Archive for Seguridad Informática

Marzo 17th 2017

QRLJacking, robando sesiones de WhatsApp a través del código QR

Número de lecturas: 1800
{lang: 'es-419'}

WhatsApp es el cliente de mensajería instantánea más utilizado en todo el mundo, lo que hace que también sea una de las aplicaciones más atacadas por los piratas informáticos. Aunque en el pasado hackear WhatsApp era realmente sencillo debido a la inexistencia del cifrado ni de medidas de seguridad, hoy en día esta tarea se ha complicado notablemente debido a las nuevas medidas de seguridad implementadas en esta aplicación. Sin embargo, aún tiene serias debilidades que pueden suponer un peligro para los usuarios, como, por ejemplo, el uso de códigos QR para el inicio de sesión en su aplicación Web.

El pasado mes de enero explicamos cómo los piratas informáticos pueden hackear WhatsApp aprovechándose de un fallo en la generación de los códigos QR que podía permitir a un atacante hacerse con el código de otra persona, iniciar sesión con sus credenciales y poder leer los mensajes de WhatsApp sin dejar rastro de actividad.

Esta técnica, aunque preocupante, es bastante complicada de llevar a cabo y tiene muchas limitaciones a la hora de ponerla en práctica, como, por ejemplo, que solo un usuario puede utilizar WhatsApp Web a la vez (por lo que, si la otra persona lo intenta usar, nos echará de la sesión a nosotros) y que los ordenadores “de confianza” siempre se muestran en el cliente de mensajería.

Aunque esta técnica es bastante complicada de llevar a la práctica, no es la única que se aprovecha de los códigos QR para hackear WhatsApp, y un ejemplo de ello es QRLJacking.

Así funciona QRLJacking, la técnica para hackear WhatsApp utilizando un solo código QR

QRLJacking es un sencillo vector de ataque informático basado, principalmente, en la ingeniería social con el que simplemente debemos engañar a un usuario para que escanee un código QR con la aplicación que deseamos hackear, por ejemplo, WhatsApp, para poder tomar el control de su sesión de forma remota.

Para llevar a cabo este ataque, lo único que necesitamos es acceder al repositorio oficial de QRLJacking y descargar lo necesario para ponerlo en funcionamiento. A continuación, montaremos un servidor web con el fichero “qrHandler.php” encargado de convertir el código de inicio de sesión a base64 y, posteriormente, en una imagen jpg y “phishing.html”, la página que utilizaremos para llevar a cabo el ataque.

Una vez que el servidor está en funcionamiento, necesitaremos un navegador web como Firefox capaz de inyectar el script “WhatsAppQRJackingModule.js” al visitar una web como “https://web.whatsapp.com”. Cuando esta web genera el código QR, el script lo envía al servidor que hayamos configurado en el paso anterior para suplantarlo con el código QR generado por el fichero PHP.

Código QR WhatsApp Falso

Si la víctima cae en este tipo de engaño, el atacante recibe la sesión de WhatsApp en su navegador web. Es decir, en el mismo sitio dónde el plugin de Firefox está inyectando el código JS para capturar el QR Code original de WhatsApp.

Cuando la víctima escanea dicho código (utilizando ingeniería social, por ejemplo, con que nos ha tocado un premio), ya tendremos el control sobre la sesión de WhatsApp de la víctima.

Además de WhatsApp, esta técnica es totalmente funcional con otras muchas aplicaciones y plataformas que basan su inicio de sesión en códigos QR, como AirDroid, Alibaba, Aliexpress, WeChat, Line y Yandex, entre otras.

decir que existe otro vector que el ataque de Man in the Middle en una red de área local. Con este ataque un atacante podría lograr inyectar el QR Code en páginas legítimas, realizando un ataque, quizás, más real. Sea como sea, interesante prueba de concepto que nos ayuda a ver lo fácil que puede ser, en algunas ocasiones, que caigamos ante las múltiples amenazas que tiene Internet. La ingeniería social sigue avanzando y mejorando ante las nuevas tecnologías que van apareciendo, por lo que la concienciación y el buen uso de éstas es algo vital para estar un poco más seguro en la red.

Cómo protegernos del QRLJacking

Como podemos ver, el principal factor de esta técnica de hacking es la ingeniería social, es decir, el engaño. Nadie regala nada a través de Internet, por lo que lo primero que debemos hacer es evitar caer en este tipo de engaños, y mucho menos escaneando código QR de webs o fuentes extrañas, como un banner, con WhatsApp o cualquier otra aplicación.

Además, también debemos evitar iniciar sesión con nuestras cuentas en navegadores y ordenadores que no sean de total confianza, ya que sin la previa instalación e inyección del script JavaScript, esta técnica no podría ser posible.

Por último, en el caso concreto de WhatsApp, nunca está de más revisar los ordenadores que tienen acceso a su aplicación Web, eliminando el permiso a todos de vez en cuando para evitar estos problemas.

————————————————–

Fuente:

redeszone.net

Más información:

http://www.flu-project.com/2017/03/qrljacking-tecnica-con-la-que-los-malos.html

https://github.com/OWASP/QRLJacking/wiki

 

Marzo 13th 2017

Copycat

Número de lecturas: 1280
{lang: 'es-419'}

Cuando estamos realizando un ataque tipo phishing a una determinada web, lo habitual es que clonemos la interfaz de la misma, haciendo creer a la víctima que está en la web real. Normalmente, esta web creada carece de funcionalidad, con lo que es posible que ésta se de cuenta de alguna manera, que algo “raro” está pasando.

Hoy voy a hablaros de una herramienta muy potente, que pretende resolver este problema. Su funcionamiento es sencillo: utilizamos un mapeo de los subdominios a suplantar, de manera que necesitamos que la víctima visite la web con la DNS suplantada. La herramienta realizará el cambio de DNS, y realizará la conexión con la web real, de manera que se mantiene la funcionalidad del sitio original.

Vamos a probar cómo funciona. Necesitamos node.js v6 o superior así que, en este caso, utilizaremos ArchLinux. Primero, instalamos npm, el gestor de paquetes de node.js:

sudo pacman -Syu npm

Clonamos el repositorio:

git clone <a href="https://github.com/compewter/CopyCat" target="_blank">https://github.com/compewter/CopyCat</a>

Ahora, entramos en el directorio e instalamos las dependencias:

npm install

Y listo, falta levantar el servidor. Antes de nada, ajustamos los parámetros en el fichero .env. En este fichero tendremos el mapeo de los subdominios, así como el puerto en el que escuchará el servicio. En el ejemplo, suponiendo que vayamos a suplantar google.com, iría de la siguiente manera:

<a href="http://us-west-1.google.com/" target="_blank">http://us-west-1.google.com</a> -> <a href="http://google.com/" target="_blank">http://google.com</a>
<a href="http://us-west-2.google.com/" target="_blank">http://us-west-2.google.com</a> -> <a href="https://google.com/" target="_blank">https://google.com</a>
<a href="http://us-west-3.google.com/" target="_blank">http://us-west-3.google.com</a> -> <a href="http://www.google.com/" target="_blank">http://www.google.com</a>
<a href="http://us-west-4.google.com/" target="_blank">http://us-west-4.google.com</a> -> <a href="https://www.google.com/" target="_blank">https://www.google.com</a>

Una vez que hayamos editado y mapeado los subdominios a conveniencia, levantamos el servicio con:

sudo node server.js

Vamos a editar nuestro /etc/hosts para realizar la prueba conveniente, añadiendo, por ejemplo:

127.0.0.1 <a href="http://us-west-1.google.com/" target="_blank">us-west-1.google.com</a>
127.0.0.1 <a href="http://us-west-2.google.com/" target="_blank">us-west-2.google.com</a>
127.0.0.1 <a href="http://us-west-3.google.com/" target="_blank">us-west-3.google.com</a>
127.0.0.1 <a href="http://us-west-4.google.com/" target="_blank">us-west-4.google.com</a>

Ahora, abrimos un navegador y nos dirigimos a http://us-west-4.google.com. Podemos ver en el terminal, todos los pasos que estamos haciendo.

