sábado, 30 de diciembre de 2017

Que los Reyes Magos no te estafen

A pesar de estar en contra de esta época de consumismo nada barato, donde se compra a los niños para que se porten bien a cambio de unos regalos y mentirles con seres de existencia más que dudosa; sé que muchos aprovecháis estas fechas para comprar regalos a vuestros familiares o a vosotros mismos, por lo que voy a aprovechar y dejar por escrito en el blog una serie de consejos a modo de guía para realizar compras por Internet lo más seguras posibles, y como es Navidad o Saturnalia o Falsa mantenida por la Religión; aprovecho este contexto para que "los Reyes Magos" no os tomen el pelo y os dejen sin vuestros regalos o los de vuestros familiares.



Esta es una entrada que llevo tiempo queriendo escribir y muchas veces me he guiado y leído otras entradas en otros blogs y, por regla general dan buenos consejos, pero no explican el por qué se deben seguir esos consejos haciendo una prueba sencilla donde se obtengan los datos personales de una persona. Así que yo traeré una guía donde trate de demostrar con ejemplos sencillos cada punto que comente. Dicho esto, vamos a por ello.

1. Conéctate a redes wifis seguras

Es frecuente que entre compra y compra navideña en medio de cualquier centro comercial, se visite una web de una tienda u otro centro comercial y si se ve que mal de tiempo, hacer la compra por Internet desde el centro comercial o desde un bar al que se ha ido mientras se descansa de tanta compra navideña, que debe ser agotador...por que leer sobre ciencia y pensar...eso ya para otro día.

Los problemas de hacer esto es que cualquier atacante puede aprovechar esto y hacer algo como lo que comenté en la entrada de "MiTM clásico con un FAKE AP". Os lo resumo. Un atacante que vea una wifi que se llame, por ejemplo, "Wifi_CentroComercial", podría tirar de ingeniería social y crear un Punto de Acceso desde su portátil que se llame "Wifi_CentroComercial_PlantaBaja" y muy mal se le tendría que dar para que no se conecten, mínimo, 20 personas.

Como se puede ver, puede ser un truco muy sencillo, pero que puede servir para acceder a datos personales de muchas personas, aunque ¿qué se podría hacer exactamente?


Muchos podréis pensar que todas las webs de compras son en https, por lo que vuestros datos irían cifrados en tránsito, no obstante, basta con que naveguéis a una sola web que vaya en http y te pida tus datos personales y el mismo atacante que ha preparado un Fake AP con gateway la máquina atacante, podría estar escuchando el tráfico de red y visualizar estos datos personales como puede ser el correo electrónico.

¿Para qué puede servir esta información? Esta parte ya se junta con el segundo punto a tener en cuenta a la hora de comprar por Internet. Reyes Magos, tomad nota.

2. No hagas caso a las ofertas que te lleguen por correo

Una vez que sacan tu dirección de correo electrónico, se podría usar esta información para enviarte un correo de phishing para que piques el anzuelo y seas infectado. Usando el ejemplo de la web Jugueton, se podría enviar un correo de Phishing a, en este caso, mi que he visitado la web y he enviado el formulario donde he preguntado que si le quedaban juguetes de Star Wars. El atacante ya sabría que estoy interesado en Star Wars y esto, junto a la información del correo ya puede ser bastante peligrosa.


La trampa es que le he enviado un correo a la víctima con un formato algo más editado con CSS-pero tampoco mucho- para que pueda caer en la trampa. El trabajo se me hace mucho más sencillo, ya que a la hora de montar el cuerpo del mensaje, he creado un html donde el enlace de la web a la que le quiero redirigir, la he podido "ocultar" con la etiqueta "<a href="[URL]>" . Aquí debo recordar algo bastante importante.

Tenemos en cuenta que estamos en un entorno en el que una víctima se ha conectado a una red wifi que el atacante-yo- ha preparado, por lo que la víctima se encuentra en la red 192.168.1.0/24 por ejemplo, por lo que crear una web de destino que infecte a los visitantes, es realmente sencillo, ya que no me tengo que molestar en comprar un dominio para que se visite desde fuera, ya que estamos todos en la misma LAN.



En este caso es solamente un mensaje, pero podríamos hacer que se le descargase a la víctima un payload que generemos como se hizo en la entrada de "Hackear Windows 7" y poder así, lograr tener una sesión meterpreter a la máquina de la víctima. Solamente tendríamos que hacer un estudio sencillo y si vemos que la mayoría de usuarios son de Android, solamente tendremos que utilizar un payload que afecte a Android y listo.

