jueves, 2 de febrero de 2017

Hackear Gmail con tan sólo 25 líneas de código

Estaba leyendo por varios foros sobre seguridad cuando di con uno en el que comentaban una nueva forma de Phsishing para robar la cuenta de correo de GMAIL. Me llamó bastante la atención y os lo quería comentar y además, probar a hacerlo yo para que lo podáis ver, más o menos cómo funciona.


Por lo visto, el truco reside en que la víctima recibe un correo con un pdf que para poder abrirlo te pide que inicies sesión con tu cuenta de Gmail. Por supuesto, esto es un truco cuya intención es únicamente la de robarte tus credenciales de Google.


Ver que es una técnica de Phishing es tan sencillo como mirar la barra de direcciones. Para probar esto, he decidido crear yo mismo una web de Phishing sencilla la cual simule ser la de Gmail.


Crear la web de Phishing en HTML es bastante sencillo, sólo bastan con 25 líneas de código. Por supuesto, si queremos que nos lleguen los datos que la víctima escriba, necesitaremos un documento en PHP la cual guarde la dirección de correo y la contraseña.


Con las anteriores líneas de código, quedaría algo como lo que se ve en la captura anterior. Muchos usuarios, sin mirar la URL, no sabrían decir si se trata de la página oficial de Gmail o no, a pesar de que haya incluido un par de detalles con los que "cualquiera" sepa decir que es una web falsa:

  • Gmail no te pide simultáneamente correo y contraseña. Gmail te pide que escribas tu correo, debajo tienen un botón que pone "Siguiente" y al pulsarlo, es cuando te periten escribir la contraseña. Los usuarios pueden creérselo por que Google haya actualizado su web.
  • El botón no tiene el aspecto que suele tener el botón de Google. Igualmente, los usuarios se lo pueden creer porque pueden pensar que es simplemente una actualización de Google.


La técnica se llama URI y es fácil de ver que no es la URL de verdad de Google, a pesar de ser tan parecida.



Esta sí es la URL de verdad.

El problema reside que además de obtener el usuario y la contraseña de la víctima, también tendría acceso-si la víctima no usa 2FA- a los correos enviados y a sus contactos, con lo que podría enviar el mismo correo con el mismo PDF al resto de sus contactos los cuales se podrían fiar, ya que es un amigo, novio,novia, marido, esposa o familiar el que le ha enviado el correo. 

Este ataque se podría evitar:
  • Si se comprobase la barra de direcciones de los sitios en los que nos logeamos.
  • Comprobar los certificados.
  • Usar un 2FA con lo que, aunque tuviesen la contraseña, no podrían entrar. Cierto es que en Gmail si usas Google Athenticator o 2FA por SMS, no te avisan de que han tratado de entrar en tu cuenta.
Formas de evitarlo muy sencillas pero que, por desgracia, no todo el mundo las toma.

¿Hackeamos el mundo?

P.D: Estos son los árboles que he ayudado a plantar.


No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...