jueves, 11 de agosto de 2016

Usa Google Docs para crear formularios maliciosos y robar lo que te propongas

Esto es algo de lo que me he dado cuenta mientras andaba en uno de mis escasos descansos, en el que me encontraba pensando sobre una serie documentos que tenía que crear, y como puede que me encontrase fuera de casa y no podría tener acceso a mi ordenador, empecé a pensar formas de crear documentos de manera online. En base a esto, me acordé de Google Docs.


Estaba creando unas presentaciones cuando me dio curiosidad crear formularios con Google Docs, y no sé muy bien cómo ocurrió, que cuando pulse para crear un nuevo formulario, se me vino esta idea a la cabeza. Fue al momento.


Crear un formulario con Google Docs es extremadamente sencillo, cualquiera podría hacerlo. Así que se me ocurrió crear un formulario como si fuese una Banca, la cual te pedirás algunos datos.


Simplemente bastaría con ir escribiendo qué datos quieres que tu víctima introduzca de forma obligatoria, tal y como indican los signos en color rojo.


Una vez que des concluido tu formulario, las personas a las que le envíes el formulario, verán algo como esto. Como veis yo simplemente he pedido que escriban su nombre, su correo electrónico y su cuenta bancaria, pero podría pedir su contraseña, su teléfono,etc. Datos de gran valor-sobre todo la cuenta bancaria- ya que con el correo podría enviarle cualquier mail de Phishing para robarle la contraseña de Twitter por ejemplo, y dependiendo de si reutiliza la misma contraseña para todo y no usa un 2FA, probar ese correo y la contraseña en sitios como Paypal para robarle dinero. Aquí, os dejo que imaginéis cualquier escenario posible, ya que los malos pensarán y pensarán y tu dinero robarán.


Lo mejor es que debajo del botón de enviar formulario, Google aconseja no enviar ninguna contraseña. Pero claro, si yo pongo en mi formulario que deben escribir su contraseña obligatoriamente, puede que mucha gente, opte por pasar de la seguridad para poder usar un servicio. Cosas así ocurre con las aplicaciones de IOS o Android, y la gente se las descarga.


Yo hice la prueba y cuando le das a enviar, esto es lo que le aparece al creador del formulario, todos tus datos en claro. Una manera muy sencilla de robar cualquier dato.


Estos formularios los puedes enviar por correo también, con lo que la ingeniería social juega un papel fundamental, ya que puedes enviar a una víctima un correo spoofeado simulando ser Amazon y diciendo que hay nuevas ofertas en la materia que a tu víctima le guste más-aquí es importante investigar a tu víctima y ver qué cosas le gusta y cuales no-.

También puedes crear una página web, simulando ser otra, por ejemplo, simulando ser Paypal, y pedir este formulario para el registro por ejemplo. Un usuario común y sin tener mucha idea de seguridad, puede que escriba todos sus datos de manera inconsciente, pero si echa el ojo a la barra de direcciones y ve que se trata de Google Docs y que va en HTTPS, puede que se alegre y todo, ya que ese formulario lo lleva Google-usa el criterio de autoridad- y además ha oído algo de que HTTPS es seguro.

Si optas por crear una web simulando ser Payapl por ejemplo, o simplemente decides crear una web que sepas que tu víctima va a visitar e incluso introducir sus datos, el enlace a este formulario se lo puedes ocultar con los famosos acortadores de URL, con lo que además, te puedes llevar un dinerito extra por cada persona que pulse en el enlace.


Aquí juega un papel fundamental la ingeniería social y la capacidad de engañar a las personas. Pero esto que he comentado hoy es sólo para los chicos malos de Internet, yo ya sé que vosotros no tenéis ninguna intención de hacerle esto ni a un jefe un pelín cabrón, ni a una pareja para sacar sus contraseñas y espiar sus mensajes, ni a un profesor que os ha suspendido; no, vosotros sois buenos chicos.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...