domingo, 14 de julio de 2019

Explicación del hackeo y acoso a La Gata de Schödinger y a otras chicas

No suele ser frecuente que comente un caso cuando está reciente, entre otras cosas porque programo los artículos. No obstante, en este caso y dada la magnitud del ataque (y que he visto algún hilo de Twitter diciendo cosas que son falsas) me ha parecido oportuno decir cómo se orquestó el ataque y algunos consejos que son los que siempre he dado desde este blog. Decir que Rocío (del canal de Youtube La Gata de Schrödinger) en su vídeo explicándo el ataque da unos buenos consejos, por lo que los podéis seguir. Además escribiré también sobre este caso más en detalle en el blog de Hispasec Sistemas - Una al Día


Antes de nada unas aclaraciones:


1. He visto un hilo de Twitter donde (creo que) intenta explicar el ataque y dar unos consejos. Este hilo no puede ser más pobre y deja algunos comentarios que pueden ser buenos y otros malos y detestables. Hay algunos comentarios en los que se medio culpa a Rocío (y las otras chicas implicadas). No voy a incidir en el tema de culpabilizar a la víctima, pues me gustaría ver si cuando salga el caso de un hackeo a un chico se trata de igual forma, por lo que, por el momento, lanzo el Warning y poco más.

2. Rocío en su vídeo hace referencia a que ese ataque fue realizado por un hacker. Si seguís el blog ya sabéis en lo que voy a incidir. El ataque no fue realizado por un hacker, sino por un ciber-criminal, los hackers investigamos la seguridad de los sistemas y redes para mejorarla, no para extorsionar; por lo que es importante distinguir entre hacker y ciber-delincuente.



El vídeo en el que Rocío explica cómo ha vivido ella el ataque es este, por lo que os recomiendo verlo antes de seguir leyendo este artículo. 

Comienza el ataque

Tal y como lo expone Rocío, el ataque comienza con una supuesta cuenta de Twitter le manda un DM para tener su cuenta verificada. Como en Hispasec uno de mis trabajos actualmente es detectar y analizar ataques de Phishing, tal y como lo expone, me parece un ataque interesante y que es más fácil caer de lo que parece, por lo que esos comentarios (medio) culpando a quien es víctima no los termino de entender. Los ciber-criminales, por desgracia, están en una lucha constante por perfeccionar sus ataques y que pasen los filtros de seguirdad y los sistemas de monitorización que los que nos encargamos de seguridad establecemos para detectarlos.

Digo que es interesante porque se ha ido a personas conocidas de Twitter (de ahí que utilice el cebo de la verificación del check azul). Hasta aquí todo normal, pero lo que cambia es:

1. No pide ni un sólo dato personal
2. No pasa ninguna URL en la que hacer click y que te mande a una web preparada por el atacante.
     # Si utilizáis la barra de búsqueda del blog, podréis (si os interesa) saber más sobre Phishing. Aquí todos los posts en los que trato este vector de ataque.

Esto es lo que me parece interesante y que puede abrir un nuevo vector de ataque difícil de detectar por sistemas de seguridad, por lo que no veo necesario culpar a las víctimas; simplemente exponer cómo se hace y qué cosas hacer para protegerte...hasta que perfeccionen aún más el ataque. Ya sabéis que la seguridad no es homeopática, no es una receta 100% infalible.

Tras este DM, Rocío narra que la cuenta del ciber-criminal haciéndose pasar por Twitter le comenta que recibirá un SMS de Twitter que le tendrá que adjuntar con una foto a modo de prueba. Esto es también interesante.

Si tuviésemos un sistema de seguridad, ese SMS pasaría el filtro ¿por qué? ¡Por que es un SMS legítimo de Twitter! Esto complica aún más detectar este ataque. Cuanto menos es original y es fácil de caer si no estás muy metido en el mundo de la seguridad.

Pero ¿Cómo consigue el atacante enviar un SMS legítimo de Twitter? Bueno, en parte lo hace el atacante y en parte no. Me explico.

El atacante ha "tirado por el camino de en medio que es todo recto". Se ha ido a Twitter y le ha dado a "He olvidado mi contraseña". Ahí, el atacante puede escribir varias cosas:

1. Nombre de usuario
2. Número de teléfono móvil.
3. Dirección de correo electrónico.

Esto está hecho para que tú pongas los datos de tu cuenta, pero nada imposibilita que pongas los datos de otra cuenta.

Pues para que a Rocío le llegase un SMS de Twitter, el atacante escribió el número de teléfono de Rocío. Os lo explico un poco más con mi cuenta.


