sábado, 7 de mayo de 2016

Realizar un Ataque dirigido es fácil si sabes cómo

Casi a modo de libro de autoayuda, el ejemplo más claro es el libro "Dejar de fumar es fácil si sabes cómo" , os quiero advertir de lo realmente sencillo que puede llegar a resultar obtener información de una persona y que sea víctima de un ataque dirigido con la intención de robarle datos, bloquearle el acceso a sus archivos y que tenga que pagar para recuperarlos, robarle las credenciales, etc.


La gente con todas sus redes sociales, se deja una cantidad de información pública, bastante alta; y esto, es lo que puede aprovechar cualquier atacante. Y es que hace relativamente poco, contactó conmigo una persona, la cual tiene una amiga que está siendo extorsionada-2 oraciones subordinadas adjetivas en menos de 2 líneas, esto no lo tenéis en los libros- por su ex-novio, el cual-tercera oración subordinada adjetiva- tenía en su posesión fotos y por lo visto vídeos de la chica, bastante ligera de ropa, fotos y vídeos, los cuales-la cuarta- han sido enviados libremente por la propia chica, con lo que no se puede decir que el ex-novio, le haya robado las fotos ni nada por el estilo.

Entonces, el amigo de la chica extorsionada, me llamó para ver si podría de alguna manera, mediante un crypter o algo, bloquearle los archivos, buscar las fotos, y borrarlas de su ordenador. El chaval, me comentó que él lo había intentado, pero que su crypter, se lo detectaban algunos antivirus, y que pidiendo ayuda a demás gente, al tiempo, le decían que no habían podido hacer nada; yo le dije que intentaría algo y que si no se pudiese, siempre queda denunciar a la policía.

Pero hay un problema, ya que el chico, aún no había publicado las fotos, solamente extorsionaba a su ex, diciéndole que si no "algo" publicaría las fotos a todos sus contactos, que es en ese momento donde la policía podría entrar y confiscarle el ordenador y borrale las fotos, pero claro, las fotos ya han volado, y a saber dónde andan, que les recuerdo a los cuerpos de seguridad, que la información en Internet, sobre todo, si son fotos subidas de tono, en 1 segundo, las han podido ver hasta en la China, les recuerdo el caso de las famosas, una ley absurda, sí, pero esto es España, se persigue a gente que habla mal del Rey -ley mordaza- pero, un tío que extorsiona a una mujer inocente, hasta que no "mate", no se le investiga, perfecto, esto es España, un país que no es una mierda, se hace mierda.

Pero me centraré en la entrada de hoy, ya que cuando este hombre el cual-quinta si no recuerdo mal- contactó conmigo, me proporcionó información del extorsionador, y vi que:

                      -Era franquista (para mi desgracia investigar a un fiel de un hombre el cual-la sexta- era partidario de la guerra-recuerdo que soy pacifista- de la represión, censura, y un largo etcétera de torturas)

                       -Le encanta la Semana Santa

                       - Fanático del Real Madrid

Con esto, hay información suficiente para realizar el Ataque Dirigido, ya que podemos crear un Instagram haciéndonos pasar por una cofradía cualquiera para tratar de llamar la atención de nuestra víctima.



Ahora, lo siguiente sería sería seguir preparando la Ingeniería Social, y es que cuando siguiese al extorsionador, podría contactar con él diciéndole que podría ganar una visita a todas las Cofradías de España y repasar su origen, y que evidentemente, dicho sorteo. Para esto hay que hacer varias cosas, crear una aplicación, la cuál se va a descargar de una web que se cree después. Para la aplicación, nos vamos a ayudar de apps.dev.microsoft.com.


Una vez que tengamos creada la aplicación, nos devolverá un ApplicationID y su Secret. Un paso importante es que deberemos definir el servidor con un end-point, para recibir el AuthCode. Algo que todo el mundo está acostumbrado a ver cuando por ejemplo, se quiere crear una cuenta por ejemplo en Instagram e inicia sesión con su cuenta de Twitter, después te sale que la aplicación te pregunta si aceptas asociar esta aplicación-con sus permisos correspondientes-. Y es ahí donde podemos conseguir las credenciales de manera directa.


La víctima, como es lógico, querrá ver las Bases del Concurso, para esto, debemos tener cubiertas las espaldas con una página web donde nuestra víctima se pueda informar, y como es sobre Cofradías, qué mejor que un sitio llamado "Orgullo Cristiano"



Nuestra víctima se interesará por el sorteo, sitio donde deberá registrarse y es aquí donde accederemos,por otro camino a sus credenciales si hay suerte, ya que si la víctima usa el mismo usuario y contraseña para todo, o bien usa "un método eficaz".


Aún no está terminada esta sección, como veis; además podéis observar que es una Aplicación Web en ASP.Net, pero tiene la peculiaridad, que cuando inicio sesión, a nosotros nos devolverá lo siguiente, mostrándonos hashes y demás información de valor.


Lo mismo ocurriría con su número de teléfono.



Y además, podríamos enviarle, mediante un correo spoofeado, un PDF infectado con un crypter, para que- días atrás ya expliqué como funciona la criptografía- le bloqueé archivos y le pueda borrar las fotos comprometedoras de la chica, además, ya tendríamos sus credenciales como la del correo electrónico, con suerte Gmail, para acceder a sus copias de seguridad que haya realizado en su Google Drive, etc.


Saber toda la vida de una persona, no llega a resultar complicado, ya que casi todo está público en las redes sociales. Y si hacen falta detalles, siempre se puede hacer lo mencionado en el post de hoy, para terminar de llegar a toda su vida, así que andaros con cuidado, a ver si vais a estar poniendo en bandeja un ataque dirigido, próximamente sacaré el post de autoayuda de "Es fácil protegerse de un Ataque Dirigido si sabes cómo", pinta a best-seller.

Hasta la Próxima Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...