miércoles, agosto 19, 2015

Facebook y la privacidad por defecto: (1) El e-mail

Mucho se ha hablado ya de las opciones de privacidad de Facebook. De hecho, la propia empresa decidió crear un asistente que guiara a los usuarios a través de las opciones de privacidad que dispone en su perfil para que les fuera más fácil limitar algunas de estas características. En este artículo de varias partes pretendo hablar justo de lo contrario, es decir, de cómo es posible utilizar algunas de las características por defecto que tiene la plataforma Facebook y que pueden ayudar a realizar un ataque, o a capturar datos que puedan ser utilizados en el futuro de manera maliciosa. Es decir, vamos a ver las opciones de privacidad que tiene Facebook por defecto para ver cómo se puede abusar de ellas.

Figura 1: Facebook y las opciones de privacidad por defecto: El e-mail

Con esta información, un atacante podría realizar ataques de ingeniería social, lanzar ataques de Spear Phishing, intentan robar la cuenta con las opciones de recuperación de contraseña o sacar datos que le ayuden a robar otras cuentas. Todo esto no son bugs, sino características que pueden ser utilizadas en contra del usuario y que tal vez deberían venir configuradas de otra forma por defecto.

1.- El correo electrónico en Facebook

Tiempo atrás, Facebook permitía que los usuarios mostraran en la información de sus perfiles la cuenta de correo con la que se habían registrado en Facebook, hoy en día los usuarios pueden elegir ocultar esta información en su perfil. Para un atacante, conocer la cuenta de correo de un usuario le facilita muchísimo las cosas puesto que son en la mayoría de las ocasiones lo imprescindible para comenzar un ataque de Spear Phishing.

Tengo un correo electrónico, ¿a qué cuenta pertenece?

Saber cuál es la cuenta que usa en Facebook un determinado usuario no debería ser muy complicado para un atacante, basta con localizar todas las cuentas de correo posibles que tenga esa persona. Sin embargo, puede que la persona en cuestión haya decidido cambiar la cuenta por defecto y poner una que no conozca nadie, lo que sería una buena forma de protegerse y por lo tanto no será tan trivial localizarla, como veremos un poco más adelante.

Figura 2: Cuenta de correo no asociada a ninguna cuenta de Facebook

Si las cuentas de correo que conocemos de una determinada persona están relacionadas o no con una cuenta de Facebook lo podremos ver nada más intentar hacer login con ella. Si la cuenta no está asociada a ningún perfil obtendremos un mensaje de error, mientras que si la cuenta está asociada con un perfil obtendremos el nombre de la cuenta y su fotografía.

Figura 3: Cuenta de correo asociada a un perfil de Facebook

Facebook muestra información para ayudar a los usuarios a no confundirse y poner la contraseña 25 veces cuando realmente han cometido un error tipográfico en el nombre de usuario. Es una decisión en la que Facebook ha hecho primar la usabilidad por encima de la seguridad al igual que decidió dar por buenas las contraseñas escritas con mayúsculas en primera letra o con tecleo invertido de contraseña, tal y como se explica en el artículo de "Tu cuenta de Facebook tiene tres contraseñas y tú no lo sabes".

La gracia es que, una vez que sabes que una dirección de correo electrónico está asociada a un cuenta de Facebook, puedes - tal vez - localizar más información de la cuenta como cuentas de correo electrónico o datos del número de teléfono  - y hasta robársela con las preguntas secretas - utilizando las opciones de recuperación de contraseña.

Figura 4: Opciones de recuperar contraseña

Los que estamos más preocupados por la seguridad pensamos que tal vez no debería darse tanta información, pero también es verdad que los que nos preocupamos por seguridad utilizamos para registrarnos en Facebook una cuenta de correo electrónico con un 2FA activado y que nadie conoce.

Tengo un nombre de usuario, ¿tiene correo electrónico de Facebook?

Una de las cosas que casi todo el mundo olvida es que Facebook crea automáticamente una dirección de correo electrónico asociada a cada perfil. Esto es muy importante porque se utiliza para dos cosas. La primera de ellas para recibir mensajes de correo electrónico - tal y como veremos más adelante - lo que la hará susceptible de ser un buen objetivo para un ataque de Spear Phishing.

Figura 5: Opción 1.- Puedo autenticarme con usuario @Facebook.com.
Opción 2.- Puedo recibir correo en @Facebook.com
Opción 3.- Pueden descargarse mis cuentas de e-mail

La segunda de las opciones, para hacer Login. Si no se sabe la cuenta de correo electrónico que hay que utilizar para hacer login, se puede probar con el nombre de usuario@faceboook.com. Esto es muy importante porque hay dos opciones distintas en Facebook - si quieres fortificar tu cuenta - que debes tocar. La primera es, si deseas que te puedas autenticar con tu nombre de usuario Facebook y la segunda si deseas utilizar tu cuenta de correo de Facebook para recibir e-mails.

