lunes, 18 de abril de 2016

Megamix Preveraniego de "Cómo robar un correo electrónico"

A raíz de la entrada de Un correo que no era tan falso, me he empezado a interesar mucho más en la seguridad en el correo electrónico, algo que se puede percibir por la entrada de Quiero que mis contactos de GMAIL estén seguros, y es por esto, y además como ya empieza a hacer un poco de calor, un calor casi veraniego, aprovecho para dejaros el MegaMix de Cómo robar una cuenta de correo Electrónico, para hacer la competencia a Las Ketchups y a La Barbacoa .


En el primer puesto, nos encontramos con el Phishing clásico, algo que al igual que el Asereje, ha atizado a mucha gente, pero es que en nuestros días, aún es bastante sonado, y solamente basta con dejarle un correo con un anzuelo para que entre a una página en la cual tenga que primero, escribir su contraseña, para así, después cambiarla.


En el segundo puesto, y le sigue muy de cerca, y realizando un trabajo tan detectivesco como lo hace Batman en sus mejores cómics, tendríamos que investigar un poco, por ejemplo, yo hace unos meses cree para una auditoria una app maliciosa de Bakinter, y un cercano de SoftCrim me dijo que debía investigar a un periodista llamado Nacho Medina.


Así que eso hice, lo investigué por sus diferentes redes sociales, hasta que de repente, en su Linkedin, me encontré lo siguiente.


Y sí, me encontré, que Nacho Medina es de Bakinter, pero a este periodista, no le hice nada, pero sería tan sencillo como sacar su correo electrónico con ingeniería social y enviarle un correo como este.


Esperar a que se descargue la app maliciosa, que puede funcionar como Keylogger, para que cuando se logee nos llegue su usuario y contraseña de su banco para que tengamos acceso, además, si es tan despistado como para caer en esto, vamos a suponer que usa el mismo usuario y contraseña en su correo y en el resto de sus redes sociales.

En la tercera posición, tenemos la opción de crear una aplicación maliciosa que haga creer a la víctima que podrá hackear el twitter de quién quiera de manera mágica.


Ahí, donde aparece el recuadro con "Download Password", podríamos infectar el pdf con la Password, infectar un PDF es sumamente sencillo, esto ya os lo conté por aquí, pero mañana, os lo volveré a contar de manera más detallada. En todo caso, podemos infectar el pdf para que cuando escriba su usuario y contraseña, guarde esos datos, o bien, que al pulsar en Download, que tenga que escribir su dirección de correo electrónico ya que se lo enviaremos ahí; y una vez que lo descargue, ya no tiene que hacer nada más, ya que ya le habremos hackeado.

En la cuarta posición, tenemos la típica previsualización de los mensajes en los iPhone, y es que aquí, he usado de ejemplo, a una antigua profesora mía, que como veréis no tiene activado un 2FA, además, he supuesto que que disponga de un iPhone, aunque con Android también puedes hacer cosas curiosas. Pero aquí el step by step.


Esto es algo bastante sencillo de realizar, aunque en el caso de que no tenga un iPhone, en Android, ya hemos visto cómo podemos hackear el patrón de desbloqueo, claro que eso ya entraría dentro de la ilegalidad, pero recuerdo que estamos intentando acceder a un correo electrónico que no es nuestro, aunque eso en el caso de que disponga de patrón de desbloqueo, pero si ni eso,  y solamente dependa de arrastrar el dedo por la pantalla, la cosa puede ser más sencillla, y sin desbloquear, pero eso, será otro día.

He hecho estos ejemplos con GMAIL, ya que me asusta y mucho la gente que usa GMAIL y guarda sus contactos, algo peligroso por si te roban la cuenta de correo, ya que podrían ver todos tus contactos.. Por eso, hay que tener mucho cuidado y encargarse todos los días de tu seguridad, ya que los malos, va a aprovechar hasta el fallo más pequeño.

Hasta la Próxima Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...