Lockphish, una herramienta para hacer phishing contra la pantalla de bloqueo

¡Cuidado! Así de fácil es robar el pin de un amigo o familiar para acceder a su móvil

876
blockphish como averiguar la clave o el pin de un móvil

Lo publica Noticias de Seguridad Informática. Es relativamente sencillo conseguir el pin del teléfono de su amigo y su contraseña de Windows mediante el uso de un solo enlace. Y solo con la ayuda de Lockphish, descrita por los expertos como una herramienta para hacer phishing contra la pantalla de bloqueo tanto en Windows como Android o iPhone. Su desarrollador es The Linux Choice, un ethical hacker. Es tan efectiva, salvando por supuesto, las distancias, como el famoso Pegasus vendido desde Israel que supuestamente ha servido para espiar a políticos de la Generalitat.

Según el citado periódico, el site mencionado anteriormente, Lockphish, utiliza normalmente el servidor Ngrok para sus fines, conseguir el pin o la contraseña de la víctima. El sistema operativo que se muestra en el ejemplo es el Kali Linux 2019.3 64 bit, y la versión de Kernel es la 5.2.0.

A continuación explican una serie de pasos a seguir tras utilizar el siguiente comando: git clone https://github.com/thelinuxchoice/lockphish. A partir de ahí es un juego de niños que termina de la peor manera posible para nuestro “amigo” o “familiar”. Se consigue una url que debemos enviarle, y si hace clic en el enlace ya es nuestro. “La víctima será dirigida a la página de bloqueo de pantalla, entonces pensará que su teléfono móvil se bloqueó. A continuación se le pedirá que ingrese el pin de Android, el código de acceso del iPhone e incluso la contraseña de Windows si está en el ordenador”. En el caso del móvil, la solución ante este peligro está muy clara: utilizar la huella digital para desbloquear el móvil. Es seguro que este tipo de vunerabilidades serán utilizadas como argumento también para los partidarios del reconocimiento facial.

Pero, cualquiera con dos dedos de frente se preguntará: ¿Cómo es posible que una herramienta como Lockphish pueda ser comercializada o estar al alcance de cualquiera.
Cómo se puede comprobar en el site de Github, muy frecuentado por hacker éticos, y un pozo inmenso de conocimiento, “el uso de Lockphish para atacar objetivos sin previo consentimiento mutuo es ilegal. Es responsabilidad del usuario final obedecer todas las leyes locales, estatales y federales aplicables. Los desarrolladores no asumen ninguna responsabilidad y no son responsables del mal uso o daño causado por este programa”.

Aquí os dejamos un interesante vídeo sobre esta herramienta, analizada por un experto de Data Security.