 

Es una herramienta con gran potencial y será interesante ver cómo continúa avanzando.

Fuente:

hacking-etico.com

Marzo 10th 2017

Los tipos de “Blue-Hacking”

Número de lecturas: 1440
{lang: 'es-419'}

Bluesnarfing

  • Cómo funciona: Para realizar un ataque Bluesnarfing se puede utilizar un ordenador portátil con una antena conectada que escanea la frecuencia que utiliza el sistema Bluetooh de los teléfonos móviles. El software necesario, que se ejecuta desde el ordenador, se encuentra disponible en Internet, según diferentes fuentes, junto con información para utilizarlo. En este tipo de ataque el phreaker (nombre que reciben los hacker telefónicos) necesita estar a un máximo de unos 15 metros de distancia de su objetivo, dado que ese es el rango mayor de transmisión de los dispositivos Bluetooh. Una distancia que sin embargo puede ser salvada utilizando Bluesniper.
  • Dónde: Un Bluesnarfer que salga simplemente a la caza, sin un objetivo concreto, puede por ejemplo colocarse discretamente en una cafetería, en centros comerciales, o en aeropuertos donde los pasajeros se apresuran usar sus teléfonos móviles en cuanto hacen su salida. También pueden camuflar su ordenador en un maletín y deambular hasta que encuentren teléfonos vulnerables. Sólo se precisan 15 segundos para identificar un móvil que puede ser atacado.
  • Qué se obtiene: Tras localizar un móvil desprotegido, bastan otros 15 segundos para descargar completamente la agenda telefónica de la víctima. Con el Bluesnarfer también se puede obtener el calendario con las citas anotadas, fotos, los e.mails recibidos, textos guardados en el móvil entre los que pueden haber PINS o mensajes confidenciales… y no queda ningún rastro del ataque.
  • Salvando las distancias con Bluesniping: Uno de los argumentos dados por las principales compañías de teléfonos móviles para restar importancia a estos ataques a móviles con Bluetooth es que el phreaker tiene que estar dentro del rango de cobertura de un máximo de 10 a 15 metros de los dispositivos Bluetooth para realizar su ataque y que eso limita su capacidad de acción. Pero algunos hackers se han encargado de demostrar que la distancia no es un problema gracias a un artilugio que han dado en llamar Bluesniper, una especie de rifle de francotirador (de ahí su nombre inglés) que en realidad está equipado con una antena capaz de captar la frecuencia Bluetooh desde larga distancia y así realizar un ataque Bluesnarfing o Bluebugging. Mediante el Bluesniping es posible atacar a un teléfono desde una distancia de hasta unos dos quilómetros, simplemente utilizando un ordenador portátil conectado a una antena con una ganancia de 19dbi. Los bluesnipers afirman que el material necesario para construir el rifle antena se puede encontrar en cualquier tienda de electrónica especializada.

Bluebugging
Al igual que con el Bluesnarfing, en principio el hacker precisa estar dentro del rango de comunicación de 10 a 15 metros en el que se mueven los dispositivos Bluetooth, pero ese radio de acción no constituye un problema para un bluesniper. Y también con un laptop y el software necesario el ataque se puede realizar en tan sólo unos segundos, sin que la víctima tenga conocimiento. Según Trinite.org, organización creada por Martin Herfurt, el bluebug permite a un phreaker un dominio casi absoluto de un móvil ajeno, desde realizar llamadas hasta cambiar a la compañía que provee el servicio y todo ello con graves consecuencias para el usuario atacado.

El Bluebug puede realizar los siguiente y producir estos perjuicios.
Realizar llamadas:
– Daño financiero: el hacker puede, por ejemplo, obligar al teléfono de su víctima a realizar llamadas a líneas de tarifación especial, ya sea por obtener interés económico propio o simplemente por gastar una broma muy pesada; la víctima no se daría cuenta hasta que le llegara la factura telefónica y tuviera que litigar para intentar demostrar que no realizó voluntariamente esas conexiones.
– Espionaje: Otro caso puede ser el que se obligue al teléfono secuestrado a realizar una llamada silenciosa al teléfono del hacker, con lo que éste podría escuchar lo que se dice en una conversación confidencial o en una importante reunión de negocios, hasta que la víctima cuelgue su teléfono tras tal vez pensar que marcó descuidadamente. La víctima podría también darse cuenta cuando recibiera una factura detallada de las llamadas realizadas pero tal vez le pasara desapercibida entre todos los números y, en cualquier caso, el hacker a buen seguro que habría utilizado un teléfono con tarjeta prepagada y desechable.

Enviar mensajes SMS a cualquier número:
– Conocer el número de teléfono: aunque el hacker haya secuestrado un teléfono, puede ser que no conozca el número. Para saberlo le bastará con hacer enviar un mensaje SMS desde el móvil de la víctima a su propio móvil.
– Daño financiero: mediante el bluebugging se puede obligar a enviar SMS como los que sirven para comprar nuevas sintonías o logos; el hacker podría convertirse en el beneficiario del pago de esos mensajes e, incluso, si el móvil atacado puede realizar micropagos podría ordenar transferencias a una cuenta propia.
– Localizar a la víctima: los servicios de localización vía GSM permiten encontrar a una persona mediante un identificador GSM global que incorporan algunos móviles. Pero para ello el usuario debe autorizarlo mediante el envío de un mensaje SMS. El hacker puede hacer que se produzca el envío de ese mensaje y a partir de ello hacer posible la localización en cualquier momento de esa persona.
– Descubrir secretos: la descarga y lectura de los mensajes SMS, enviados con la confianza de tratarse de una comunicación confidencial, puede revelar asuntos privados lo que en sus últimas instancias puede dar lugar a chantajes o cuanto menos a la divulgación de información no deseada.

Intervenir la agenda telefónica:
– Averiguar llamadas entrantes y salientes: las agendas teléfonicas de los móviles GSM también gestionan las listas de llamadas con lo cual su descarga por parte del hacker le permitiría conocer a quién ha llamado su víctima o quién ha llamado o intentado llamarla.
– Cambiar los números: es posible cambiar los números de teléfono asignados a las diferentes entradas, por ejemplo que cuando se ordene llamar a “casa” el número marcado sea el de un restaurante o cualquier otro. Según cómo se cambien los números esto puede llegar a poner en un serio compromiso a la víctima.

Otros:
– Cambiar el número de llamada saliente: si el hacker hace esto, alguien que llame al móvil verá en su identificador un número distinto de la persona con quien está conectando, lo cual cuanto menos puede crear una situación de confusión.
– Conectar a Internet: haciendo bluebugging, se puede establecer una conexión a Internet desde el teléfono de la víctima, lo cual el hacker puede utilizar, por ejemplo, para enviar virus de manera que nadie pueda hallar la auténtica fuente de origen.
– Cambiar la compañía de teléfono: un ataque bluebug puede registrar el teléfono con una compañía diferente de la que la víctima tiene contratado su servicio, con lo cual sus llamadas posteriores serían facturadas por la compañía elegida por el hacker.

