domingo, 17 de septiembre de 2017

Robar una cuenta de Twitter con un 2FA por SMS

Ya hablamos hace un tiempo sobre cómo robar la cuenta de Facebook de una persona utilizando un esquema de MITM ARP Poisoning con DNS SPOOFING, y aunque es cierto que podemos conseguir su contraseña, en caso de que disponga de un 2FA, nos quedaremos con las ganas de entrar a la cuenta.



Aunque no todos los usuarios disponen de un 2FA, sí que cada más, son los usuarios que configuran sus cuentas con su número de teléfono para que cuando inicien sesión, se les envíe un SMS con el código que deberán de escribir para poder entrar en la cuenta.


La técnica es bastante sencilla, ya que es usar el mismo esquema que el utilizado en "Haciendo Skate por tu Android para hackearte el Whatsapp", conseguimos sesión meterpreter en el Android de la víctima infectando previamente la apk. Ya vimos ayer que podría ser más fácil de lo que pensamos mediante sorteos, por ejemplo. Una vez realizado esto y que tenemos la sesión meterpreter, nos vamos a Twitter y usamos la técnica de he olvidado contraseña y decir que nos envíen el código vía SMS al número de teléfono de la víctima de la cual ya tenemos la sesión meterpreter capturada.


Ahora solamente tendremos que descargarnos los SMS almacenados en el dispositivo de la víctima. En mi caso solamente había guardado dos SMS.


Una vez que hayamos descargado el SMS, lo abrimos-yo lo he abierto con nano- y podremos ver el código que se le ha enviado a la víctima. Esto es importante y hay que destacar que los códigos vía SMS no caducan, por lo que si la víctima estuviese ocupada y no estuviese pendiente del móvil, nosotros podríamos escribir el código y entrar como si nada a la cuenta.


Y las consecuencias son las de siempre, que una vez dentro, podremos cambiar la contraseña, cambiar la dirección de correo electrónico para que no pueda recuperar la cuenta, deshabilitar el 2FA por número de teléfono o usar el nuestro.

Estamos en un entorno de una seguridad bastante alta, ya que es un usuario con una cuenta en Twitter con una contraseña-la que sea- y con un 2FA vía SMS. Recapitulando, tenemos el siguiente esquema con los entornos hackeables.


Ya os adelanto que con Google Authenticator también es posible, pero eso ya es materia para otra entrada; aunque también debo recordar, que un ataque sea posible, no significa que ya la seguridad no importe, al contrario, son barreras útiles que hay que poner sí o sí que harán la tarea más difícil a los atacantes, entrar a nuestro sistema, y ese tiempo, nos puede ser muy muy útil.

¿Hackeamos el Mundo?


No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...