

• Crea cargas útiles maliciosas y configura un listener para controlar el sistema comprometido.
• Payloads compatibles:
  • Reverse Shell: El sistema de la víctima inicia una conexión hacia el atacante.
  • Meterpreter: Permite control total del sistema a través de Metasploit.

Ejemplo:
Enviar un archivo ejecutable (malware.exe) a un usuario y, al abrirlo, obtener control remoto del equipo.

5. Mass Mailer Attack

• Envía correos electrónicos masivos con mensajes maliciosos.
• Opciones disponibles:
  1. Enviar a una sola dirección de correo.
  2. Importar una lista de múltiples direcciones.

Ejemplo:
Distribuir correos masivos simulando una "actualización urgente de seguridad" con un enlace falso.

6. Arduino-Based Attack Vector

• Utiliza dispositivos Arduino para ejecutar ataques hardware-delivered.
• Se combina con dispositivos de comunicación como X10 para ataques físicos automatizados.

Ejemplo:
Un ataque con Arduino que emula pulsaciones de teclado para instalar malware en un equipo conectado.

7. Wireless Access Point Attack Vector

• Configura ataques de tipo Man-in-the-Middle (MITM) en redes WiFi.
• Permite interceptar y modificar el tráfico de la víctima.

Ejemplo:
Crear un punto de acceso falso que simula una red WiFi legítima y captura las credenciales del usuario.

8. QR Code Generator Attack Vector

• Genera códigos QR maliciosos que redirigen a una URL específica.

Ejemplo:
Crear un código QR que apunta a una página clonada para robar credenciales.

9. PowerShell Attack Vectors

• Ejecuta scripts de PowerShell en la máquina de la víctima para obtener acceso remoto o desplegar cargas útiles.

Ejemplo:
Un script que descarga y ejecuta malware automáticamente en una máquina Windows.

10. Third Party Modules

• SET permite integrar módulos de terceros para ampliar sus capacidades.

Ejemplo:
Cargar un módulo adicional para ataques avanzados específicos de una herramienta o sistema.

Organización de estudio

Para dominar SET de forma organizada, recomiendo el siguiente flujo de estudio:

1. Comprende cada función clave de SET:
   • Spear-Phishing, Website Cloning, Payloads, QR Codes, etc.
2. Ejecuta ejemplos prácticos:
   • Clona un sitio web.
   • Configura un ataque spear-phishing básico.
   • Genera y prueba un payload con listener.
3. Asocia cada función con un caso de uso real:
   • Spear-Phishing: Robo de credenciales por correo electrónico.
   • Website Cloning: Robo de información bancaria.
   • QR Code Attack: Distribución de enlaces maliciosos en campañas de marketing.
4. Evalúa las defensas:
   • Comprueba qué tan efectivo es el ataque frente a un antimalware o IDS.
5. Documenta los resultados:
   • Anota qué ataques configuraste y cómo podrías mitigarlos.

Ejemplo práctico resumido: Uso de SET

1. Inicia SET en Kali Linux con el comando:bashCopiar códigosetoolkit
2. Elige Website Attack Vectors (Opción 2).
3. Selecciona Credential Harvester Attack Method.
4. Clona un sitio web como Facebook.
5. Envía el enlace falso a una víctima.
6. Revisa los logs generados cuando la víctima introduce sus credenciales.

Resumen: ¿Por qué es importante aprender SET?

• Evaluación de la seguridad humana: Permite simular ataques de ingeniería social reales.
• Identificación de vectores de amenaza: Comprender cómo los atacantes aprovechan la ingeniería social.
• Preparación para roles Red Team/Purple Team: Herramienta fundamental para auditar la resistencia organizacional.

Con práctica constante y ejemplos reales, SET es una herramienta poderosa que te prepara para entender y defender entornos frente a ataques sociales. 🚀