sábado, 24 de marzo de 2018

How somebody fucked my girlfriend...yes, again [PARTE V]

*****************************************************************************
How somebody fucked my girlfriend...yes, again [PARTE I]
How somebody fucked my girlfriend...yes,gain [PARTE II]
How somebody fucked my girlfriend...yes, again [PARTE III]
How somebody fucked my girlfriend...yes, again [PARTE IV] 
How somebody fucked my girlfriend...yes, again [PARTE V] 
How somebody fucked my girlfriend...yes, again [PARTE VI] 
How somebody fucked my girlfriend...yes, again [PARTE VII] 
How somebody fucked my girlfriend...yes, again [PARTE VIII] 
How somebody fucked my girlfriend...yes,again [PARTE IX] 
How somebody fucked my girlfriend...yes, again [PARTE X]
******************************************************************************

En la última parte vista, vimos cómo mi pareja fue infectada con WannaCry y fue extorsionada a pagar a cambio de devolver sus datos y no publicar sus fotos comprometidas que el atacante sacó del dispositivo de mi pareja. El tema de los datos, vimos, que ya no era un problema, el tema era evitar que publicase las fotos ¿Qué pudimos hacer para evitarlo?




El evitar que publicase las fotos iba a ser complicado, ya que ni siquiera sabía quién era el que estaba extorsionando. Sólo teníamos un correo con el que no podíamos hacer nada porque era un correo temporal. La cosa no pintaba demasiado bien.



No teníamos tampoco al tiempo de nuestro lado, ya que en 2 días mi pareja iba a dar un concierto y tenía que ensayar algunas de las covers que iba a realizar. Yo le dije que se relajase y ensayase tranquila. Se puso con un tema que me encanta de un grupo que amo. Duerme Conmigo de Marea. Ella estaba ensayando, yo pensando y de repente dijo algo que me encendió la bombilla.


Tiré de alguna que otra mentira para tratar de sacar algún dato relevante del extorsionador. Así que le dije a mi novia que tenía que escribir un mail al extorsionador. Lo que le dijo fue lo siguiente:

"Hola,

Me pides que haga una transferencia por Bitcoins, pero es que yo no sé hacer transferencias por Bitcoins. Este tema me está cansando ya. Si quieres te hago el pago de otra forma, pero que esto se termine ya"

Con esto lo que trataba era de hacer creer al extorsionador que mi novia no sabía hacer transferencias con Bitcoins y que estaba más ansiosa y preocupada de lo que realmente estaba. Con esto estaba provocando un error suyo por si, al ver que lo tenía todo controlado, se relajaba. Pues ocurrió algo que, la verdad, ni se me pasó por la cabeza.

Mi novia recibió una llamada con número oculto. Era el extorsionador. Puso el manos libres. A partir de aquí, todo parece de película:

"Ext: Hola, Lucía, ya conozco tu cuerpo, a ver tu voz
Lucía: ¡¿Cómo has conseguido mi número?!
Ext: He conseguido muchos datos tuyos, lo de menos es tu número
Lucía: ¡¿Se puede saber para qué me llamas?!
Ext: Vas a tener que bajar el tono si no quieres que esas fotos que tengo se publiquen ¿Qué es eso de que no sabes hacer transferencias con Bitcoins?
Lucía: Pues que no sé, nunca las he hecho con Bitcoins.
Ext: Mujer tenías que ser."

Que el extorsionador fuese machista, era algo que no me era sorprendente, pero aquí ya sí que me obsesioné por pillarlo. Era algo personal. Yo estaba al lado de mi pareja escribiéndole en un papel lo que decir.

"Lucía: Pues yo quiero resolver esto ya. Yo cuando hago transferencias es porque la gente se mete en mi web ¿Podemos hacer eso?
Ext: ¿Tú web? ¿Explícame eso?
Lucía: Sí, la gente se registra, se le da un número que los identifica, me piden una transferencia, dan su número {el que se les ha dado} y yo valido la transferencia. Así es como sé hacerlas. Por bitcoins también se permiten transferencias. Yo sólo sé así, pulso un botón y ya"

Esto era para tener de fondo la BSO de Misión Imposible. Por supuesto, esa web de la que hablaba no existía, yo estaba, en ese momento escribiéndole en el papel y haciendo la web. Yo pensaba que no se lo iba a creer y que nos iba a pillar...y no, se lo creyó todo. Lo siguiente que le dijo fue:

"Ext: Vale, ahora no estoy en casa, dentro de una hora o así envíame un correo con la web"

Después de no saber nada de él, de que enviase correos con una dirección temporal y de que llamase en oculto, teníamos una oportunidad de pillarlo. Tenía 1 hora para hacer una web medio decente y subirla a un dominio.