En la página de restablecimiento de tu contraseña de Twitter, nos saldrá esto. Es ahí donde podremos escribir nuestro usuario, número de teléfono o email. Si escribes tu número de teléfono, lo que se hará será darte la opción a que recuperes tu cuenta mediante un código que Twitter te enviará por SMS. Ese código, será tu nueva contraseña de Twitter temporal, en este caso, este código será válido durante 15 minutos.


Aquí vendría el primer consejo. Es un truco muy tonto, pero si te creas alguna cuenta más en la que también introduzcas tu número de teléfono como elemento de recuperación de la cuenta, no te dejará hacerlo vía SMS al encontrar varias cuentas con este dato; no sería un identificador único como el correo o el usuario. Este es un truco del que me di cuenta y que empecé a utilizar para evitar ataques como estos. Pensamiento lateral.

En mi caso no me deja seguir, pero en esta página de Twitter, te dicen cómo restablecer tu cuenta, y un modo es vía SMS.


Como vemos, Twitter te informa de su modo de actuar, que va a ser igual que el que vamos a ver en un ratico.

[INCISO]

"Pero Manu, hacer esto solamente es posible si tú le das tu número al atacante"

Así es como piensan algunas personas, de hecho, al hilo al que he hecho alusión así lo dice también.


Esto es casi insultante y una muestra de no tener cultura en ciberseguridad. Y vosotras  y vosotros lo sabéis de sobra si seguís este blog. 

Esto es posible con los ataques de fuerza bruta, y con el número de teléfono donde sabes el número exacto de dígitos y encima que son todos numéricos, es aún más fácil. Mera combinatoria matemática. 

#Para más artículos sobre fuerza bruta, aquí tenéis para leer hasta que os aburráis (que en mi blog es muy pronto xD)

Además, ya sabéis una posible forma de obtener números de teléfono sabiendo si la víctima utiliza Paypal.


##Pos si hay alguna persona nueva. Que se desarrollen programas que automaticen un ataque (como en el caso de Callme), es típico en la seguridad, pues cuando una empresa nos contrata para realizar una auditoría de seguridad, prima el tiempo. O por ejemplo, si queremos detectar la persona que ha realizado el ataque y lo queremos hacer en el menor tiempo posible. Por desgracia, estas herramientas que están pensadas para hacer el bien, pueden ser utilizadas para el mal.

[FIN DEL INCISO]


Así es como lo muestra Rocío, le llegó el código por SMS de Twitter y se lo mando con una captura al atacante. Aquí el detalle está en la palabra "restablecimiento" y no "verificación". Sin embargo y como se ha comentado, es un ataque planeado para que sea fácil caer.

Aquí el atacante ya tenía la contraseña temporal y acceso a la cuenta gracias a este código. Una vez dentro, empezó la extorsión tal y como cuenta Rocío. Una vez dentro, ya han cambiado la contraseña y el correo, para que si Rocío quisiera recuperar su cuenta vía enlace de verificación, no pueda.

Rocío muestra un correo donde le piden 50$. Esto puede hacer indicar que se trata de una persona ubicada en América al utilizar como moneda el dólar. También vemos que el atacante puede ser bastante novato, pues para esto se suelen utilizar Bitcoins, que es una moneda la que no se le puede hacer tracking. Y aquí importante matiz.

Es cierto que cuando ocurre un ataque informático y ocurre algo como WannaCry, se suele recomendar no pagar, pues no es seguro que te devuelvan los datos además de que el pago por Bitcoins no te permitiría conocer nada del atacante, pero esta vez no, esta vez pide un pago en una moneda que sí se puede trazar.

Desde mi punto de vista, una vez que Rocío recupere todos sus accesos, si los cuerpos de seguridad (por cierto, fenomenal forma de actuar de Rocío reportando a los cuerpos de seguridad; es así como hay que actuar en caso de duda. 10/10) no consiguen obtener la identidad de la persona tras estos ataques, sería interesante un caballo de Troya. Es decir, con todos los accesos recuperados, los cuerpos de seguridad podrían orquestar una trampa de tal forma que hagan creer al atacante que los accesos no están recuperados y se le deje aún "el poder" al atacante. Esto nos va a servir para que los cuerpos de seguridad puedan "seguir el rollo" al atacante y ver cómo tramitar el pago. Si lo pide por cuenta bancaria, lo tenemos hecho.

En otras palabras, es como si haces un secuestro y pides que te manden dinero, pero después, en lugar de un contenedor de un parque a medianoche, das la dirección de tu casa, pues vale, te llevo el dinero a casa...junto a unos cuantos policías. Mucha idea no ha tenido el atacante.

