miércoles, agosto 05, 2015

Cómo “cotillear” la seguridad de las cuentas de Google, Facebook y Apple de tus contactos

Suelo decir en las entrevistas que las empresas suelen adolecer de medidas de protección básicas, mientras que invierten en tecnologías super-fashion para luchar contra los APTs. Entre las tecnologías básicas que adolecen - como ya he dicho muchas veces - se encuentran los segundos factores de autenticación en los sistemas internos de la organización, algo que aprovechan, y muy bien, los ataques basados en Spear Phishing que en tantas ocasiones - RSA Conference, Celebgate, etcétera - nos hemos encontrado.

Figura 1: Cómo "cotillear" la seguridad de las cuentas de Google, Facebook y Apple de tus contactos

Esto que tenéis aquí es un mensaje de Spear Phishing enviado a un administrador de un Grupo de Facebook para robarle el control del mismo. Como veis le ponen un gancho de interés, aunque se ve que el tipo que lo envía está ansioso porque pique, ya que con leer la última parte del mensaje se sabe que es un Phishing.

Figura 2: Ataque de Spear Phishing por mensaje de Facebook para robar la cuenta

Por supuesto, lleva a una web montada para hacer Phishing a la web de login de Facebook, que si la víctima tiene la mala suerte de verla en una WebView - incluso de la app de Facebook -, no podrá ver el dominio y picará. Al final, este ataque tuvo éxito y le robaron el grupo, por lo que está ahora en demandas policiales y reclamaciones a Facebook.

Figura 3: Página de Phishing a web de login de Facebook en Español

En mi preocupación, desde hace tiempo vengo hablando en muchas reuniones de lo importante que es la vida digital personal de los  directivos y los empleados de las empresas para la seguridad de las organizaciones, no solo para sacar información como se contaba en el artículo de WhatsApp como fuente de información OSINT, sino para atacar directamente a la compañía. Y es que, como ya he dicho en muchas ocasiones, es más fácil comprometer la vida digital personal de uno de los empleados adecuados de una organización para poder chantajearle y lograr que haga cosas desde dentro a gusto del atacante.

Si gestionas la seguridad de una organización en y no te preocupa que un directivo sea víctima de un Celebgate y le extorsionen, de forma similar a como extorsionan a los que caen víctimas del sexting pero para sacar información o realizar acciones para el enemigo, entonces no sigas leyendo.  En mi caso personal, es algo que me preocupa, y por eso suelo hacer una cosa muy sencilla cuando alguien del que me preocupa su seguridad me escribe un mensaje desde una de sus cuentas personales: Comprobar si tiene un segundo factor de autenticación.

Esta misma prueba, pensada desde el punto de vista de un atacante es extremadamente útil ya que, en un esquema de ataque a la vida digital personal de un directivo de una empresa. siempre va a ser más fácil vulnerar a aquel que tenga menos protecciones de seguridad en sus cuentas. Y no solo eso, si al final es necesario robar las cuentas de un directivo del que se sabe que tiene un Segundo Factor de Autenticación con un esquema de Spear Phising, entonces se puede preparar correctamente el servidor de Phishing para que no solo le robe el usuario y la password, sino que además se le engañe para que introduzca el código de verificación.

Detectar Segundo Factor de Autenticación en cuenta Google

En las cuentas Google lo suyo, como ya os he dicho muchas veces, lo recomendable es poner Google Authenticator. Cuando se tiene configurado esta opción y alguien te roba la contraseña, el sistema no es que sea lo más a mi gusto posible - ya que no avisa del robo de la contraseña cuando se usar -, pero sí que evita que nadie pueda entrar en tu cuenta sin poner el TOTP que sale por Google Authenticator.  

Figura 4: Google Authenticator para la cuenta Google

Para saber si una cuenta tiene configurado un segundo factor de autenticación en Google, simplemente hay que utilizar las opciones de "Olvidé mi contraseña", poner la cuenta de correo electrónico y decir que no te acuerdas de ninguna contraseña. Si la cuenta tiene configurado el Segundo Factor de Autenticación saldrá un mensaje como éste, informándote de que al tener esta medida de seguridad las cosas van a ser un poco más complicadas para recuperar la cuenta, como es lo suyo.

Figura 5: Mensaje cuando una cuenta tiene Google Authenticator asociado

Si la persona no tiene activado en su cuenta Google la Verificación en 2 Pasos, saldrá un mensaje distinto en el que dependiendo de la información que tenga Google de esa cuenta mostrará unos u otros mensajes con información de recuperación. En este caso, está el teléfono asociado y salen los dos últimos dígitos del teléfono móvil, por lo que sabemos que esta cuenta no tiene Google Autheticator.

Figura 6: Cuenta de Google sin Google Authenticator

Esto es importante, ya que una persona que no tiene en Google configurada esta protección, está utilizando su contraseña maestra en todas las aplicaciones y en todos los dispositivos en los que se conecta a los servicios de Google, mientras que si está configurada esta protección se puede hacer uso de las Application Passwords para evitar que si te roban una contraseña te roben la cuenta completa.

Figura 7: Contraseñas de Aplicación para no usar la contraseña maestra de la cuenta Google

Detectar Segundo Factor de Autenticación en cuenta Apple

En el caso de Apple la cosa es más o menos similar. Los usuarios puedes configurar la Verificación en 2 Pasos de Apple utilizando mensajes a los dispositivos o códigos por SMS a los números de teléfono.  Estas protecciones se desplegaron hace tiempo, y después del Celebgate donde incluso los usuarios con Verificación en 2 Pasos vieron como su backup de iCloud se podía vulnerar sin pasar por este proceso, Apple desplegó las Application Passwords en casi todos sus servicios, incluidos todos los de iCloud y algunos tan populares como iMessage o FaceTime.


Figura 8: Demo de robo de datos del backup iCloud con Spear Phishing a Apple ID

Si una cuenta tiene un sistema de Verificación en 2 Pasos en su cuenta de AppleID, entonces cuando se de a recuperar la contraseña el mensaje que se solicitará será el del código de recuperación de AppleID que te entrega al final del proceso.

Figura 9: Esta cuenta tiene configurada Verificación en 2 Pasos

Si por el contrario, la cuenta no tiene configurada la Verificación en 2 Pasos, entonces se dará acceso a un proceso en el que entran en juego las famosas preguntas de Apple que son bastante fáciles de saltar en muchos ocasiones.

Figura 10: Cuenta SIN Verificación en 2 Pasos, se puede recuperar con preguntas de seguridad 

En el caso de Apple es aún más importante - en mi opinión - activar el sistema de Verificación en 2 Pasos para evitar que, si te roban la contraseña, alguien te pueda bloquear el dispositivo remotamente con los servicios de iCloud o leer tu backup en tiempo real desde la nube mientras tu haces tu vida cotidiana.

Detectar Segundo Factor de Autenticación en Facebook

La cosa en Facebook va por el estilo. Si el usuario ha fortificado su cuenta de Facebook añadiendo los Códigos de Verificación de Segundo Factor y tiene guardados los dispositivos y navegadores de confianza, cuando se llega a la opción de recuperación de contraseña Facebook puede negarse a darte más opciones de recuperación que el teléfono y el correo electrónico asociado.

Figura 11: No se puede recuperar la cuenta sin acceso a las cuentas asociadas

Por el contrario, si la cuenta de Facebook no está protegida correctamente, entonces será un proceso de tres partes. La primera poner un nuevo correo electrónico de contacto, la segunda responder a una pregunta que a veces es bastante sencilla.

Figura 12: Cuenta SIN fortificación en Facebook

Y la última, configurar  una nueva contraseña, tal y como se puede ver en este ejemplo que le hice a alguien a quién saqué la respuesta con un poco de ingeniería social - bastante poco por cierto - ya que la pregunta era bastante sencilla de responder incluso buscando en Google.

Figura 13: Cambio de contraseña en cuenta de Facebook por responder bien a la pregunta de seguridad

Dicho esto, hace ya tiempo que os dejé un artículo sobre cómo proteger las identidades digitales de vuestra empresa y os alerte de los riesgos de no tener cuidado de las cuentas internas y privilegiadas de la empresa, para lo que podéis desplegar soluciones tipo Latch. En este artículo se puede comprobar de que forma tan sencilla  cualquiera puede ver si vosotros tenéis un Segundo Factor de Autenticación en vuestras identidades digitales personales, así que más vale que lo pongas, que nunca sabes quién te puede estar preparando un ataque.

Saludos Malignos!

2 comentarios:

Agu dijo...

La seguridad informática es tomada a risa justamente porque no hay casos masivos de robo de cuentas o de intrusión o si se llevan a cabo se copian las pass en paginas que pocas personas acceden.

Hoy día, considerando que llevamos toda nuestra intimidad en la palma de la mano, debería ser un trabajo en auge y bien pagado dada la vertiginosa actualizacion de conocimientos y agujeros que hay que tapar.

Anónimo dijo...

Una observación: adolecer y carecer suelen confundirse pero no son lo mismo. Si puedes sustituir la palabra "adolecer" por "sufrir" o similar, sin alterar el sentido de la frase, estás usándola de forma correcta.

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares