viernes, junio 12, 2015

Gmail & Hotmail: Cómo saber si ahora mismo te están espiando

Hace algo de tiempo os hablé de cómo había visto unas campañas de robo de cuentas de Gmail y Hotmail por medio de tokens de acceso OAuth a la cuenta. Ahora, unas semanas después me he topado con el caso de una persona a la que habían conseguido engañar para robarle los tokens. Ese acceso además, lo utilizaron para leer durante mucho tiempo su correo electrónico y preparar un ataque a su vida personal y robarle dinero del banco. El esquema que usaron los cibercriminales fue el mismo que os conté el año pasado en el artículo "Dos casos reales de robo de dinero", en concreto el caso de la transferencia bancaria desde el correo electrónico.

Figura 1: Gmail & Hotmail: Cómo saber si ahora mismo te están espiando

Todo lo que se había utilizado en el esquema era información que estaba en los mensajes de correos electrónicos Enviados y Recibidos. Datos de cuentas, documentos, información personal para demostrar conocimiento y familiaridad con la persona del banco e incluso secciones de texto copiadas de correos electrónicos para repetir mismos términos y formalismos. Cuando tuve que analizar este caso, y viendo que la cuenta en un Hotmail, rápidamente pensé en el truco de los tokens OAuth de acceso al buzón, y ahí estaba la app fraudulenta que había conseguido acceso al buzón.

Figura 2: Una cuenta monitorizada durante meses por una app fraudulenta

Como podéis ver, la cuenta estaba monitorizada desde el mes de Abril, pero habían estado esperando el mejor momento para poder trazar el plan de ataque, que se llevó a principios de Junio. Se tomaron todo el tiempo del mundo porque prácticamente nadie vigila los tokens OAuth que ha concedido. Por supuesto, el truco se completa simulando que es una conexión con una cuenta Google, algo que la víctima no tiene.

Puntos de revisión de tu cuenta de Hotmail y Gmail

Visto esto, os quiero dejar unas recomendaciones de seguridad que os recomiendo que hagáis ahora mismo en Gmail y Hotmail para descubrir si os están espiando el correo electrónico ahora mismo. Si es así, tomad las medidas de protección que os dejo después:
Revisión de Tokens OAuth: Como ya os expliqué en el otro artículo, debéis ir a las siguientes URLs y quitar acceso a todas las apps a las que hayáis concedido un token de acceso a vuestro buzón y no lo sepáis.
Figura 3: Apps conectadas a tu cuenta de Google
- Apps conectadas a tu cuenta de Hotmail
- Apps conectadas a tu cuenta de Gmail
Revisar cuentas a las que se reenvía el correo: A veces cuando se tiene acceso a tu cuenta, alguien deja una cuenta de reenvío para seguir viendo tus mensajes de correos electrónicos aunque le quiten acceso: 
Figura 4: Opciones de reenvío de correo electrónico en Hotamil
- Cuentas a las que se envía tu correo de Hotmail
- Cuentas a las que se envía tu correo de Gmail
Poner un sistema de verificación en dos pasos: Tanto en Hotmail como en Gmail es imposible utilizar Latch - salvo como un hack para Gmail - pero sí que es posible en ambos utilizar Google Authenticator, así que tanto si tenías a alguien leyendo tu correo electrónico con alguno de los dos trucos anteriores como si no, puede que alguien te haya robado tu contraseña y esté entrando a tu buzón, así que:
Figura 5: Google Authenticator para entrar en Gmail
- Cambia la password ahora mismo
- Configurar Verificación en dos pasos en Hotmail
- Configurar Verificación en dos pasos en Gmail
Es una pena cuando alguien tiene acceso a tu correo electrónico, ya que una vez que se han llevado todos tus datos se los han llevado para siempre y deberás pasar mucho tiempo cambiando la información que puedas, avisando a personas con las que trabajas y estando vigilante a lo que pueda pasar con tu vida digital en el futuro. Si esto te sucede, mira la posiblidad de contratar un seguro contra el robo de identidad.

Saludos Malignos!

8 comentarios:

Anónimo dijo...

Una pregunta tonta, o quizás no tanto:
¿No se puede configurar el hotmail para usar el 2FA de Google? Porque parece que te obligan a instalar la app de Microsoft, y lo ideal sería tenerlo todo en la misma app.

Gracias por tus consejos de seguridad e historias que nos cuentas.

Anónimo dijo...

No recuerdo como pero yo lo activé. Sí que se puede, o al menos se podía.

Anónimo dijo...

Hola. En la segunda imagen, la aplicación Mail.google.com del ejemplo, ¿sería fraudulenta? ¿o es un ejemplo de aplicación que se conecta al correo?

Anónimo dijo...

Hola. En la segunda imagen, la aplicación Mail.google.com del ejemplo, ¿sería fraudulenta? ¿o es un ejemplo de aplicación que se conecta al correo?

reparacion de electrodomesticos en madrid dijo...

No entiendo por que se asustan, si google y los trabajadores de google tienen acceso a todo... y cuando digo a todo digo todo....

Anónimo dijo...

Entiendo que para este caso da lo mismo tener 2FA con OTP o con biometría.
La aplicación "pirata" no te está robando el token, sino que a través de OAuth pide un token a Google y Google previo permiso del usuario, lo genera.

Para protegerse, los usuarios tienen que responder que no cuando les pregunten "La aplicación XXXX quiere tener acceso a su correo". Otro tema es que via phising te puedan intentar engañar para que le des permiso.

Se puede incorporar algo como Latch para la parte de autorización (2FAuthZ) . En OAuth, cuando la aplicación cliente tiene un token, éste no suele caducar tras pasar mucho tiempo o salvo que el usuario lo revoque. Usando el pestilito en el móvil, el usuario de una forma cómoda, puede tener el control de cuándo se accede a su información.

Anónimo dijo...

El problema de la verificacion en dos pasos es cuando dos personas distintas usan la misma cuenta de gmail desde distintas ubicaciones, solo uno recibe el sms o llamada de voz y el otro no puede acceder.

Anónimo dijo...

En el caso de Google y otros usan TOTP. Usando el mismo secreto como semilla, se puede tener el código del segundo factor desde múltiples ubicaciones simultáneamente.

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares