lunes, mayo 23, 2022

El "leak" del Login en tu Banca Online con tu D.N.I. (NIF) o con tu C.I.F.

Ya he hablado muchas veces de lo que llamamos El "leak" del login, o lo que es lo mismo, cómo saber que una persona tiene una cuenta en un servicio a base de aprovechar los intentos de intentar hacer las tres acciones que se pueden hacer con datos públicos de una persona, es decir, Iniciar Sesión, Crear una cuenta o Recuperar una contraseña, y analizar los mensajes de error.

Figura 1: El "leak" del Login en tu Banca Online con tu D.N.I. (NIF) o con tu C.I.F.

Para iniciar sesión en un servicio, para recuperar la contraseña, y para crear una cuenta, nos van a solicitar datos que normalmente son públicos, como son la dirección de correo electrónico, el usuario, o el número de teléfono. Datos, que en una tarjeta de visita pueden aparecer con mucha facilidad. Con estos datos se puede intentar iniciar sesión en un servicio, se puede intentar recuperar una contraseña, o se puede intentar crear una cuenta. 

Figura 2: Se informa al que introduce el e-mail de si la cuenta existe o no

Si el sitio web en el que estamos probando, tanto al intentar iniciar sesión, al recuperar una contraseña o al intentar crear una cuenta, da un mensaje distinto cuando la dirección de correo electrónico o el número de teléfono existe previamente en el servicio, que cuando no existe, entonces podremos saber con facilidad si esa persona tiene una cuenta en esa plataforma, lo que es un leak de privacidad, como hemos visto en ejemplos varios:
Con todos estos "leaks", es posible capturar el correo electrónico y/o el número de teléfono de una tarjeta de visita y sacar un mapa de los servicios en los que una persona tiene una cuenta, lo que da mucha información de su vida en la red. Con esta premisa, creamos el servicio de Dirty Business Card en nuestro equipo de Ideas Locas.


Figura 3: Demo de Dirty Business Card

Sin embargo, una de las cosas que también se puede extraer información de las entidades bancarias en las que una persona tiene cuenta, no solo por el número de teléfono (como vimos en el caso de Bizum) o la dirección de correo electrónico, lo que facilitaría los ataques de phishing bancario, enviando el correo de phishing del banco correcto a la persona correcta, sino que también se puede hacer por el número de DNI de una persona.

En algunos bancos, para saber si tienes cuenta o no con ellos, y poder activarte la Banca Online, te solicitan el número de DNI, y si tienen el "leak del login", entonces darán un mensaje diferente cuando ese DNI esté en sus sistemas a cuando no esté en sus sistemas, como en este ejemplo que podéis ver aquí, que para poder ver si tienes cuenta se solicita primero el número de DNI.

Figura 5: Activar el acceso a la Banca Online en un banco

Después, si la cuenta no existe, da un mensaje de error en el que invita a hacerse cliente de la entidad bancaria en concreto, como podéis ver en la imagen siguiente.

Figura 6: Ese DNI o tiene Banca Online

Mientras que si tienes una cuenta bancaria asociada a ese número de DNI (o CIF o NIF dependiendo del número que soliciten), entonces saldrá un proceso distinto para comenzar la recuperación de la contraseña.

Figura 7: Ese DNI tiene Banca Online en este Banco -> Leak

Por desgracia, en nuestro país, localizar el número de DNI, teniendo los dos apellidos y el nombre de una persona, no es demasiado complejo encontrar su número de DNI, ya que en el Boletín Oficial del Estado, en entidades públicas, listados de oposiciones, listados de notas, etcétera, se han publicado y se publican por transparencia, lo que no siempre es lo mejor por privacidad y seguridad.

Figura 8: Un poco de Hacking con Buscadores en Google o Bing y con
Nombre y Apellidos de una tarjeta de visita no es difícil dar con el DNI.


Figura 9: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Así que, si encuentras un "leak del login" en una entidad bancaria, lo suyo es que se lo reportes para que hagan menos "Verbose" el proceso y no sea fácil conocer si una persona ( o una organización ) tiene cuenta en esa entidad o no, ya que se lo ponemos más fácil a los malos, que con mucha información, y un poco de ingeniería social son capaces de hacer estragos en las personas menos informadas, como la banda que desarticuló la Policía. Y nos ayuda a todos a estar más protegidos contra los peligros en Internet.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


domingo, mayo 22, 2022

¿Cuánto acierta tu dirección IP dónde vives o dónde estás? #GPS #Privacidad #GeoIP

En los últimos artículos de "Cómo saber dónde está un contacto de WhatsApp con los Estados" y "Cómo saber dónde vive un contacto de WhatsApp" compartiendo una canción, hablamos de utilizar la dirección IP como forma de localizar una ubicación GPS. Pero, la pregunta, es... ¿mi dirección IP da una ubicación GPS real o no? Pues bien, descúbrelo tú mismo.

Figura 1: ¿Cuánto acierta tu dirección IP dónde vives o dónde estás?

En primer lugar, averiguar tu dirección IP es tan fácil como preguntarle a Google "What is my IP" y te dice rápidamente desde qué dirección IP estás navegando en Internet. Fácil y rápido. 

Figura 2: ¿Saber la dirección IP? Pregúntale a Google

En segundo lugar, comprueba varias bases de datos de GeoIP que, no son todas igual de ajustadas. Hay que tener en cuenta que estas bases de datos se basan en un trabajo de actualización constante de la información de dónde se encuentran las direcciones IP y estas cambian constantemente, así que depende del trabajo que haya detrás de ellas, tendrán más o menos actualizada la información.

También, estas bases de datos se alimentan de información de actualización que dan los usuarios, así que cuanta más comunidad tiene detrás, más ajustada y acertada es la información. En dos pruebas hechas yo en diferentes bases de datos, el resultado ha sido totalmente distinto. 

Figura 4: Ejemplo de IP en una base de GeoIP

MaxMind ha acertado con la ciudad en la que estoy, con mi Código Postal,  y se ha quedado bastante cerca cumpliendo su radio de "accuracy" de 10 Km en mi caso (a bastante menos se ha quedado), y otra ha dado como resultado una ciudad cercana, lo que quiere decir que una de las dos tiene información sin actualizar.


Cambia el resultado un poco.

Estas bases de datos dan, por último, información de GPS, que puedes utilizar para buscar la coordenada en Google y saber cuánto de cerca de dónde estas es esa información GPS. Ten en cuenta que ese es el lugar en le que puede estar el concentrador de comunicación por el que estás saliendo.

Figura 6: En Google Maps pones las coordenadas GPS y te busca la
ubicación y las fotos de Street View. ¿Es tu zona?

¿No ha acertado? No pasa nada, eso quiere decir que esa base de datos no es lo suficientemente fina con los datos, pero puede existir otra que sí que lo sea o que acierte más adelante. ¿Ha quedado cerca? Pues ya sabes, cuando navegas desde esa dirección IP das información que puede indicar dónde estas.

Figura 7: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Y si es un enlace que te envía alguien por un chat de WhatsApp o de Telegram pues... ya sabes, es un riesgo más que debes evitar, que puede ser peligroso si quieres salvaguardar tu privacidad cuando estás conectado a Internet.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


Entrada destacada

Libros x Tempos: Cómo obtener Tempos gratis todos los días en MyPublicInbox para conseguir los libros de @0xWord firmados y dedicados

Desde hace tiempo pusimos a disposición de todos los usuarios de MyPublicInbox la posibilidad de comprar libros de 0xWord con Tempos . Es ...

Entradas populares