Estoy tratando de usar la herramienta SSLstrip con Ettercap en Kali Linux para atacar mi cuenta bancaria personal y la cuenta de Yahoo para propósitos de prueba.
Seguí las instrucciones de este video (lo ejecuto en Kali Linux no en Backtrack5) y fui capaz de oler muchas de mis credenciales de sitios web.
Sin embargo, he encontrado los siguientes problemas:
-
Los sitios web que tienen habilitada la seguridad de transporte estricta (HSTS) (como YAHOO Mail) se han resistido al ataque. Cualquier trabajo alrededor? (¿Cómo realizar un ataque SSLstrip en los portales web habilitados para HSTS?)
-
El portal web de mi banco no tiene HSTS habilitado como se indica en SSLlabs . Así que pude iniciar sesión en mi cuenta bancaria a través de una conexión SSLstrip. La barra de direcciones de Google Chrome mostraba una marca roja (x) para indicar el certificado SSL falso utilizado en la conexión SSL. Esto indica que el ataque fue exitoso, sin embargo, la herramienta Ettercap no mostró el nombre de usuario y la contraseña ingresados en el portal web de inicio de sesión de mi banco. ¿Alguna idea acerca de cómo pudieron proteger las credenciales para que no se muestren a través de una conexión SSL Strip?
Puede comprobarlo simplemente tratando de proporcionar sus credenciales personales de banca web a través de una conexión SSL establecida a través de una máquina virtual en su computadora personal. Se dará cuenta de que todo va bien como si el ataque hubiera tenido éxito, pero la herramienta Ettercap no mostrará la información de credenciales de su cuenta bancaria como lo hace con otros sitios web. Probé varios portales bancarios, incluido Bankofamerica, y descubrí que no todos son compatibles con HSTS, pero la herramienta Ettercap no mostrará las credenciales ingresadas para ninguno de ellos por razones desconocidas.