Bluejacking
El Bluejacking puede parecer el más inofensivo de los hackings que aprovechan los fallos de seguridad de la tecnología Bluetooth. Más que de un ataque se trataría de una intromisión y sin duda está mucho más extendido que el Bluesnarfing o el Bluebugging hasta el punto de que ha llegado a convertirse en una especie de moda entre numerosos usuarios, que utilizan el Bluejacking para enviar mensajes SMS gratis. Mediante este sistema sólo es posible enviar SMS de manera anónima pero precisamente en ello también encuentran la gracia los bluejackers, que lo conciben como algo parecido a “hablar por hablar” o intentar descubrir quién ha podido enviar el mensaje.

  • Dónde: para hacer un bluejacking se debe estar igualmente en el ámbito de acción de los 10 metros de la tecnología Bluetooth. Un bluejacker preferirá un lugar muy concurrido, como un centro comercial, para que sus mensajes lleguen al mayor número de personas.
  • Cómo: desde un móvil con el Bluetooh activado se debe crear un nuevo contacto en la agenda de direcciones pero en el campo del nombre se introduce el mensaje que se quiere enviar, ya sea texto o multimedia, y entonces el teléfono envía ese mensaje vía SMS a otros terminales con Bluetooth que estén dentro del campo de acción.
  • Diversión o molestia: según foros de bluejackers en Internet, a veces se llegan a crear chats de mensajes en los que participan numerosas personas sin saber quién es quién. Aunque algunos bluejackers han llegado a crear un código ético, esta actuación que en el mejor de los casos puede ser interpretada como algo interesante en lo que participar, para otras personas puede resultar una broma divertida o pesada, una molesta situación o incluso una intromisión en la privacidad.

Fuente:

tonicarpio.com

Marzo 8th 2017

10 razones por las que los cibercriminales atacan a los smartphones

Número de lecturas: 875
{lang: 'es-419'}

No hay duda de que los smartphones se han convertido en una parte esencial de la vida, ya que nos permiten realizar todo tipo de tareas que hacen más fácil y agradable nuestras actividades cotidianas.

Pero aunque su objetivo sea mejorar la conveniencia de los usuarios, es evidente que los smartphones se están convirtiendo en un blanco cada vez más popular entre los ciberdelincuentes.

¿Por qué están tan interesados en obtener acceso a nuestros dispositivos?

1. El smartphone sabe todo sobre nosotros

La cantidad de información almacenada en un smartphone se ha incrementado drásticamente en los últimos años.

La conectividad de las aplicaciones móviles implica que debemos suministrar gran parte de nuestros datos personales, ya sea la información de una cuenta bancaria o cuál es nuestra pizza favorita. Para un ciberdelincuente que se dedica al robo de identidad, un smartphone es una mina de oro.

2. Es una puerta de entrada a empresas y otras organizaciones

La práctica de llevar el dispositivo propio al trabajo (BYOD, en inglés) se ha convertido en una de las tendencias más destacadas para las empresas de todo el mundo.

Una investigación publicada en 2015 reveló que el 74% de las empresas para ese entonces ya habían adoptado o tenían planificado adoptar políticas BYOD, y se estipula que este mercado excederá los USD 350 mil millones para el año 2022. Para los ciberdelincuentes, estos dispositivos son la puerta de entrada ideal para robar información corporativa valiosa.

3. Su seguridad puede ser laxa

cybersecurity

El aumento de prácticas BYOD también causó muchos dolores de cabeza para un gran número de compañías en diversas industrias, principalmente debido a las dificultades para desplegar un enfoque unificado de seguridad.

En una encuesta reciente de Tech Pro Research para directores de informática, administradores de tecnología y empelados de TI, el 45% de los encuestados respondieron que los dispositivos móviles representaban el mayor riesgo para la infraestructura de una empresa, donde la razón principal es la naturaleza fragmentada de algunas plataformas móviles.

4. Cada vez se usa más la opción Autocompletar

Una de las razones por las que los teléfonos almacenan tanta información personal es principalmente nuestro deseo de mejorar la conveniencia. Como manejan una gran cantidad de servicios desde sus apps, la cantidad de inicios de sesión distintos ahora es más grande que nunca.

