Ingeniería social: Phishing con Gophish

Facebooktwittergoogle_pluslinkedinmail

El phishing, dentro de los ataques de ingeniería social, es uno de los ataques más utilizados a día de hoy cuando se intenta comprometer la seguridad de una empresa. De nada sirve tener todos los sistemas actualizados, un gran equipo de seguridad y gastar miles de euros en seguridad si los empleados de una empresa no están concienciados y son capaces de facilitar sus datos de acceso a un atacante.

La concienciación en seguridad es un aspecto fundamental y es por esto que existen herramientas para ayudar a los equipos de seguridad a concienciar a los empleados, una de estas es Gophish.

Gophish es una herramienta para lanzar campañas de phishing de forma sencilla. Nos permite crear un correo de phishing y una página web dónde pedir credenciales. Tras la campaña se obtienen resultados detallados de los usuarios que:

  • Abren el correo
  • Hacen clic en el enlace
  • Introducen sus datos

Para que el correo no sea marcado como spam y la campaña de phishing sea lo más parecida posible a un ataque de phishing avanzado, será importante realizar una correcta configuración del servidor de correo activando SPF, DKIM y DMARC además de una correcta configuración de la web activando SSL y añadiendo los certificados correctos.

Así que desde Donttouchmy.net recomendamos utilizar una máquina Ubuntu recién instalada y el script Postfix-Server-Setup, en el cual hemos colaborado, para realizar la instalación de forma rápida y fácil.

Leer más