21 May

Suplantación de identidad en Facebook

Envío de email por Telnet

En un Informático del lado del mal describen una vulnerabilidad en Facebook con la cual es posible suplantar la identidad de un usuario de la red social. Con este método es posible enviar mensajes (a través del sistema interno de Facebook) utilizando como remitente a cualquier usuario registrado en Facebook.

Desde luego el principal motivo de la publicación de esta información es concientizar a los usuarios de redes sociales sobre la importancia de la privacidad y la seguridad de todos los datos que publican. Este error tiene aproximadamente un año desde su descubrimiento e inexplicablemente no ha sido reparado por Facebook aún.

Los requisitos para explotar esta vulnerabilidad son los siguientes:

  • Dirección de correo electrónico de la persona que se va a suplantar.
  • Dirección de correo electrónico de Facebook de la persona a quién se engaña.
  • Un sistema para enviar correos SMTP.

Pasos para enviar un mensaje de Facebook suplantando la identidad de otro usuario

Para obtener el correo electrónico de un usuario de Facebook basta con ir a su perfil y revisar la sección «Información de contacto», generalmente ahí aparecen las direcciones de correo que el usuario tiene publicadas. En caso de que el usuario haya ocultado sus cuentas de correo electrónico, es posible obtenerlas con alguno de los siguiente métodos.

Información de contacto en Facebook

Sección "Información de contacto" en un perfil de Facebook

Obtener el correo de Facebook de un usuario es todavía más sencillo pues tan solo es necesario visitar el perfil del usuario y revisar la URL que aparece en la barra de direcciones. Facebook asigna una dirección de correo electrónico con el mismo nombre de usuario del perfil. Es decir, si la dirección URL de un perfil es https://www.facebook.com/usuariox, el email de FB del usuario es usuariox@facebook.com.

Usuario de Facebook en URL de perfil

Usuario de Facebook en URL de perfil

Para verificar que una dirección de correo electrónico es válida pueden utilizar servicios en línea como Verify-email.org. Así es posible verificar que las direcciones de correo que queremos utilizar realmente existen.

Una vez obtenidas la dirección del emisor (el usuario suplantado) y la dirección del receptor (el correo @Facebook.com), el siguiente paso es enviar un simple correo electrónico. Hay varias opciones como utilizar un sencillo formulario en PHP para enviar correos anónimos o utilizar Telnet para conectarte directamente al servidor de correo de Facebook.

Envío de email por Telnet

Envío de email por Telnet

Los correos electrónicos enviados a una dirección @Facebook.com son visibles para el usuario en la sección de Mensajes. Si el correo electrónico anterior se envió correctamente, el usuario receptor verá en su sección de Mensajes un nuevo mensaje del usuario de Facebook del emisor.

Recepción de mensaje de "Mark Zuckerberg" en Facebook

Recepción de mensaje de "Mark Zuckerberg" en Facebook

Este muchacho Mark Zuckerber que considerado es por escribirme. 🙂

La única pista que Facebook muestra al usuario sobre el origen del mensaje es ese pequeño símbolo de alerta en la esquina superior derecha. Si se posiciona el cursor sobre el icono se muestra un mensaje que dice “No se puede confirmar que este mensaje sea de Mark Zuckerberg”. ¿Cuántos usuarios crees que van a notar esta pequeña advertencia? Además hay dos casos en los que no se muestra advertencia alguna; en la aplicación móvil de Facebook para iOS y Android y en el Chat de Facebook (si la persona engañada se encuentra en el chat de Facebook recibirá el mensaje por ese medio).

Mensaje de advertencia de Facebook

Mensaje de advertencia de Facebook

Se demostró entonces lo sencillo que es suplantar la identidad de una persona en Facebook. Aplicando métodos de ingeniería social sería posible llegar a obtener información personal de los usuarios. Por eso repito, nunca confíen en que su información personal estará segura en redes sociales.

Si tienen alguna duda para replicar el procedimiento pueden dejar un comentario en el post o contactarme vía Twitter.

15 May

Como proteger tu información en Facebook y Twitter

En pleno auge de las redes sociales, los usuarios (principalmente las nuevas generaciones) no tienen en cuenta la seguridad de la información que publican. Los responsables de garantizar la seguridad son por una parte los propios servicios como Facebook y Twitter, pero además de ellos el proveedor de servicios de Internet, el firewall físico de tu empresa, el administrador de la red local, y el software antivirus/firewall de tu equipo deberían estar siempre protegiendo tu información de forma no sea vista por terceras personas.

