Cómo comprar Tempos de MyPublicInbox con Criptomonedas usando Bit2Me Commerce

En MyPublicInbox los Tempos se pueden conseguir a coste cero, con diferentes campañas y promociones, o se pueden comprar en diferentes paquetes y con diferentes precios. Hasta ahora podías pagar la compra de Tempos haciendo uso de Bizum, Paypal, Tarjeta o Transferencia Bancaria, pero queríamos permitir que todo el que tenga criptomonedas en sus wallets Web3 también pudiera usar esos métodos de pago, y hemos integrado también la pasarela Bit2Me Commerce esta misma semana. Así que, a estos métodos de pago se les une ahora la posibilidad de poder Comprar Tempos con Criptomonedas.

Figura 1: Cómo comprar Tempos de MyPublicInbox

con Criptomonedas usando Bit2Me Commerce

Para implementar los pagos en criptoactivos hemos hecho uso del servicio y la plataforma de “Bit2Me Commerce” de la empresa Bit2Me, que facilita un servicio simple para poder permitir a comercios operar con criptoactivos sin tener que implementar a mano las complejidades de la tecnología Web3 para ello. 

Figura 2: Bit2ME Commerce 3.0

El envío y pago de criptomonedas y tokens se hace dentro de la propia plataforma de pagos de Bit2Me, lo que hace que para la gestión del e-commerce sea todo mucho más sencillo. Y para el usuario el proceso es aún más sencillo. Vamos a ver paso a paso de cómo comprar Tempos con criptomonedas en MyPublicInbox .

Cómo pagar con criptomonedas y tokens en MyPublicInbox

Ahora vamos a detallar las fases del proceso de compra de Tempos con criptomonedas dentro de MyPublicInbox , para que veas lo sencillo que es usar tus criptoactivos para comprar Tempos.

1. Seleccionar el método de pago

Primero tendremos que ir a la tienda de Tempos, podemos hacerlo desde el dashboard clicando en “Comprar Tempos”, seleccionamos la cantidad de Tempos que queremos comprar añadiendo con el botón + el número de paquetes.

Figura 3: Paquetes de Tempos en Comprar Tempos

Esto nos redigirá a la pantalla de selección de la pasarela y método de pago que deseamos utilizar. Una vez allí seleccionamos “Pagar con criptos” que se puede ver en la imagen siguiente, donde además tienes Pagar con Tarjeta, Pagar con Bizum y Paypal

Figura 4: Selección de método de pago en MyPublicInbox

2. Confirmar la redirección

Para poder proceder al pago te enviaremos desde MyPublicInbox a la pasarela de pagos de Bit2Me Commerce. 

Figura 5: Confirrmación de redirección a pasarela de pagos.

Para ello debes aceptar la re-dirección en el pop-up que te aparecerá al pulsar el botón de pago en el paso anterior. Al confirmar se te redirigirá a la pasarela de pago.

3. Seleccionar los tokens

Ahora hay que seleccionar con qué Tokens se desean comprar los Tempos. Así que una vez dentro de la plataforma de Bit2Me Commerce tendrás que seleccionar qué tipo de criptoactivo y qué red Blockchain quieres usar para realizar el pago. 

Figura 6: Selección de criptomoneda y cadena de bloques

En este ejemplo se paga usando “Ether” en la red de Ethereum, pero se puede usar BitCoin, LiteCoin, ETH, BitCoin Cash, Ripple, Tron, USDT, USDC, entre otros.

4. Enviar los tokens

Y por último queda enviar los activos a la dirección seleccionada dentro de la red seleccionada. Para ello al pulsar el botón anterior Bit2Me generará un “address” en la red deseada al que le tendremos que enviar los activos. 

Figura 7: Espera de envío de Tokens

Debemos hacerlo antes de que pasen 20 minutos o de lo contrario la transacción fallará. Para hacer el envío se puede usar cualquier wallet Web3 que sea compatible con la red indicada.

5. Esperar la confirmación de pago

Una vez realizado el pago la plataforma de Bit2Me Commerce nos redirigirá a MyPublicInbox de vuelta. Donde verás una pantalla de carga a esperas de que Bit2Me confirme el pago a MyPublicInbox. Una vez confirmado el pago serás redirigido a tu pantalla principal con tu balance actualizado.

Figura 8: Confirmación de pago de compra de Tempos correcta

Si no llegarás a ver la pantalla de carga es porque el pago ha sido confirmado antes incluso de que hayas sido redirigido a MyPublicInbox, no te preocupes, tu balance de Tempos ya estaŕa actualizado. Una vez acabados estos sencillos pasos ya tendrás actualizado el balance de Tempos de tu cuenta habiendo realizado un pago usando tus criptomonedas.

Do It Yourself

Gracias a lo fácil que lo pone Bit2Me Commerce y a estas integraciones, ahora tus criptomonedas tienen un uso más dentro del mundo de la Web3, que poco a poco se va expandiendo. Y si tienes un e-commerce, y quieres que te asesore o te ayude con el proceso de la integración, contacta conmigo y te echo una mano encantado.

Saludos,

Autor: Chema Garabito , Ful-Stack Developer en MyPublicInbox, y Web3 Lover.

Contactar con Chema Garabito

Google Hacking sobre Trello para buscar usuarios y passwords de WordPress o Paypal

Haciendo uso de consultas basadas en parámetros de búsqueda sencillos, se puede obtener una gran cantidad de información relevante que, en principio, podría ser difícil de recopilar mediante las búsquedas habituales que se suelen hacer en los principales motores de búsqueda (por ejemplo, Google, Bing o Shodan).  Es el arte del Hacking con Buscadores, donde apuntando a los keywords adecuados, puede obtenerse información privada que no ha sido convenientemente protegida en algunos servicios.

Figura 1: Google Hacking sobre Trello para buscar usuarios y passwords de WordPress o Paypal

Son muchos los artículos en los que haciendo Hacking con Buscadores se puede sacar información muy delicada de las páginas indexadas o cacheadas en los motores de búsqueda, como fue el caso de Evernote o los leaks de sitios como la web de WhtasApp o de Faeebook. Esta técnica que vamos a ver hoy, que como veremos ahora nos ofrecerá una gran cantidad de información, es sólo una de las muchas posibles de las que disponemos para realizar hacking con buscadores, a través de las cuales se podrían realizar búsquedas automáticas que facilitarían una futura intrusión.

Figura 2: Hacking con Buscadores

Es por ello por lo que es conveniente conocerse los pormenores de los motores de búsqueda - tal y como se cuentan en el libro de Hacking con Buscadores - y conocerse cosas como el truco de la barra en Google o la búsqueda en el índice secundario, o el funcionamiento de los modificadores de cada uno de los motores como Bing.  Son muchos los artículos en los que se ha hablado de esto en este blog, y puedes leer algunos artículos publicados con anterioridad:

• Hacking con buscadores en los repositorios Open Source 

• 10 motivos por los que debes pensar en hacer Bing Hacking 

• Sacándole más partido a BING Hacking con Contains 

• Cómo las invitaciones a grupos de WhatsApp filtradas en Internet afectan a tu Privacidad 

• Hundir la flota por computador: Fallos de seguridad en miles de barcos navegando por el mundo.

Google Hacking en Trello

Recientemente nos topamos con un artículo que revelaba la posibilidad de encontrar información sensible de usuarios que hacían uso de la SaaS app Trello - muy similar al ejemplo de Google Hacking con Evernote - en aquellos boards que estaban configurados como públicos.

Esta vulnerabilidad se descubrió haciendo uso de Google Hacking, un método de ataque pasivo también conocido como Google Dorking, que nos permite obtener desde nombres de usuario y contraseñas hasta listas de emails, documentos con información sensible, información fiscal de personas o vulnerabilidades de sitios web susceptible de ser usada para actividades ilegales o no lícitas.

La sintaxis más básica  comúnmente usada en un Google Dork query que nos permite restringir una búsqueda incluye los siguientes parámetros:

• inurl: seguido por una url, hacia donde apuntamos la búsqueda.

• intext: seguido por un string, para quedarnos sólo con aquellos resultados que contengan esa palabra. 

• site: concatenado por un dominio, al que se restringe la búsqueda. 

• filetype: especifica la extensión de ficheros en las que estamos interesados (i.e., .doc, .docx, .pdf., .xls, .xlsx… Se puede extender la búsqueda dentro de un mismo query a varios formatos separando las extensiones con “|”.

Un query de este tipo presentaría una estructura similar a la siguiente:

inurl:[target_url] AND intext:[target_text_1] AND intext:[target_text_2] AND filetype:[filetype_target] …

Quisimos probar si, tras habérsele notificado el descubrimiento de la vulnerabilidad a Trello hace ya dos meses, habían puesto algún remedio el filtrado de información. Para nuestra sorpresa, la información sensible seguía disponible en aquellos tablones que fueron creados como públicos. Comenzamos a hacer pruebas rápidas con queries muy simples. En sólo diez minutos, pudimos ver la ingente cantidad de información que actualmente hay disponible en los tablones públicos de Trello.

