In questa guida vi mostro, come localizzare, accedere alla webcam e al microfono di uno smartphone sia Android che iOS (iPhone), in maniera non molto complessa, ovvero questa tecnica esiste da anni, ma lo strumento di cui vi parlo oggi è uscito qualche anno fa, lo strumento di cui vi voglio parlare oggi è StormBreaker. StormBreaker è uno strumento OpenSource disponibile su GitHub al seguente indirizzo. Il software viene rilasciato da ultrasecurity. La tecnica che sfruttiamo è una tecnica di Social Engineering.
Cos’è il Social Engineering?
Il Social Engineering o meglio conosciuto in italiano come attacco d’ingegneria sociale, è una tecnica di sicurezza informatica utilizzata dagli Hacker in grado di studiare una possibile vittima al fine di trarre più informazioni possibili su tale persona in modo tale da ricevere in mezzo a tutte le informazioni più dettagli su quella persona è in molti casi la tecnica viene utilizzata anche per tentare d’intercettare una password di un account Social. Molto spesso questo tipo di attacco quando viene sfruttato fa in modo che l’attaccante o meglio l’Hacker trovi tantissime informazioni possibili finché non ottiene ciò che interessa al possibile attaccante. In questo caso noi siamo gli attaccanti e se tentiamo di utilizzare questo strumento soprattutto se uno utilizza un profilo falso, possiamo tentare a smascherare chi potrebbe essere dietro a quello smartphone o tablet o PC. Grazie a tale tecnica di questo software OpenSource riusciamo a raccogliere delle informazioni possibili su questo account, ad esempio, possiamo localizzare sia un IP di provenienza di connessione e sia una posizione precisa della localizzazione del cellulare stesso.
Installazione:
Come primo procedimento abbiamo bisogno d’installare il software sul sistema operativo Kali Linux oppure Parrot Security, che sono già sistemi operativi di Penetration Testing più utilizzati in questo campo. Quindi apriamo un terminale e digitiamo il seguente comando:
https://github.com/ultrasecurity/Storm-Breaker.git
attendiamo ora che il software si scarica nel nostro computer. Procediamo ora a entrare nella cartella del programma chiamata Storm-Breaker quindi digitiamo:
cd Storm-Breaker
L’immagine ci conferma che siamo dentro la cartella principale del programma. Ora non resta che installare il programma per farlo occorre scrivere il seguente comando:
bash install.sh
Attendete il procedimento delle installazioni dei contenuti, possono volerci anche circa 5/7minuti a seconda della velocità di download della vostra rete internet. Nelle schermate blu che appariranno premete sempre su ok digitando dalla tastiera il tasto invio.
Ora abbiamo bisogno d’installare un altro piccolo strumento chiamato ngrok, per utilizzare questo strumento abbiamo bisogno di registrarsi sul sito internet. Io per questa installazione e registrazione ho scritto un’altra guida su come installare ngrok su kali linux.
Una volta installato ngrok procedete nel fare partire il programma in questa maniera, per farlo occorre digitare:
ngrok http 2525
il numero 2525 sta indicare la porta che utilizzeremo per utilizzare lo strumento, http invece il protocollo da sfruttare per le pagine web. Ora non resta che fare partire Storm-Breaker per la procedura d’attacco di Social engineering. Per farlo occorre digitare il seguente comando:
python3 st.py
Appena avviato noterete subito il panello di login alla pagina localhost:2525. Voi dovete andare a prendere il link https creato su ngrok ad esempio https://sasf-112-133-44-4533.eu.ngrok.io ora copiate il link ngrok nella vostra pagina web, premete su visit site alla pagina di ngrok e inserite le seguenti credenziali:
nome utente: admin password: admin
Premete ora su Login per accedere alla parte interessante del programma.
Ora ogni link che vedete sarà in grado di darvi diverse informazioni utili per la funzione del programma. Esempio se copiamo il primo link e lo mandiamo alla vittima permetterà alla persona di essere vista in Webcam scattando foto in continuazione finché la persona non chiude il link sospetto.
Attenzione degli accorgimenti ci sono, infatti se apriamo il link ci ritroviamo davanti a una schermata con uno smartphone in foto, quella schermata farà si che se diamo il consenso alla webcam quando richiesto può a nostra insaputa scattare foto in continuazione e salvarle nel nostro computer. Se notate il nostro terminale sulla pagina a salvato diverse foto in formato png.
Stessa cosa se inviamo il secondo link del microfono, se la vittima accetta i permessi del microfono possiamo ascoltare tutto ciò che dice in tempo reale, e il microfono salverà tutto quanto nel nostro computer nella cartella che indica sul terminale bianco.
Ora se avviamo il terzo link alla vittima vedremo una schermata simile cliccando su continua e accettando i permessi del GPS ci troviamo che lo strumento rileva la posizione in tempo reale dove si trova lo smartphone.
Come notiamo dall’immagine seguente sul terminale appare una consentito al link di procedere alla posizione GPS il link di Google Maps se copiamo il link di Google Maps all’interno del nostro computer notiamo la posizione di dove si trova la persona in tempo reale. Il GPS può sbagliare di 30 metri, infatti nel mio caso a sbagliato di poco.
Ulteriori informazioni:
Questa guida è per dimostrarvi sempre che link esterni da fonti sconosciute non vanno mai aperti, soprattutto da profili di cui magari accettate la richiesta di amicizia o di un segui su un Social. Anche perché se non si conosce veramente la persona stessa e meglio evitare sempre di aprire link che possono sembrare sospetti. Come ad esempio questo creato, ripeto creato per prova.