Figura 6: Localización del ProfileID en el código fuente

Conseguir el nombre de usuario de una cuenta no es complicado. Basta con visitar el perfil de la víctima y observar la URL. Lo que aparece detrás del dominio de Facebook es el nombre de usuario. Es importante que recuerdes que un perfil se puede cambiar el nombre de usuario, así que es bueno que si utilizaste Graph para quedarte también con el ID de la cuenta también funcionará, para poder localizar la cuenta en caso de que lo cambie, y volver a repetir la operación. Ahora el ID no se consigue así, pero mirando el código fuente se puede buscar por el campo profileID [PageId si es una página en lugar de una cuenta] y sale.

Figura 7: Una URL de una página de Facebook. El usuario es 1075amor

En este ejemplo de una página llamada 1075amor, ese 1075amor es el nombre de usuario que se puede utilizar también para hacer login en Facebook, si no han deshabilitado el correo electrónico que por defecto crea Facebook, tal y como se ve en la Figura 5, Opción 1. Si quieres fortificar tu cuenta de Facebook, deberías deshabilitar tanto el usuario @facebook.com, como la dirección de correo electrónico @facebook.com, así reduces la superficie de exposición al máximo.

Figura 8: ¿Quién puede buscarte por correo electrónico?

Si el usuario no ha hecho esto, basta con juntar el nombre de usuario con el dominio @facebook.com para tener una dirección a la que enviar un mensaje de correo electrónico. En este caso obtenemos la siguiente dirección de correo 1075amor@facebook.com.

Figura 9: Búsqueda de perfiles por cuentas de correo @facebook.com

Por último, si introducimos cualquier dirección de correo electrónico en el buscador de Facebook y no se ha deschequeado la Opción 3 de la Figura 5, la plataforma nos corroborara que existe y a qué perfil/página pertenece, y lo que es mejor que está activa y que actúa como re-dirección a la dirección de correo original. Aquí tenemos el punto de conexión para poder realizar, por ejemplo, un ataque de Spear Phishing. 

Los correos electrónicos de @facebook.com

Lo mejor de todo es que, si os fijáis en el mensaje que le llega a la víctima, aparece como enviado por fwd.facebook.com porque se trata de una redirección desde Facebook, lo que puede ser aún más efectivo y causar bastantes dudas en el usuario que recibe el mensaje sobre si es auténtico o no.

Si a esto le unimos una suplantación de una cuenta utilizando técnicas para poder falsificar una cuenta de correo, nos permitiría enviar un correo electrónico haciéndonos pasar por cualquier nombre de dominio. Para los usuarios más noveles, alguien puede enviarte un correo haciéndose pasar, por ejemplo, por facebook@facebook.com. Para logra la confianza de la víctima y que creas todo lo que pone el correo.

Figura 10: Correo reenviado desde Facebook

Incluso, como ya se explicó en el pasado, se podría utilizar la cuenta de correo de Facebook de la víctima para suplantarla en cualquier otra comunicación, como ya se contó en el artículo de "Suplantación de identidad en Facebook" en el que incluso se podía suplantar a Mark Zuckerberg dentro de la plataforma de Facebook.

Figura 11: Suplantación de la cuenta de Facebook de Mark Zuckerberg

Aprovechándonos de la redirección, si la víctima tuviera por ejemplo una cuenta de Gmail, a simple vista, Gmail informa de que el correo fue enviado desde Facebook.com. Y no se equivoca. Solo si tienes un poco más de tablas en el asunto y estudias las cabeceras del correo entenderías que se trata de una redirección (aunque si ocultáramos bien ciertos campos podríamos complicar todavía más las cosas). Si te lo trabajas más y la víctima usa Gmail, podrías incluso llegar a saber cuándo la víctima ha abierto el correo electrónico aprovechando las opciones por defecto de Gmail.

Saludos a todos y en especial a los amigos de wadalbertia.org

Autor: NeTTinG - Enrique Andrade
Estudiante de Ingeniería Informática (Fic - UDC)
Perito Informático Forense Judicial

2 comentarios:

Anónimo dijo...

Y dónde se descargar el programa para comprobar?

Esteban dijo...

Me parece que desde entonces han progresado un poco, pero no mucho, de todas formas, tenemos a mano un montón de herramientas para mejorar la privacidad de nuestras cuentas, crear grupos para que reciban ciertas publicaciones y demás, pero poca gente las usa.
Lo que ocurre es que la inmensa mayoría de la gente no es consciente de lo vulnerable que puede llegar a ser sus datos personales en Internet, cualquiera que busque como hackear una cuenta hoy día puede hacerlo sin problemas de ningun tipo, fijate que hasta vienen versiones de Linux preparadas para "testear" ante este tipo de ataques facilitando herramientas para hacerlo...

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares