Scribd
Cargar
489 vistas16 páginas

Pasos para Instalar GoPhish en Ubuntu

El documento describe los pasos para instalar y configurar GoPhish en Ubuntu para realizar un ataque de phishing simulado contra usuarios de Instagram. Estos pasos incluyen actualizar el sistema operativo, instalar paquetes necesarios, clonar GoPhish desde GitHub, crear una campaña de phishing que imite la página de inicio de sesión de Instagram, configurar un correo electrónico de phishing, asignar usuarios a grupos, y enviar la campaña de phishing.

Cargado por

javier
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
489 vistas16 páginas

Pasos para Instalar GoPhish en Ubuntu

El documento describe los pasos para instalar y configurar GoPhish en Ubuntu para realizar un ataque de phishing simulado contra usuarios de Instagram. Estos pasos incluyen actualizar el sistema operativo, instalar paquetes necesarios, clonar GoPhish desde GitHub, crear una campaña de phishing que imite la página de inicio de sesión de Instagram, configurar un correo electrónico de phishing, asignar usuarios a grupos, y enviar la campaña de phishing.

Cargado por

javier
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 16

Pasos para instalar GoPhish en Ubuntu

1. Actualizar el sistema operativo


sudo apt update && sudo apt upgrade

2. Instalar los paquetes necesarios


sudo apt install git python3-pip

3. Descargar GoPhish
git clone https://github.com/gophish/gophish

4. Entrar en el directorio de GoPhish


cd gophish

6. Iniciar GoPhish
Pasos para ejecutar GoPhish en localhost con el ejemplo de Instagram

1. Abrir el navegador web

2. Ir a la dirección http://localhost:3333

3. Iniciar sesión con el usuario y la contraseña predeterminados

Usuario: admin Contraseña: kali-gophish

Crear una campaña

4. Seleccionar el tipo de campaña

En este caso, seleccionaremos la opción "Sending Profile" y lo creamos con los


siguientes parámetros:
Y comprobamos que está bien configurado:
Ahora se configura la página de destino es la página web que los usuarios verán cuando hagan
clic en el enlace del correo electrónico de phishing. La página de destino puede ser
personalizada para que parezca una página web legítima.
El código HTML seria este:

<!DOCTYPE html><html lang="en"><head>

<meta charset="UTF-8"/>

<title>Instagram</title>

</head>

<body>

<header>

<a href="/">

<img src="https://www.instagram.com/static/images/favicon.png" alt="Instagram"/>

</a>

</header>

<main>

<div class="login-form">

<h2>Inicio de sesión</h2>

<form action="" method="post">

<input type="text" name="username" placeholder="Nombre de usuario o correo


electrónico"/>

<input type="password" name="password" placeholder="Contraseña"/>


<input type="submit" value="Iniciar sesión"/>

</form>

<p>¿No tienes cuenta? <a href="/register">Registrarse</a></p>

</div>

</main>

<footer>

<a href="https://www.instagram.com/about/">Acerca de</a>

<a href="https://help.instagram.com/">Ayuda</a>

</footer>

<img src="https://www.instagram.com/static/images/favicon.png" alt="Instagram"/>

<nav>

<a href="/explore">Explorar</a>

<a href="/reels">Reels</a>

<a href="/shopping">Compras</a>

<a href="/profile">Perfil</a>

</nav>

<main>

<div class="feed">

</div>

</main>

<footer>
<a href="https://www.instagram.com/about/">Acerca de</a>

<a href="https://help.instagram.com/">Ayuda</a>

</footer>

</body></html>

La plantilla de correo electrónico es el correo electrónico que los usuarios recibirán. La


plantilla de correo electrónico puede ser personalizada para que parezca un correo
electrónico legítimo.

La configuración seria esta:

Y la salida de la página que hemos configurado seria esta:


Y su código HTML seria:

<!DOCTYPE html>

<html lang="es">

<head>

<meta charset="UTF-8">

<title>Instagram</title>

</head>

<body>

<h1>¡Hemos detectado un intento de acceso no autorizado a tu cuenta de Instagram!</h1>

<p>

Para proteger tu cuenta, hemos cambiado tu contraseña.

</p>

<p>

Si tú mismo intentaste iniciar sesión en tu cuenta desde un dispositivo o ubicación


desconocida, puedes ignorar este correo electrónico. De lo contrario, debes seguir estos pasos
para restablecer tu contraseña:

</p>

<ol>

<li>

Visita <a href="{{.URL}}">instagram.com/accounts/password/reset</a>.

</li>

<li>

Introduce tu nombre de usuario o correo electrónico.

</li>

<li>

Haz clic en "Enviar".

</li>

<li>
Sigue las instrucciones que se te indican en la pantalla.

</li>

</ol>

<p>

Una vez que hayas restablecido tu contraseña, podrás volver a iniciar sesión en tu cuenta.

</p>

<p>

Gracias por usar Instagram.

</p>

<p>

El equipo de Instagram

</p>

</body>

</html>

El apartado de usuarios y los grupos se utilizan para organizar las campañas de


phishing. Los usuarios pueden ser asignados a grupos para facilitar la administración
de las campañas.

Aquí vemos cual sería su configuración:


Por último se configuraría la campaña para poder realizar el intento de
phishing, con los siguientes parámetros:
Y se enviaría la campaña:
Nos vamos al correo de la víctima y vemos que nos ha llegado un correo de Instagram de que
estamos en peligro de poder acceder alguien a nuestras credenciales.

Ante esto se procede a acceder al link:


Y ponemos nuestras credenciales para acceder al cambio de contraseña:
Y al hacer click sobre iniciar sesión nos va a la página original:

Y vemos que hemos capturado las credenciales de la víctima:


Y con esto habríamos realizado la usurpación de credenciales de una víctima de Instagram

También podría gustarte