La web la monté sobre una máquina virtual en Debian 8 con Gnome Desktop. Tiré, por lo tanto de entorno GLAMP {Gnu/Linux, Apache, MariaDB y PHP}. Para la instalación de Apache, con aptitude install apache2 basta. Para instalar MariaDB, aptitude install mariadb-server, configuras la contraseña para el usuario root y andando.



Aquí tenéis una versión muy reducida de la web. Por supuesto, la intención era que diese datos suyos como su nombre o su correo o el username que suela usar en redes sociales. Cuando se registrase, los datos se iban a insertar en una base de datos donde, la contraseña, la iba a almacenar sin ningún hash, encima no me voy a preocupar de su seguridad.



El atacante escribe los datos y da a enviar. Era sencillo. Pues bien, su nombre se lo inventó. Parecía que no iba a tener suerte tampoco...pero...



El correo no era su correo temporal, parecía su correo personal, era un gmail. Podía tener algo con lo que pillarlo.



Con la técnica de "He olvidado mi contraseña" en Facebook llegué a conocer la identidad del extorsionador. Iba por buen camino. Sabía su nombre y sus apellidos {Lo que veis en la captura anterior es un ejemplo de la demo}, podía buscarlo por Google, pero decidí mirar directamente en su Facebook a ver que me encontraba.



El perfil era público y ya podía ver que trabajaba en MercaCórdoba. Todo pinta muy pero que muy bien.



Me tenía que crear una cuenta para ver su información. Me creé una rápido de ejemplo y ya pude ver su información. Vi que trabajaba en MercaCórdoba, que estudió en Blas Infante y que es de Córdoba. Además, estaba casado.



Lo que más me sorprendió fue que mostraba en qué calle vivía. Esto era lo mejor, ya sabía donde vivía. Tenía sentido porque vivía cerca de MercaCórdoba. Esto cada vez se ponía mejor.



También pude ver cuáles eran sus equipos favoritos. Esto me podría resultar muy interesante por si me aventuraba a hacer algo.



Conocer sus grupos favoritos ayuda también para casos en los que se oculta un backdoor en un videoclip que le pudiese enviar. Si yo quería saber más sobre él, iba a tener un problema, y es que necesitaba ser su amigo para ver sus fotos, aunque claro, tenía su contraseña de cuando se registró en mi web ¿Reutilizaría la misma password?


Sí, reutilizaba la misma password para Facebook. Aquí tenía varias opciones, podría ver sus publicaciones y mensajes e irme o añadirme como amigo y así poder verlo siempre, total, hay mucha gente que agrega a otras personas sin conocerlos.


Ya era "su amigo", ahora tocaba cotillear en su Facebook desde el mío.


Entre sus fotos, podías ver que tenía una foto con sus hijos en el estadio del Córdoba. La cara de sus hijos salía sin censurar, por lo que ya sabía quiénes era. Yo no he subido la foto por motivos de privacidad, por lo que he hecho un dibujo de sus fotos que más me llamaron la atención.


Como todo buen facha, su intención es unir a los que piensan distinto a él con un fusil en la cabeza {sarcasmo}. Aquí puso una foto del Rey con la bandera de España detrás, lo del Elefante es cosa mía.


Lo que ya me mató fue que subiese una foto de su buzón, al cual le había puesto una pegatina con la bandera de España. Ya no sólo sabía en qué bloque vivía, ya además sabía su puerta. En esta foto me he inventado la casa por cuestiones obvias.



Por cierto, cuando digo facha, no es que me lo invente, es que es porque es de Falange Española, el único partido político durante el Franquismo. Además católico...¡lo tenía todo! Facha, católico y machista; menuda perla.

Con todo esto, me tocaba ir de aventura cerca de su casa para ver si conseguía algo más...y conseguí mucho, pero eso es tema para otra entrada. Os dejo con el Hype.

To be continued...

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...