Introdução
Eventualmente durante analises forense possa ser necessário obter a localização de uma pessoa, um suspeito ou até mesmo uma vítima¹, dependendo do contexto. O programa ‘seeker’ desenvolvido pela ‘thewhiteh4t’ permite que possa enviar um url a vitima, e induzir ela a confirmar o compartilhamento da localização. Feito isso, é possível obter a localização com exatidão (ou quase) do individuo.
A instalaçao e o uso é bem simples, basta um linux e python. Claro que para o sucesso da engenharia social alguns detalhes serão omitidos como dominio de origem, tradução, etc., no entanto o conceito é o mesmo.
¹ A intenção deste tutorial é demostrar sua utilização para fins educativos, em nenhuma hipotese concordamos para o uso fora da ética profissional.
Fonte
O projeto pode ser consultado neste endereço: https://github.com/thewhiteh4t/seeker
Conceito
O conceito por trás do Seeker é simples, assim como cibercriminosos hospedam páginas de phishing para obter credenciais, por que não hospedar uma página falsa que solicita sua localização.
Instalação
Instalação dos pré-requisitos (baseado em like-debian).
sudo apt-get update sudo apt-get install python3 python3-pip ssh php sudo pip3 install requests
Clonando o repositorio seeker
git clone https://github.com/thewhiteh4t/seeker.git cd seeker/ chmod 777 template/nearyou/php/info.txt chmod 777 template/nearyou/php/result.txt
Opcionalmente poderá utilizar o NGROK para publicar rápidamente o serviço. Aqui vale a observação que a eficiência da engenharia social poderá ser comprometida.
sudo apt-get install snapd sudo snap install ngrok
Utilização
Básicamente, executando no modo help já descreve toda sua utilização
python3 seeker.py -h usage: seeker.py [-h] [-s SUBDOMAIN] optional arguments: -h, --help show this help message and exit -s SUBDOMAIN, --subdomain Subdomain Provide Subdomain for Serveo URL ( Optional ) -k KML, --kml KML Provide KML Filename ( Optional ) -t TUNNEL, --tunnel TUNNEL Specify Tunnel Mode [manual]
Para subir o serviço execute o comando abaixo. (Observação: estou usando -t manual, por que vou usar ngrok)
python3 seeker.py -t manual
Escolha o template, neste exemplo usarei “NearYou” e se tudo estiver ok, vai subir o serviço escutando na porta 8080
Em outro terminal execute:
ngrok http 8080
O serviço ngrok, estará em execução e vai me entregar uma URL, neste exemplo a url é: h**p://f47acac2.ngrok.io
Agora, é só enviar a url para o suspeito, incluindo o nearyou na url, neste exemplo: “h**p://f47acac2.ngrok.io/nearyou”
Visualização pelo suspeito
Quando o suspeito clicar no link, terá a pagina principal, ao clicar em continuar o navegador irá perguntar se quer compartilhar e por ultimo um aviso que o produto será lançado em breve.
Resultado
No serviço em execução, quando o suspeito clicar no “phishing”, teremos o ISP e a GEOLOCALIZAÇÃO (se ele permitiu)
Como pode observar na imagem acima, também é gerado a URL para consultar diretamente no google maps, claro que neste caso foi feito um zoom-out e um ofuscamento das informações propositalmente.
Conclusão
Neste exemplo foi utilizado os próprio recurso da aplicação, como pagina de phishing, utilização do ngrok, etc. Aqui cabe a arte e a engenharia social. Seria mais fácil induzir a pessoa autorizar o uso da câmera ao autorizar o acesso de um site ao exemplo “facebook.me” ou “1stagram.com”
