The Social Engineer Toolkit (SET) es una suite desarrollada en Python que consta de herramientas específicamente diseñadas para realizar ataques al elemento humano usando como método la Ingeniería Social en procesos de auditoría en seguridad (Pentesting). Está programado por David Kennedy (ReL1K).

Ahora vamos a instalar y explorar las principales opciones que nos ofrece esta aplicación.

Instalación

SET es multiplataforma, así que sólo necesitaremos tener instalado el intérprete de Python -en caso de usar Windows- para poder ejecutarlo.

Para descargar SET debemos de ejecutar en la terminal lo siguiente:

windhack@laptop ~ $ svn co http://svn.secmaniac.com/social_engineering_toolkit set/

O podemos descargar directamente el fichero .tar: Clic aquí.

Posteriormente ejecutamos como root:

windhack@laptop ~/set $ sudo ./set
[sudo] password for windhack:
Error!!! BeautifulSoup is required in order to fully run SET
Please download and install BeautifulSoup: http://www.crummy.com/software/BeautifulSoup/download/3.x/BeautifulSoup-3.0.8.1.tar.gz
Would you like SET to attempt to install it for you?
yes or no: yes

Me dio error debido a la falta de dependencias, pero automáticamente nos dá la opción de descargar e instalar por medio de la misma herramienta. Luego volvemos a ejecutar.

Menú de opciones SET

Menú de opciones SET

Ahora funcionó perfectamente. Podemos ver que ofrece opciones muy variadas desde la creación de correos fraudulentos hasta enviar mensajes de texto que ayuden en nuestro ataque.

A continuación veremos algunas de las principales opciones del SET.

Sistema de Phishing

Este sistema es bastante completo. Permite la creación automática de un sitio web falso para engañar al destinatario. También se pueden enviar correos masivos con archivos adjuntos maliciosos.

Creación de medios infectados

Permite crear el fichero autorun.inf y un payload de Metasploit. Al insertar el medio, sea este CD/DVD/USB se ejecutará automáticamente y posteriormente nos dará acceso a la máquina afectada.

Falsificación de mensajes de texto (SMS)

Esta es una de las opciones más interesantes y eficientes del SET, pues nos permite enviar mensajes de texto (SMS) falsos, suplantando el número telefónico del remitente, lo cual ayuda a la hora de hacerle creer al receptor que efectivamente ha sido enviado por esa persona o empresa. Además incluye la opción para el envío masivo de SMS sin problema.

Las empresas prestadoras del servicio de envío de mensajes son: SohoOS, Lleida.net, SMSGANG. La única gratuita es SohoOS, y debido a esa característica en el mayor de los casos es limitada.

Interfaz Web

Esta versión de SET ha integrado una fantástica interfaz web para lanzar cualquier tipo de ataque de una manera más cómoda e intuitiva. Para iniciarla sólo se debe ejecutar:

windhack@laptop ~/set $ ./set-web

Abrimos en el navegador la URL que nos indica y nos aparecerá la interfaz web de SET. (Muy cómoda por cierto)