No sólo teníamos visibilidad de credenciales de acceso a cuentas de todo tipo, sino que también teníamos visibilidad total de todas las publicaciones, conversaciones, ficheros adjuntados dentro de cada tablón y usuarios que conformaban el tablón. Nos encontramos con múltiples tablones creados por empleados de empresas donde se intercambiaban información sensible relativa a los proyectos en los que estaban involucrados.

Algunas muestras de los criterios de búsqueda usados y evidencias de los resultados obtenidos se muestran a continuación:

• Para buscar por usuarios y contraseñas de correos electrónicos almacenados en los tablones públicos de Trello: 

inurl:https://trello.com AND intext:@gmail.com AND intext:password

Figura 4: Credenciales de acceso a WordPress disponibles en un tablón público de Trello

inurl:https://trello.com AND intext:@yahoo.com AND intext:password

Como podéis observar en la figura anterior, con sólo apuntar a los dominios de correo más usados, y sin necesidad de refinar mucho la búsqueda, somos capaces de obtener credenciales de accesos no sólo a los mails de ese dominio, sino también a otras plataformas como Wordpress.

• Para tener visibilidad de información sensible de acceso a cuentas de PayPal:

inurl:https://trello.com AND intext:paypal AND intext:password

Figura 5: Usuarios y contraseñas de PayPal al descubierto en tablones públicos de Trello

• Si lo que queremos es encontrar credenciales de acceso a cuentas de redes sociales como Twitter, Instagram o Facebook, basta con una mínima modificación del query: 

inurl:https://trello.com AND intext:twitter AND intext:password 

inurl:https://trello.com AND intext:instagram AND intext:password 

inurl:https://trello.com AND intext:facebook AND intext:password

Este post debe servir para concienciar sobre la importancia de educar a los usuarios a gestionar de manera adecuada cómo almacenar (o no almacenar) información sensible. No sólo las credenciales deben ser gestionadas de manera adecuada, ser lo suficientemente complejas y modificarse con cierta frecuencia; además, la información que intercambiemos con otras personas debe transcurrir a través de canales lo más seguros posibles.


Figura 6: Cómo proteger cuentas de WordPress con Latch en 10 minutos
Además de las prácticas comunes para garantizar la seguridad de tus cuentas, recomendamos hacer uso de segundos factores de autenticación como Latch o Latch Cloud TOTP para protegerte de accesos no autorizados tanto en los ejemplos de WordPress o PayPal usands aquí como de tus redes sociales. Podéis encontrar en los siguientes artículos algunos ejemplos de cómo aplicar este segundo factor de autenticación basado en el uso de sistemas TOTP (Time One-Time Password):

• Cómo proteger tu cuenta de Paypal con Latch Cloud TOTP

• Cómo proteger tu cuenta de Twitter con Latch Cloud TOTP 

• Latch Cloud TOTP en Facebook sin SMS ni número de Teléfono 

• Cómo proteger WordPress con Latch  

Autor: Enrique Blanco (@eblanco_h) es Investigador en el departamento de Ideas Locas CDO de Telefónica

Cómo configurar Latch Cloud TOTP en Paypal corriendo tu script en Python

Hace unos días veíamos cómo proteger con Latch Cloud TOTP nuestra cuenta Paypal, uno de los servicios que muchos de nosotros utilizamos en nuestro día a día. Como ya se ha dicho anteriormente, nuestra cuenta de Paypal es un elemento crítico por el tipo de información que almacena y el riesgo que supone que un atacante consiga nuestras credenciales.

Figura 1: Cómo configurar Latch Cloud TOTP en Paypal corriendo tu script en Python

Básicamente, robar nuestro usuario y contraseña de Paypal a un atacante le permitiría acceder a alguna de nuestras tarjetas de crédito o cuentas bancarias. Es por esto, que lo más recomendable es activar un Segundo Factor de Autenticación, de tal manera, que el proceso de autenticación no sólo dependa de un usuario y una contraseña, sino que disponga de un componente adicional.

Figura 2: 2FA configurado en Paypal

Pero ¿por qué utilizar Latch Cloud TOTP en Paypal y no el Segundo Factor de Autenticación tradicional por SMS? La respuesta a esta pregunta la tenéis en este otro artículo que se publicó en el que se explicaba cómo Paypal, al activar el Segundo Factor de Autenticación basado en SMS desvela mucha información de nuestro número de teléfono.

Figura 3: En las opciones de recuperación de contraseña de Paypal se muestran 5 dígitos

Para eliminar esta información de nuestra cuenta de Paypal, Chema Alonso nos hizo una pequeña guía para configurar Paypal para ser menos Verbose, y en ella quitaba el Segundo Factor de Autenticación basado en SMS para configurarlo con Latch Cloud TOTP.

