miércoles, enero 08, 2014

Un Redirect en Facebook para hacer Phishing a Facebook

A través de Twitter pude ver un mensaje de Jonathan Funes (@xfunex) que aludía a un No-Bug de Facebook. Es decir, a algo que él consideraba un bug pero que tras haber contactado con el equipo de seguridad de la red social por excelencia, le habían dicho que eso no era un bug, algo similar a lo que le pasó a otro investigador de seguridad con una "característica" que le permitió cambiar un estado del propio Mark Zuckerberg.

Como me interesaba el tema le pedí más información, y me pasó una pequeña explicación en vídeo que os paso describir. En este caso se trata de algo bastante sencillo de reproducir, así que puedes probarlo tú mismo con tu cuenta de Facebook. La idea es aprovechar un Open-Redirect de Facebook para hacer un ataque de Phishing bastante convincente a la propia Facebook.

Paso 1: Créate una mensaje privado que solo puedas ver tú con un enlace a cualquier web que quieras usando el enlace al link de redirección que puedes ver en la imagen. Lo único que necesitas es poner la dirección al final de la URL. En este caso, cuando alguien haga clic en ese enlace irá a la página de Google.com

Figura 1: Creando un estado que publique el link de redirección a Google.
El dominio del enlace de publicación aparece como www.facebook.com
 

Como se puede ver, automáticamente aparece que el dominio al que apunta ese enlace es a www.facebook.com, pero realmente es un hiperenlace que lleva a Google.com sin mostrar ningún mensaje de alerta.

Paso 2: Edita el título de la web para poner algo significativo, en este caso yo no me he complicado y he puesto que es un enlace de www.facebook.com, para que coincida con el dominio de publicación del enlace que Facebook creó antes.

Figura 2: Cambiando el título del enlace publicado

Paso 3: Borra el enlace original y pon textos sugerentes que inciten a los que lo vean a pulsar sobre él. Aquí llega la parte de ingeniería social necesaria para conseguir el call-to-action de las personas que lo vean.

Figura 3: Poniendo textos sugerentes en la publicación del phishing

Paso 4: Publica el estado. Como se puede ver, queda bastante aparente y parece que es un enlace a una web de Facebook.

Figura 4: El enlace publicado parece una página de Facebook

Paso 5: Sin embargo, como se puede ver en el enlace, el hipervínculo es a Google.com y navegará a esa dirección sin mostrar ninguna alerta.

Figura 5: El enlace llevará a Google.com sin dar ninguna alerta

En este ejemplo yo he utilizado un destino que llama mucho la atención, como es Google.com, pero si alguien quisiera hacer un ataque dirigido a uno de sus seguidores podría elegir un dominio en el que se simulara la página de Facebook y pidiera el usuario y la contraseña de Facebook para robársela.

En el vídeo de la demostración, Jonathan Funes usa un BeeF para infectar con un JavaScript malicioso la sesión del usuario - algo similar a lo que hicimos con la JavaScript Botnet -, pero lo más recomendable sería utilizar SET con Metasploit para conseguir un efecto de Phishing perfecto que pudiera ponerse en cualquier dominio o subdominio que pueda engañar a la víctima.

Figura 6: Explotación del Open-Redirection en Facebook

Ten cuidado con estas cosas, porque parece que de momento Facebook no piensa corregir o añadir alguna protección extra a esta característica de compartición de enlaces y uso del Open-Redirect que tienen implementado, así que atento para no caer en esquemas de phishing porque te hayas fiado en el dominio de publicación del enlace.

Saludos Malignos!

11 comentarios:

  1. No entiendo porque las grandes compañías se empeñan en negar estas cosas. Sera para no pagar la recompensa?

    ResponderEliminar
  2. He estado jugando un poco con este tema y he visto que desde las versiones web de Facebook (tanto la versión web móvil como la versión completa de escritorio) sí que se realiza la redirección sin problema, siempre y cuando el usuario esté logueado. En caso contrario, si se copia la URL con el redirect en la barra de direcciones del navegador, sí notifica que es posible que el enlace sea malicioso.

    Asimismo, un compañero me ha avisado que desde la aplicación nativa de Android también se avisa al usuario de posibles enlaces maliciosos (entiendo que desde otras apps nativas también ocurrirá esto pero no lo he probado).

    Para no ser un problema para Facebook, resulta curioso que en algunos casos sí traten este problema y en otros, sin embargo, pasen de todo.

    ¡Saludos!

    ResponderEliminar
  3. Este domingo he reportado uno parecido, estoy esperando a ver que dicen, cambiando un parámetro ya deja de avisar de que se está saliendo de Facebook.
    A ver que me dicen.

    Un saludo.

    ResponderEliminar
  4. con esta parte:l/4AQC6gcT_/
    se hace la redireccion?

    ResponderEliminar
  5. he estado realizando pruebas con este ejemplo y cuando intento ingresar a la URL correpondiente me da una alerta y me dice que "Este enlace podría ser malicioso. Accede a él con cuidado. Más información sobre cómo mantener la seguridad de tu cuenta.

    El enlace que estás visitando: http://google.com/" no se si ya se aplico algun correctivo

    ResponderEliminar
  6. Reporté ese bug el 30 de diciembre del 2012 y Facebook pasó por completo del report, aquí está el artículo del 4 de feb que publiqué en mi blog: http://alonso-vidales.blogspot.com.es/2013/02/spoofed-links-on-facebook.html

    ResponderEliminar
  7. Interesante el Articulo, Chema te recomendaria leer este articulo de maztor http://www.maztor.com/2013/11/facebook-url-redirection-vulnerability.html

    y este de blackploit http://www.blackploit.com/2014/01/vulnerabilidad-url-redirection-en.html

    Es una redireccion por URL explicita que AUN ESTA ACTIVA.

    ResponderEliminar
  8. yo lo acabo de probar y funciona, la primera vez ! luego ya no me sale el dominio de "www.facebook.com" al repetirlo un par de veces muestra directamente el dominio del enlace que se quiere "ocultar"


    Alguien sabe porque pasa eso ?

    ResponderEliminar
  9. ya no sirve, actualmente ya te muestra el enlace final al que se llegará

    ResponderEliminar