martes, 10 de diciembre de 2013

Email harvesting

Cuando tienes que hacer una auditoria de seguridad informática, el primer paso es recolectar la mayoría información sobre la empresa o sistema que vayas a auditar, y una técnica que siempre tienes a la mano es el email harvesting , que te permitirá obtener una colección de los correos electrónicos que estén colgados en la red.     

Aunque suele tomarse para otros fines en muchos casos, estando a la cabeza el spam, pero para los fines de una auditoria, traerá mucha información jugosa. En muchas empresas asocian los usuarios de sistemas al usuario de correo electrónico, con lo cual puede ser un gran paso. Aunque también puede servirte para un vector de ataque y evaluar cuan maduro es el personal ante un ataque de ingeniería social. 

Utilizando técnicas de la vieja escuela, utilizarías google hacking, navegando en las paginas, sin duda es una opción muy tediosa, ya que puede que la lista de información sea muy extensa y te lleve mucho tiempo obtenerla de esta forma. Para ello hay múltiples opciones que te facilitan el trabajo, como el modulo search email collector de metasploit.

 google hacking a mindef.mil.gt     

Un método tradicional seria buscar en google "@mindef.mil.gt" para buscar correos del ejercito de Guatemala. Utilizando el modulo de metasploit, podemos ahorrarnos este trabajo, no del todo, pero permite obtener mucha mas información en un menor tiempo.
Buscando emails con metasploit en mindef.mil.gt

Elegimos el modulo en metasploit con "use gather/search_email_collector" luego, por medio de "set DOMAIN ejemplo.com" establecemos el dominio. Y por ultimo lanzamos el comando "exploit".

Resultados obtenidos con search_email_collector

El modulo realiza búsquedas por medio de google, yahoo y bing, teniendo como resultado 25 correos electrónicos. Aunque es una forma muy eficaz de obtener información, nunca esta demás utilizar un poco los operadores en el navegador, pues, estos bots se saltan en algún momento alguna información que pueda ser relevante al momento de hacer la auditoria.

Saludos.
Lexer Pars.

No hay comentarios:

Publicar un comentario