Figura 4: Guía para configurar Paypal para ser menos Verbose

El proceso que describe el artículo para Proteger la cuenta de Paypal con Latch Cloud TOTP es el que podéis ver en el siguiente vídeo que hemos hecho explicándolo paso a paso.

Figura 5: Cómo proteger Paypal con Latch Cloud TOTP

Teniendo todo esto en cuenta, en el artículo de hoy vamos a explicar paso a paso cómo generar los diferentes valores que necesitaremos para activar el Segundo Factor de Autenticación en PayPal con Latch Cloud TOTP sin tener que confiar en un servicio externo como vimos en el post anterior. corriendo directamente nuestro propio script en Python.

Generación del QRcode

Para comenzar con la generación del QRcode que servirá para transmitir un conjunto de valores numéricos a nuestra aplicación de Latch necesitaremos generar una URL similar a la siguiente:

otpauth://totp/VIP%20Access:XXXXXXXX?digits=6&secret=XXXXXXXXX&period=30&algorithm=sha1&issuer=Symantec

Para ello, haremos uso de una herramienta escrita en Python llamada python-vipaccess. Probablemente muchos de los que hayáis leído hasta aquí habréis tratado de instalar la herramienta mediante el comando pip install Python-vipaccess (utilizando el gestor de paquetes pip), y probablemente os hayáis encontrado con el siguiente error tratando de generar el código:

Figura 6: Error al instalar vipaccess desde pip

La aplicación original de python-vipaccess esta desactualizada y tiene errores, por lo tanto, vamos a hacer uso de un fork de este repositorio que ha realizado otro usuario en el que ha corregido los errores:

Figura 7: python-vipaccess en GitHub actualizado

Ejecutamos el siguiente comando para descargar el nuevo repositorio desde nuestro Kali Linux:

git clone https://github.com/dlenski/python-vipaccess

Accedemos a la carpeta Python-vipaccess y ejecutamos el comando:

Python setup.py install

Con esto, ya tenemos una versión funcional de la herramienta en nuestro sistema lista para usarse. La herramienta tiene muy pocas opciones y es muy sencilla de utilizar, podéis ver las diferentes posibilidades en el repositorio que hemos clonado anteriormente:

Figura 8: Opciones de python-vipaccess

En nuestro caso, utilizaremos la opción más sencilla, sacar las credenciales por pantalla sin almacenarlas en disco. El comando para esto es vipaccess provision -p, y el resultado será algo similar a lo siguiente:

Figura 9: Credenciales y URL para generar QRCode

Como podemos observar en la imagen, la herramienta nos genera la url que necesitamos y un ID que utilizaremos en nuestra cuenta de Paypal. Es importante que, en la realización de este proceso, tengáis conexión a internet en el PC, ya que requiere hacer algunas llamadas a servidores para provisionar las claves.

Una vez hemos obtenido estos valores, tenemos que introducirlos en nuestra aplicación de Latch, para ello, podemos copiar a mano la URL que nos muestra, o podemos generar un qrcode a partir de ella y leerlo de manera mucho más rápida. Nosotros generaremos el QRCode mediante la aplicación qrencode y los siguientes comandos:

apt-get install qrencode
qrencode -t ANSI256 ‘otpauth://totp/VIP%20Access:XXXXXXXX?digits=6&secret…’

El resultado será algo similar a lo siguiente:

Figura 10: Ejemplo de QRCode generado

Ahora ya solo queda leer este código con nuestra aplicación de Latch, y terminar la parte de la configuración en la página de Paypal.

Figura 11: Configuración de Latch Cloud TOTP para Paypal

Configuración en la página de Paypal

Para completar la activación de nuestro segundo factor de autenticación mediante Latch Cloud TOTP, tenemos que acceder a Paypal a través del siguiente enlace:

Figura 12: Configuración de 2FA en Paypal

Y seleccionamos la opción de activar mediante Clave de Seguridad que nos llevará a una página similar a la siguiente donde tendremos que terminar la configuración.

Figura 12: Configuración de Latch Cloud TOTP en Paypal

La página nos solicitará tres campos, el primero, es el ID que nos ha generado la herramienta Python-vipaccess en el apartado anterior. Los otros dos se corresponden con dos códigos generados por nuestra aplicación de Latch:

Figura 13: Códigos TOTP para Paypal en Latch

Una vez introducida esta información, ya tendremos activado el Segundo Factor de Autenticación en nuestra cuenta de PayPal, y cada vez que intentemos autenticarnos con nuestro nombre de usuario y contraseña, nos solicitará, de manera adicional, el código que nos genera nuestra aplicación de Latch.