Por lo tanto, el usuario suele buscar la comodidad usando los diversos sistemas disponibles de Autocompletar, que constituyen un riesgo de seguridad en sí mismos. Si se toma esa decisión porque recordar múltiples contraseñas se vuelve un problema, hay una forma de resolverlo sin recurrir al Autocompletar: instala un gestor de contraseñas para almacenarlas todas allí sin tener que memorizarlas.

5. Es una forma de acceder a tu billetera

Los teléfonos pueden utilizarse para transferir dinero, pagar facturas, e incluso como método de pago. Google Wallet, Apple Pay y Samsung Pay son los principales sistemas de pagos móviles, y algunos expertos opinan que esta tendencia continuará durante los próximos años.

Por supuesto, el único inconveniente es que atraigan la atención de los ciberdelincuentes.

6. Los teléfonos saben dónde estás y dónde trabajas

En muchas circunstancias, los motivos por los que se rastrea un dispositivo son totalmente inocentes, como ayudarte a sacar el máximo provecho de tus datos y apps. Por ejemplo, si estás fuera de casa, puedes consultar recomendaciones de restaurantes o negocios cercanos simplemente pasando el dedo un par de veces sobre la pantalla.

Sin embargo, aprovecharse con fines maliciosos de las funcionalidades GPS de un dispositivo no es una tarea tan difícil; por ejemplo, muchos jugadores utilizan este método para hacer trampa en el popular juego de realidad aumentada Pokémon GO. Pero en manos de criminales, un GPS infectado podría ser sumamente peligroso.

7. Bluetooth

Desde hace varios años, el Bluetooth se incluye como una funcionalidad habitual en los smartphones y otros dispositivos móviles. Sin embargo, al igual que el GPS, es un punto de entrada potencial para los ciberdelincuentes.

Los ataques a través del Bluetooth pueden dar lugar al Bluesnarfing (que permite acceder a la información privada del teléfono y extraerla o modificarla) o al Bluebugging (que directamente le puede permitir al criminal tomar el control total del teléfono).

Pero aunque existe un riesgo, estos métodos se están volviendo cada vez más difíciles de aprovechar para los atacantes.

8. Algunas estafas se crearon específicamente para los móviles

Existen muchas tácticas conocidas mediante las cuales los ciberdelincuentes pueden utilizar tu smartphone para conseguir dinero rápidamente. En países como China, por ejemplo, se puede usar malware para acceder a dispositivos y hacer que llamen a números Premium con tarifas extremadamente altas.

Además de ser potencialmente lucrativas, estas estafas también son capaces de extenderse a través de un gran número de dispositivos. Sin ir más lejos, en Latinoamérica vemos varios casos al mes de engaños que se propagan entre usuarios de WhatsApp y otras aplicaciones móviles.

9. Son una excelente manera de enviar spam

Todo el mundo odia el spam. Bueno… salvo los cibercriminales, claro.

Aunque son varias las razones por las que querrían enviar spam, para la mayoría de ellos los smartphones son la plataforma ideal para hacerlo. Esto se debe principalmente a que es mucho más difícil para los proveedores de servicios rastrear y bloquear a los infractores.

10. Los usuarios ignoran los peligros

Muchos de los usuarios más experimentados en tecnología ya están bastante familiarizados con las mejores prácticas cuando usan equipos portátiles o de escritorio, pero los smartphones suelen escaparse de la lista de prioridades.

Es una realidad sorprendente, dado que han sido objetivos de ataque ya desde el año 2004. Hoy en día, no solo los tipos de malware “tradicional” atentan contra usuarios móviles, sino que también hay familias de ransomware diseñadas para sus equipos, y están en continua evolución.

Sin embargo, como ahora la amenaza es más visible que nunca, poco a poco estamos empezando a entender que la seguridad sí importa. Démosle la importancia que merece.

Fuente:

welivesecurity.com