domingo, 14 de agosto de 2016

Cómo hackear Ceulaj con trozos de información que hay de manera PÚBLICA

En la entrada de ayer llamada "Inseguros gracias a Injuve" mostraba cómo al igual que en la mayoría de las webs que usan Drupal y que además no limpian los metadatos de los documentos ofimáticos, sufría de que cualquiera podría saber qué usuarios estaban dados de alta en la web de Injuve. Esa organización era la que daba soporte a Ceulaj, una organización que se encarga todos los veranos, durante una semana, de preparar un campus para escritores Noveles. Como ya vimos ayer, en los metadatos mostraban usuarios y direcciones de correo electrónico; así que hoy os quiero mostrar cómo con esa información y con alguna más, puedes obtener una gran cantidad de datos de mucha gente.


Al saber unas cuantas direcciones de correo electrónico, ya podríamos, con ese dato, enviar correos spoofeados con una intención maliciosas-si fuésemos malos, pero como no lo somos, es simplemente un test, ahora, allá vosotros-.


Lo primero, para esto, es comprobar la política SPF que tiene Injuve, ya que enviaremos mails con sus direcciones de correo. De esta manera, ya sabemos desde qué direcciones IP envían correos electrónicos, ahora solamente tendríamos que crear un correo spoofeado.



Como podéis ver, me he pasado las direcciones de correo encontradas a un documento de texto. Posteriormente, he probado una de esas direcciones al azar en la zona para recuperar la contraseña y me ha aparecido el mensaje de "Se ha enviado información a su correo", con lo que sabemos que ese usuario está dado de alta y podemos spoofear su dirección de correo electrónico.

En la imagen superior vemos que hay 2 direcciones, la última pertenece a una web creada y que simula ser la web original de Ceulaj-evidentemente no he contratado ningún dominio que se le pueda asemejar ya que simplemente era para ilustrarlo en este post-. Y la otra dirección, ha sido acortada con uno de los múltiples acortadores de direcciones que hay en Internet, para que así, la víctima tenga que pulsar en el enlace para ver a dónde lleva ese enlace.


Ese enlace lleva a un formulario creado con Google Docs, algo que ya conté por aquí. Si le dedicas un tiempo, te queda un formulario del cual la víctima, si no está muy metida en el mundo de la seguridad, no sospechará e introducirá todos sus datos [número del DNI, Tarjeta de crédito,etc.]. Al pedirle la tarjeta de crédito, no debería de sospechar, ya que supuestamente se le ha enviado el mail para que participase en una "Edición Especial del Campus para escritores noveles", con lo cuál, tendrán que pagar la matrícula. Además, le agregamos esa imagen de Ceulaj al final para aportar más credibilidad, que el usuario común se fija mucho en esos detalles


Pero el o los usuarios receptor(es) del mensaje, no deberían caer en esto, ya que si hubiesen comprobado desde qué direcciones IP mandan correos Injuve, se darían cuenta, como podéis ver, que las direcciones IP no coinciden. Pero esto los escritores, supongo que ya lo sabrán, por supuesto.


Por si esto fuese poco, también, para perfeciona el ataque, puedes crear una web simulando ser la original de Ceulaj, que ya sabéis que estas webs de Phishing se pueden crear en menos de 2  minutos. Además, podríamos agregarle una zona de registro, para que así nos envíen sus usuarios y contraseñas y si caen en el gran error de reutilizar el mismo usuario y contraseña para todo, además de no usar un 2FA, han podido perder en este momento toda su vida digital.

Pero ¿Cómo encontrar a estos usuarios apasionados por la Literatura?

Esto sin duda, es lo más fácil, ya que solamente te basta con buscar en redes a gente que publique fotos, tweets,etc relativos a Ceulaj, ya que nuestras víctimas serán esos jóvenes escritores que ya han estado en el campus, ya que serán éstos los que, si han disfruta su estancia en ese campus, querrán repetir la experiencia, y cuando la gente está ansiosa...hacen locuras.


Yo he escogido la red social Instagram, ya que, además de que se suben fotos, los usuarios que han subido fotos con la ubicación en Ceulaj, puedes ver quiénes son exactamente, puedes ver sus caras, además que si en alguna foto salen más de 1 persona y se ha etiquetado al resto de personas que salen, mejor, ya que ellos mismos son los que se han encargado de que un atacante tengas las redes sociales de toda esa gente.

Yo puedo contar hasta aquí, ya que sigo censurado sin poder adjuntar las fotografías PÚBLICAS en estas redes sociales, ya que si hago eso, casi con total seguridad, me escribirán personas indignadas. Pero a esa gente le digo ¿Quién ha subido las fotos de manera pública? ¿Quién no ha limpiado metadatos? Como suelo decir, para detectar tontos, solamente tienes que darle un ordenador o un teléfono móvil, con eso les basta para fastidiarla.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...