3. Sistema Actualizado y protegido

El punto anterior da pie a este punto. Y es que no es muy habitual encontrar usuarios que no tengan antimalware en su ordenador, no obstante, sí que nos encontramos muchos usuarios de Android que no usan antimalware en su móvil porque, según ellos, "ocupa mucho espacio o no sirve para nada". Todo esto, más no tener actualizado el sistema, podría facilitar ser hackeado al comprar por Internet. Como suelo decir, "tú te infectas cuando solicitas algo por Internet, nada entra sólo en tu sistema sin que lo solicites previamente".

4. Compra en sitios webs de confianza y con buena reputación

Y ahora viene la pregunta del millón de doláres..."¿Cómo sé que una web es de confianza?". A esta pregunta se suele responder que nos debemos fijar en si la url empieza por https, pero eso realmente da igual, ya que si soy un atacante que se lo curra un poco, voy y me curraré un poco más el ataque y hago que la url empiece por https. Aquí lo importante son los famosos certificados digitales.



Basta con irse a la parte del navegador donde diga "Es Seguro" y comprobar el certificado digital de la web donde vamos a realizar una determinada compra.


Esto por ejemplo, lo hice recientemente cuando mi pareja me habló de la web EMP, donde puedes comprar ropa muy chula de bandas, películas como Star Wars y demás. Yo no conocía la web y miré que tenía certificado digital y algo más que comentaré en los siguientes puntos y ya vi que era de fiar y le di el visto bueno. Posteriormente vi la ropa que tenían y es una página muy muy buena para comprar ropa chula. Os la recomiendo.

5. Comprobar la política de devoluciones

Esto es algo muy importante y que siempre que mis padres quieren devolver algo que han comprado por Internet y tienen algún problema con la devolución, les recuerdo. Pero no hay manera.

Por poner un ejemplo, en la web anterior, EMP, dispone, en su sección correspondiente, de información sobre su política de privacidad y en la parte lateral derecha, se podrá ver su política de devoluciones.


Y aquí no os puedo dar más consejos que reviséis bien cada política de devolución, ya que una vez que compráis un producto por Internet, estáis aceptando, entre otras, esta política, y en caso de cualquier problema, si dicen-por ejemplo- que no devuelven el dinero, os tendréis que conformar, pues es lo que habéis aceptado, a lo mejor sin saber, pero es como cuando firmas un contrato. Aquí mi consejo es que leáis antes de comprar, que el pulsar "Aceptar", significa poner tu firma a un contrato que deberías haberte leído.

6. Revisa periódicamente los movimientos en tu tarjeta de crédito

Lo suyo sería que revisases todos los días los movimientos de tu tarjeta de crédito, sobre todo la que hayas usado para comprar por Internet en una determinada web. Y es que puede que hayas cumplido con los puntos anteriores, pero aún así ocurra un incidente de seguridad; mejor saber qué movimientos está haciendo tu dinero y cortar a tiempo, es mejor perder 5 € que 1000€.

7. Utiliza una tarjeta virtual con el dinero justo

Esto es algo que hace mucha gente, y es que utilizan tarjetas virtuales y si saben que van a gastar 100€, recargar esa tarjeta con 120 € por ejemplo, y así, si ocurriese cualquier fallo, la pérdida es mínima o 0.

8. No guardes tus datos en tu navegador

Por usabilidad, mucha gente tiene en webs como Amazon o Aliexpress, sus datos como su número de tarjeta de crédito guardada en el navegador para no tener que escribirla cada vez que entre. Eso es verdad que aporta una gran usabilidad, pero-por ejemplo- en caso de robo del portátil o smartphone, tienes un gran problema.

Estos han sido algunos consejos para que vuestras compras por la red sean algo más seguras. No lo puedo garantizar al 100% porque es muy complicado y porque hay muchas medidas más como usar una VPN, comprar desde máquinas virtuales para que en caso de infección de la máquina robe el mínimo de datos y sea fácilmente eliminada la máquina y restaurarla con una captura de estado anterior o una instalación nueva de la mima. Con estas 8 medidas o consejos, sí que se garantiza una seguridad mayor en vuestras compras, así que no dejéis que los "Reyes Magos" ni nadie os timen y seguid estos consejos para estar un poco más seguros.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...