Y sí, se ha podido crear una cuenta falsa o que incluso pida una transferencia por Paypal (que de pedir que sea por Paypal sería peor aún, pues ya hems visto que se puede obtener tu número de teléfono). Puede que se cree cuentas falsas, es posible, pero también se podría crear un monedero de bitcoins directamente y no lo ha hecho. Como dijo Sun Tzu, para vencer al enemigo hay que conocerlo, y que posibilite el pago en dólar, eso es conocerlo un poco más y conocer una posible debilidad.

Tras esto, si veis el vídeo de Rocío, veréis que lo peor vino después, puesto que el atacante, para hacer presión con el pago. Lo que el atacante hizo fue:

1. Publicar tweets en su nombre
2. Publicaron conversaciones privadas de Twitter


Después y como comenta, a la mañana siguiente, recibe un correo donde el atacante la informa de que otras cuentas suyas también han sido hackeadas. Esto, como os imagináis, es posible a que, por lo general, tuviese la misma contraseña en todas esas redes sociales. Esa es la forma más común de que te roben tantas cuentas en tan poco tiempo. Eso o que sean contraseñas muy similares como el investigador que tenía por contraseña: fuck.[red social]. EJs:

fuck.gmail --> Para gmail
fuck.twitter-->Para Twitetr
fuck.facebook-->Para Facebook

Sobre si tiene algo de idea el atacante, pues no lo sé, porque el ataque es original, pero comete fallos muy básicos y que, por fortuna, facilitarían su identificación. Hay otras cosas que, aunque no lo vea al camuflar en el vídeo su correo, tiene pinta que cada vez que le manda un correo es mediante servicios como los de guerrillamail, un servicios para enviar y recibir correos de forma anónima.

Después empezaron, para seguir haciendo presión,  las amenazas incluso físicas. Es un comportamiento realmente lamentable y que no me termino de explicar qué puede motivar a una persona a realizar tales acciones y amenazas.

Recomendaciones

1. Utilizar una contraseña diferente para cada red social. Ojo, no utilicéis un método. En el vídeo se comenta que aunque sea una parte igual y que cambie algún número, eso se lo pone más complicado al atacante. Realmente sí, es una contraseña diferente y el atacante puede tardar unos SEGUNDOS más. Recordar que se puede hacer ataques de fuerza bruta y que, con la potencia de los ordenadores actual, utilizar un método para memorizar la contraseña no es efectivo. Un ejemplo:


Si utilizáis Kali Linux, sabéis que ya viene con Hydra, lo que facilita los ataques de fuerza bruta simplemente especificándole qué caracteres o incluso qué palabras quieres que busque. Si, por ejemplo, le dices que busque todas las contraseñas que empiecen por "fuck." y que después compruebe con las palabras "google", "facebook", "youtube",etc; el ataque que se le realizó al investigador de seguridad o a cualquier otra persona que utilice un método similar, llevaría, como mucho, minutos.

Es recomendable que, para cada sitio, utilicéis contraseñas aleatorias que podéis crear en servicios online como este. Una contraseña distinta para cada sitio y que después, esas contraseñas las almacenéis en un gestor de contraseñas como KeePass.

Sí, es "mucho trabajo", pero cuanto más complicado sea acceder para vosotras y vosotros, más lo será también para un atacante.

2. Utilizar un 2FA. A ser posible, que no sea via SMS. Muchos servicios posibilitan que se utilice un 2FA con un código que se envíe por SMS. No obstante, es relativamente sencillo de hackear en un entorno de MiTM como ya vimos. A ser posible, Latch (que es de Telefónica), Google Authenticator y como última opción el SMS.

3. Cambiad periódicamente vuestras contraseñas.

4. Cuidado con los Phishings

5. Estar pendiente si ya te han hackeado con servicios como:

     5.2. HaveIBeenPwned

Apunte adicional

Ser víctima de un hackeo y encima de extorsión y amenazas no es agradable. Se entiende la desesperación y la angustia. No obstante siempre se recomienda mantener la calma y ponerlo en manos de los cuerpos de seguridad. En este caso, sería interesante hacer el pago, pero no Rocío, la Policía y así obtener más información. Puede parecer de FBI y de película, pero es una opción que alguna vez ha funcionado en casos similares. Eso sí, si sois la víctima NUNCA HAGÁIS EL PAGO. Lo más seguro es que os pidan más.

Por lo demás mucha fuerza y ánimo a Rocío y espero que todo vuelva a la normalidad. También he visto que le ha ocurrido similar a alguna chica más, pero no he tenido tiempo para mirar en profundidad, lo siento. Prácticamente no tengo tiempo y sacar este artículo ya ha sido toda una hazaña.

Por lo demás, ánimo y fuerza a todas las víctimas. No estáis solas.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...