jueves, 3 de agosto de 2017

Infectar a toda una ciudad desde Instagram con malware distribuido

Llevo varios días pensando en esta opción de distribuir malware a través de las redes sociales y la verdad es que con Instagram, veo esta opción realmente fácil de realizar por cualquier persona independientemente de su conocimiento del tema, pudiendo llegar a ocasionar mucho daño a toda una ciudad.



Desde hace un tiempo en Instagram están las Stories para subir fotos o vídeos que "se eliminan en 24 horas" aunque tú puedes hacer captura o grabar la pantalla y tenerlo forever sin que deje rastro en el usuario. Pero yo no estuve pensando en eso, yo pensé en cómo cualquier usuario podría distribuir malware mediante un enlace que se suba a las Stories.


Instagram es un poco enrevesado, ya que si te vas a la parte de búsqueda de usuarios y fotos, tendrás en la barra superior una lista de usuarios y sus Stories, aunque lo más curioso es que te aparecerá "un usuario" con nombre la tu ubicación y que muestra las Stories de todos los usuarios de Instagram que han puesto su ubicación en la Storie.

Si os preguntáis que ésto por qué sucede si vosotros tenéis deshabilitada la ubicación de vuestro móvil, bueno, dejad que os diga una serie de cosas.

1. Aunque tuvieses la ubicación, wifi y datos deshabilitados, se podrá saber dónde estás en cada momento. Google sabe en todo momento dónde estás, y si tienes un Android...y un iPhone...
2. Tú ya le diste permisos para que sepa tu ubicación exacta.


Por eso no me sorprende que Instagram sepa en todo momento dónde estoy, yo acepté darle mi ubicación a cambio de sus servicios, es worth it.


Por eso, una vez que subí la Storie a mi cuenta y compartí la ubicación, me fui a otra cuenta que me creé, fui a la zona de búsqueda y ahí estaban todas las Stories de gente que comparte su ubicación y que coincide con la mía. 

La Storie que yo subí, fue con mi ubicación y un enlace a mi blog, en este caso era a mi blog, pero podría ser a cualquier dominio que previamente yo tuviese infectado. Aunque puede que os preguntéis que si el dominio es cantoso, nadie se meta por miedo, pero bueno, este es el caso de las cuenta sno verificadas, ya que las verificadas, lo tienen mejor.



En las cuentas verificadas, el enlace aparece para que hagas Swipe up, y una vez que lo hagas, te llevará al enlace, un enlace que tú en ningún momento ves, que es invisible para tí y que podría ser un enlace de un sitio infectado, pero tú no lo sabes, porque en estos casos no ves nada, y solamente te separa ese "See More".

Como podéis apreciar, podría ser bastante sencillo distribuir malware a toda una ciudad con esa tontería de un enlace en una Storie. Si eres influencer, además lo tienes mucho mejor, ya que los enlaces te aparecen ocultos y encima la cantidad de gente que te puede ver es una gran masa y lo más importante, que confían en ti, ya que por eso te siguen. Ahí, la ingeniería social ya está realizada, solamente falta poner el enlace.

¿Hackeamos el Mundo?


No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...