Cómo hackean tu cuenta de Facebook (demostración) y como protegernos.

Ya sabemos todos que es posible de que se hagan con tu clave y corras el peligro en que te suplanten tu identidad. Muchos de los casos son por fallos "nuestros" al ejecutar software malicioso (exploit o troyanos en correos, aplicaciones, documentos...) o bien, por usar redes wifi abiertas y confiar en que nadie esté "esnifando" nuestros datos.

Quien fuera a mi charla sobre dispositivo IoT sabrá que un dispositivo debe de cumplir estos 3 factores para que sea seguro:

1. Algo que sabemos. (Una contraseña)
2. Algo que tenemos. (Un dispositivo móvil)
3. Algo que somos. (Una huella)

En este artículo, os voy a demostrar que el punto 1 lo descartaría o bien, lo dejaría como punto 3, ya que una contraseña es fácil de "averiguar" haciendo uso de "ingeniería social".


Demostración del robo de una cuenta de Facebook.
Primero vamos a proceder hacer una posible práctica de hacking usando herramientas de ingeniería social. (Omitiré varios pasos, ya que el fin del post es protegernos de los crackers, no convertirnos en uno).

1. Lo primero sería pensar a que persona irá dirigido dicho ataque (spear phishing) y deberemos de saber su correo electrónico. (ejemplo: demomdb@gmail.com)

Clonando el sitio web de Facebook

2. Preparamos un enlace "clon" de Facebook y lo se lo mandaremos en un "hipervínculo" por correo electrónico, ocultando la dirección donde va a ser redirigido a nuestro "Facebook Clon" (que será nuestra IP).

Ejemplo de creación Spear Phishing

 En la imagen vemos que hemos creado un correo donde incitamos a que acceda a la web oficial de Facebook usando un enlace (hipervínculo) falso bajo la dirección original.

Enlace falso que será donde verdaderamente le redirigirá

El enlace de https://www.facebook.es es sólo una "tapadera", donde realmente le va a dirigir este enlace malicioso es a nuestra IP que hemos creado un "clon de facebook" y más adelante vais a ver que es idéntica (excepto algún detalle).


 3. Ahora esperamos a que la víctima abra el correo y le haga clic en enlace que le hemos preparado hacia el clon de Facebook.

Es aquí la parte mas importante de este "tutorial", vamos a fijarnos en unos detalles que esconde el email visto desde la pantalla de la víctima (recuerda que algún día podríamos ser nosotros).

Detalles a tener en cuenta siempre en un correo "sospechoso":

- Nombre de dominio de donde nos llega el correo. (fran@lacaixa.es, mark@facebook.com, etc...).

En este caso he ocultado mi correo, pero estaba claro que no era david@facebook.com. (Aunque con un poco de programación se puede falsificar también).

- Faltas ortográficas.

Muchos correos de ataques "phishing" suelen llevar muchos fallos ortográficos, por lo que será muy sencillo de reconocer.

- Enlaces sobre texto o botones.

Es muy normal que en enlace donde vamos a ser dirigidos esté "oculto" bajo la fachada de un botón o un enlace (como el que hemos creado nosotros en este tutorial) para poder "engañar" al usuario y conseguir que acceda a un sitio malicioso.

- Identificación como cliente/usuario

Ninguna RRSS o empresa os van a pedir vuestros usuarios y contraseñas, es lógico que si ellos te dan soporte, es porque ya tienen acceso a tus datos.


¡Ahora vienen donde la matan!

Vamos a ver que ocurriría si hiciera clic el usuario al enlace e intentara entrar en su perfil de Facebook.

Pantallas de atacante y víctima

A la izquierda tendríamos la pantalla del atacante y a la derecha, tenemos  la pantalla de la víctima.

Como podemos observar, la víctima ha hecho clic en enlace del correo electrónico (por lo que no ha contrastado con los pasos anteriores, muy MAL) y le he abierto la web "clon" de Facebook.

En la barra de dirección he remarcado que el mismo navegador ya te indica que el sitio donde vas a introducir los datos "No es seguro", ya que no pasa por el certificado SSL o TSL de Facebook.

Otro datos a observar, es que la barra de dirección muestra la IP del atacante (en casos reales no será tan sencillo, pueden usar dominios muy parecidos o con otro dominio .com.es, .org, .tk, etc...)

Clon de Facebook

¿Pero que ocurría si llegáramos a poner nuestros datos?

Vamos a identificarnos con nuestros datos.

Pantallas del ciberdelincuente y víctima

Acordaros que el terminal de la izquierda es la pantalla del ciberdelincuente y el de la derecha el de la víctima.

La víctima pondrá su usuario y contraseña para acceder a su perfil. Desde el lado del "cracker" podremos seguir el "status" de todo lo que ocurre.

Credenciales obtenidas

Vemos en la imagen, que el usuario ha introducido sus datos, estos le han llegado al ciberdelincuente en "texto plano" y a la víctima no le ha dejado entrara su perfil, es lógico, era un clon....Pero si nos fijamos bien, ha sido redirigido al login del sitio OFICIAL de Facebook, el usuario asustado, pensará que ha escrito algo mal y volverá a introducir sus datos, esta vez de forma exitosa y se quedará tranquilo.

Por otro lado, el cracker se ha hecho con los datos de este usuario y podrá acceder a su perfil cuando quiera y usarlo para fines maliciosos.


¿Y que hubiera pasado de haber tenido la autenticación de doble factor activada?

Pues muy fácil, el ciberdelicuente no podrá entrar aunque tenga su contraseña. Le aparecería una ventana como esta.

Una vez que el cracker haya entrado con el usuario y contraseña obtenido anteriormente, el sistema de doble autenticación de seguridad o verificación de dos pasos no le dejará usar tu perfil hasta que no introduzca el código generado automáticamente que ha sido enviado a tu dispositivo móvil (correo para aceptar o sms).

Por lo que la contraseña no servirá para nada :D

¿Veis? Una contraseña es fácil de sacar engañando al usuario, por ello, debemos de utilizar siempre doble factor de autenticación.

¿Cómo se activa esta seguridad?

Esta información ha sido sacada de: Welivesecurity

1. En primer lugar, deberás acceder a la cuenta y una vez dentro de ella al sector de configuración, tal como se muestra en la siguiente captura de pantalla:

 2. Encontraremos varias configuraciones de seguridad para modificar. En este caso, la que nos interesa es “Teléfono/Celular”; veamos una captura de pantalla para graficar el ejemplo:

 3. Una vez dentro de este menú, tendremos acceso a agregar un número de teléfono celular (que será tu número telefónico), como se muestra en el recuadro número 2. Luego, aparecerá una ventana preguntando por país de residencia y operadora telefónica.

 Cuando fue realizado lo anterior, agregado el número telefónico y aprobado con el respectivo código que llega mediante mensaje de texto, solo resta acceder al apartado “Seguridad” en la columna izquierda. Una vez seleccionada esta opción, veremos una ventana como la que se muestra a continuación:

4.  En el panel que se encuentra de lado derecho en pantalla, en el menú “Aprobaciones de inicio de sesión”, basta con hacer clic en el botón “Editar” para poder activar esta funcionalidad. Una vez habilitado esto, en el caso de que todavía no haya sido habilitado el número telefónico, enviará un nuevo mensaje con un código, el cual deberás ingresar para aprobar la operación.

5. Al activar esta funcionalidad se logra que, cada vez que se intente acceder al perfil desde un navegador no autorizado (no refiriéndose a nombre de navegador, sino al propio de cada dispositivo), luego de colocar usuario y contraseña en la pantalla principal de sesión, se redirigirá a una segunda pantalla, en donde solicitará un código de autorización. La pantalla a la que redirige se muestra de la siguiente manera:

 

Espero que haya sido de ayuda. ¡Y ya sabes! ¡Comparte! 

• Tweet
• Compartir
• Compartir
• Compartir
• Compartir