jueves, 1 de septiembre de 2016

Cómo robar una cuenta de Gmail

Ayer, hablé de cómo Google no hace autenticación a la hora de recuperar una cuenta sin 2FA, por esto, hoy os quería contar las diferentes maneras que un atacante puede usar para robarte la cuenta de Gmail. No las comentaré todas, haré hincapié en las más usadas o en las que yo considero más fácil de realizar.


Phishing clásico

Esta es la primera manera que los criminales usan para robarte tu cuenta de Gmail sin un 2FA, o al menos, eso creo. Ya hemos visto antes, lo sencillo que es crear una web de Phishing, para que la víctima pique el anzuelo y le podamos robar la contraseña. Algo muy simple.


Troyanizandote el ordenador

Esta es otra de las formas más usadas. Consiste en, mediante ingeniería social, hacer que te descargues un determinado archivo o aplicación, evidentemente, el archivo o la app es maliciosa. Ya vimos también, lo sencillo que era crear un troyano prácticamente indetectable por la mayoría de antivirus.


Los permisos de las aplicaciones de tu smartphone

Como la mayoría de usuarios usan continuamente su smartphone, una buena idea para robar sus credenciales de su cuenta de correo electrónico, es la de crear una aplicación que como permisos, pida ver sus datos como su contraseña.


Recupera su contraseña

Esto es lo que vimos ayer, y es que resulta muy sencillo una vez que sabes su email. Conocer el email de una persona, es muy sencillo. Ahora os presentaré varias opciones para conocer el email de una persona.

                      -Buscando por Google: Podéis buscar un determinado domino y sus documentos pdf, por ejemplo, que dejen público en Google, además le incorporas el "@gmail.com" y te lo llevas puesto.


                        -Metadatos: Puedes extraer los metadatos de los documentos ofimáticos que hay públicos en Google. Yo he hecho uso de ACLAS y de su opción de encontrar metadatos en los documentos ofimáticos de una determinada web. Yo he parado el análisis cuando encontró 3 emails, si hubiesen salido de gmail, podríamos continuar con el ataque.

Con esto, podríamos probar las direcciones que nos han salido en el proceso de extracción. Es importante antes de nada, cerciorarte de qué usuarios usan o no un 2FA. Esto es tan sencillo como escribir las direcciones de correo electrónico obtenidos y pulsar en "He olvidado la contraseña"


Esto es lo que aparece si tienes un 2FA en tu correo, en cambio, si no has habilitado el 2FA, podrás ir saltando preguntas hasta llegar a un punto en el que puedes escribir tu correo electrónico para que te envíen ahí un código de verificación.


Esto es muy peligroso, porque en ese momento, podrás acceder a la cuenta de Google de la víctima y podrás cambiar su contraseña. Además, como sabéis, al tener una cuenta de Google, tienes a tu mano una gran cantidad de herramientas como Google Fotos, donde pueden existir fotos de una persona que no haya cambiado la configuración predeterminada de su Android y que cada foto que tome, se irá haciendo backup. Lo que no podría ser muy buena idea, dependiendo de qué tipo de fotos se hayan hecho backup.


Estas son algunas de las fotos que yo permití que se hiciesen backup. Pero puede que alguna persona, no sepa que pueden llegar hasta tal punto y puede que deje fotos comprometedoras. Muchos casos de extorsión, vienen de cosas como esta.


Además, ya os comenté cómo podrían ver tus contactos que guardas en tu cuenta de Google una vez que te hayan robado tu cuenta de Gmail. Yo os he contado cómo podrían robar vuestra cuenta de Gmail si no usáis un 2FA, ahora os toca a vosotros protegeros y activar la Verificación en 2 pasos.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...