In questa guida vi mostro, come localizzare uno smartphone sia Android che iOS (iPhone), in maniera non molto complessa, ovvero questa tecnica esiste da anni, ma lo strumento di cui vi parlo oggi è uscito pochi giorni fa, lo strumento di cui vi voglio parlare oggi è Seeker. Seeker è uno strumento OpenSource disponibile su GitHub al seguente indirizzo. Il creatore del software si chiama thewhiteh4t e grazie a lui riusciamo a eseguire questa tecnica molto particolare e interessante. La tecnica che sfruttiamo è una tecnica di Social Engineering.
Cos’è il Social Engineering?
Il Social Engineering o meglio conosciuto in italiano come attacco d’ingegneria sociale, è una tecnica di sicurezza informatica utilizzata dagli Hacker in grado di studiare una possibile vittima al fine di trarre più informazioni possibili su tale persona in modo tale da ricevere in mezzo a tutte le informazioni più dettagli su quella persona è in molti casi la tecnica viene utilizzata anche per tentare d’intercettare una password di un account Social. Molto spesso questo tipo di attacco quando viene sfruttato fa in modo che l’attaccante o meglio l’Hacker trovi tantissime informazioni possibili finché non ottiene ciò che interessa al possibile attaccante. In questo caso noi siamo gli attaccanti e se tentiamo di utilizzare questo strumento soprattutto se uno utilizza un profilo falso, possiamo tentare a smascherare chi potrebbe essere dietro a quello smartphone o tablet o PC. Grazie a tale tecnica di questo software OpenSource riusciamo a raccogliere delle informazioni possibili su questo account, ad esempio, possiamo localizzare sia un IP di provenienza di connessione e sia una posizione precisa della localizzazione del cellulare stesso.
Installazione:
Come primo procedimento abbiamo bisogno d’installare il software sul sistema operativo Kali Linux oppure Parrot Security, che sono già sistemi operativi di Penetration Testing più utilizzati in questo campo. Quindi apriamo un terminale e digitiamo il seguente comando:
git clone https://github.com/thewhiteh4t/seeker.git
Attendiamo ora che il software si scarica nel nostro computer. Procediamo ora a entrare nella cartella del programma chiamata seeker quindi digitiamo:
cd seeker
L’immagine ci conferma che siamo dentro la cartella principale del programma. Ora non resta che installare il programma per farlo occorre scrivere il seguente comando:
chmod+x ./install.sh && ./install.sh
Attendete il procedimento delle installazioni dei contenuti, possono volerci anche circa 5/7minuti a seconda della velocità di download della vostra rete internet.
Ora abbiamo bisogno d’installare un altro piccolo strumento chiamato ngrok, per utilizzare questo strumento abbiamo bisogno di registrarsi sul sito internet. Io per questa installazione e registrazione ho scritto un’altra guida su come installare ngrok su kali linux.
Una volta installato ngrok procedete nel fare partire il programma in questa maniera, per farlo occorre digitare:
ngrok http 8080
Ora non resta che fare partire seeker per la procedura d’attacco di Social engineering. Per farlo occorre digitare il seguente comando:
python3 seeker.py
Appena avviato vi chiedere di fare delle scelte su che tipo di tecnica sociale volete sfruttare, io faccio l’esempio con WhatsApp quindi seleziono l’opzione 2 e premo invio. Successivamente nella schermata che ci esce ci chiede d’inserire il nome al titolo del Gruppo Whatsapp, io ho inserito Prova1 e ho premuto invio. Dopo ci chiede d’inserire una fotografia come foto di gruppo io ho inserito un immagine da internet di un cane della grandezza massima di 300×300 supportata dal programma. Appena scegliete l’immagine trascinate nel terminale l’immagine salvata sul vostro computer, come notate dalla mia foto qui in basso abbiamo un effettivo percorso della nostra immagine.
Attendete ora che il server PHP vi indica che si collega con una spunta con una V abilitata. Appena notate questo dovete tornare su ngrok copiare il link nella sezione Forwarding https://sasf-112-133-44-4533.eu.ngrok.io e mandatelo alla vittima, io questa tecnica la sto spiegando in caso di difesa da profilo falso su un Social o così via, nel caso voi questa tecnica la state utilizzando per scopi maligni io non mi assumo nessuna responsabilità che farete della guida. Nel mio caso ho aperto il link dal mio computer, quindi se state pensando di utilizzare questa tecnica su uno smartphone, vi informo subito che il GPS se sbaglia, sbaglia di 30 metri massimo. In questo caso se la persona è in movimento con il proprio smartphone allora seeker provvede a dirvi anche la sensibilità del movimento dal momento del click sul link e sul consenso della posizione GPS al momento d’invito nel gruppo Whatsapp.
Ulteriori informazioni:
Questa guida è per dimostrarvi sempre che link esterni da fonti sconosciute non vanno mai aperti, soprattutto da profili di cui magari accettate la richiesta di amicizia o di un segui su un Social. Anche perché se non si conosce veramente la persona stessa e meglio evitare sempre di aprire link che possono sembrare sospetti. Come ad esempio questo creato, ripeto creato per prova. Vi ripeto che chiunque viola un sistema informatico può essere punito dalla legge con sanzioni abbastanza pesanti, per questo io ripeto che non mi assumo nessuna responsabilità dell’utilizzo di questa guida.