Aun así por ejemplo, algún tipo listo podría simplemente utilizar Firesheep en la red abierta de tu universidad y robar todas las sesiones de cientos de estudiantes, logrando con ello tener acceso a las cuentas de cualquier red social y/o correo electrónico.

Como una forma de evitar este tipo de intrusiones, Facebook y Twitter ofrecen una opcion para activar la navegación segura (HTTPS) en sus sitios. De forma que todos los datos que enviemos a estas redes sociales estarán encriptados.

Para activar HTTPS en Facebook siemplemente realiza los siguientes pasos:

  1. En Facebook, selecciona el menú «Mi Cuenta» y luego «Configuración de la cuenta».
  2. Busca la sección «Seguridad de la cuenta» y presiona la opción de cambiar.
  3. Activa la Navegación segura.

Para activar HTTPS en Twitter lleva a cabo los siguientes pasos:

  1. Entra a la configuración de tu cuenta http://twitter.com/settings/account.
  2. En la parte inferior de la página, selecciona la opción «Solo HTTPS».

Con estas dos simples acciones podrás navegar más seguro en redes públicas.

03 May

Problema de seguridad con tus contraseñas en Google Chrome

Desde hace tiempo me había percatado de este «descuido» de parte de los desarrolladores del navegador Google Chrome, y al parecer en varios blogs comienzan a tacharlo de un problema de seguridad, una acusación con la cual estoy de acuerdo. Si eres usuario de Chrome y acostumbras permitir que tu navegador almacene contraseñas te sugiero que realices los siguientes pasos:

  1. Abre el navegador Google Chrome.
  2. Ve a las opciones del navegador.
  3. Localiza la pestaña «Cosas personales».
  4. Presiona el botón «administrar contraseñas guardadas».
  5. Haz clic en alguna de tus contraseñas.
  6. Presiona el botón «mostrar».
  7. ¿WTF, la contraseña en texto plano?

Imagina alguien que conozca este procedimiento y tenga acceso a tu computadora. En tan solo un par de minutos podría obtener todas tus contraseñas sin dejar ningún rastro.

Es lógico que desde el momento en que le indicas al navegador que quieres que recuerde tus contraseñas estás arriesgándolas porque se almacenan en el disco duro y alguien con experiencia (y malicia) podría recuperarlas utilizando diversas técnicas. Pero los usuarios de Google Chrome están prácticamente expuestos pues tan solo le bastan 20 segundos a un usuario malicioso para que robe todas tus contraseñas.

Es posible que en la próxima versión de Google Chrome se de una solución a este problema, quizá se añada una opción similar a la que tiene Firefox 4 con su «contraseña maestra». Mientras tanto podrías borrar tus contraseñas guardadas y no permitir que el navegador las siga recordando.

26 May

Un nuevo ataque de Phishing: tabnabbing

Los ataques de Phishing consisten en engañar al usuario haciendole creer que está realizando una actividad de forma normal en Internet para obtener información privada del mismo. Por ejemplo, revista tu carpeta de correo no deseado en tu correo electrónico y seguro que encontrarás un email de algún banco solicitando tus datos personales, aún cuando no tengas una cuenta con dicho banco. Ese es el ataque de Phishing más común hoy en día.

Un desarrollador de Mozilla de nombre Aza Raskin descubrió una nueva forma de engañar a los usuarios mediante un ataque que consiste en cambiar la identidad de una pestaña del navegador por un sitio web con información privada. Se publicó un video donde podemos ver como una de las pestañas del navegador se hace pasar por la página de inicio de Gmail:

[vimeo]http://vimeo.com/12003099[/vimeo]

Puedes probar este nuevo ataque de Phishing mostrado en el video por tí mismo en el sitio web de Aza Raskin, desde luego es totalmente seguro. Solo basta con acceder al sitio web y posteriormente cambiar de pestaña, esperar más de 5 segundos para ver como la pestaña cambia haciéndose pasar por el sitio web de Gmail.

Es impresionante la facilidad con la que se puede replicar este ataque por lo que es importante verificar siempre cuando ingresemos a sitios webs privados que la dirección URL escrita en el navegador corresponda con la dirección original del sitio web. (Ej. si vamos a iniciar sesión en Facebook asegurarnos de que está escrito www.facebook.com en la barra de direcciones).

Existen otros tipos de ataques de Phishing recientes como el click-hacking, del cual elaboré una demostración en los laboratorios de I&D de Panchosoft.com.

Fuente: Genbeta
Ejemplo de Tabnabbing: Aza Raskin