Figura 14: Cómo configurar Latch Cloud TOTP en Paypal usando Python

En el siguiente vídeo se puede ver el proceso de instalación y configuración de nuestro Latch Cloud TOTP en Paypal usando el script en Python de vipaccess.

Saludos,

Autor: Santiago Hernández, Security Researcher en ElevenPaths

Cómo configurar tu cuenta de Paypal para que no sea "verbose" #Paypal

La verdad es que a raíz del artículo de Cómo averiguar los números de teléfono con Paypal, Facebook, Gmail y WhatsApp que me envió Pablo García, estuve jugando un rato con las opciones de seguridad de mi cuenta de Paypal, y quedé bastante decepcionado de todas ellas. Pero no paré hasta que no conseguí tener la cuenta como yo quería, y este artículo os trae lo que hice para evitar que Paypal diera información de mi número de teléfono personal.

Figura 1: Cómo configurar tu cuenta de Paypal para que no sea "verbose"

Antes de comenzar a proteger tu cuenta, revisa que la quieres tener de esta forma o no.  Como hemos visto en el artículo anterior, el problema está en las opciones de recuperación de contraseña, donde si tienes verificado el correo electrónico, creadas preguntas de seguridad y asociado un número de teléfono, las opciones que ofrece Paypal son estas.

Figura 2: Opciones de recuperación de cuenta en Paypal con
Teléfono verificado, e-mail verificado y Preguntas de Seguridad.

Para mí, a excepción de la opción de recuperar la contraseña vía correo electrónico - que tengo protegido con Latch Cloud TOTP, ninguna de las otras dos opciones me gustaba. La primera de recibir un mensaje SMS, porque el interface de Paypal es demasiado "verbose" con mi número de teléfono. Da demasiados dígitos y quería quitarla.

Ni mi número, ni Preguntas de (in)Seguridad

La segunda opción, de recuperar la contraseña vía Preguntas de Seguridad, me parece un fallo de garrafal en los tiempos en los que vivimos. Son más Preguntas de (In)Seguridad que otra cosa. Más, cuando las preguntas no se pueden elegir y las personas menos informadas van a responderlas de verdad, es decir, poniendo el segundo apellido de su abuela, o el nombre de su primer colegio.

Figura 3: Preguntas de (In)Seguridad en Paypal

Yo he jugado muchas veces a esto con las cuentas de mis amigos, en sitios como Facebook o Apple ID, y la verdad es que es una pena. Deberían desaparecer esas opciones sí o sí de los sistemas de recuperación de cuentas. Yo la quería fuera, y la gracia está que, intentando quitar el número SMS, configuré las Preguntas de Seguridad... y una vez las configuras, se quedan para siempre. Fail. 

Configurando mi cuenta desde cero

Para revisar la configuración de seguridad de tu cuenta, debes entrar en la zona de configuración, accesible por el icono de la "rueda dentada" arriba a la derecha, y luego dentro del Centro de Seguridad. Ahí te aparecen las siguientes partes que puedes configurar. No me voy a centrar en todo, pero sí en lo más importante.

Figura 4: Centro de Seguridad en Paypal

Como os he dicho, una vez que configuras las Preguntas de Seguridad no se pueden quitar, pero tampoco se puede quitar el Número de Teléfono si lo has asociado y verificado. Yo intente Configurar un 2FA en Paypal y desactivar el número de teléfono como 2FA, pero ni aún así desaparece de las opciones de recuperación de contraseña, así que había que buscar otro mecanismo.

Paso 1: Vacía tu cuenta de Paypal

No me quedó otra opción que configurar mi cuenta de Paypal desde el principio, para ello, moví todo el dinero de mi cuenta Paypal a otra cuenta puente para comenzar desde cero a configurar mi cuenta. Una vez que la tuve vacía.

Paso 2: Borra tu cuenta de Paypal

El proceso de borrar tu cuenta es sencillo. Pierdes información de log, personalizaciones, contactos almacenados, etcétera. Así que si quieres mantener algo de eso, haz backup antes de esa información. Yo la borre completa. desde las opciones de Paypal. Es sencillo y rápido. Tarda menos de un par de segundos.

Figura 5: Opción de borrado de cuenta

Paso 3: Recrea tu cuenta de Paypal... con el mismo usuario

Nada más borrar tu cuenta de Paypal, tu e-mail queda liberado para que pueda ser usado por cualquiera, algo que me llamó la atención. Yo estaba preparado a utilizar otro correo electrónico, pero me dejó recrear la cuenta al minuto. Así que, ojo que no te caduque el correo electrónico que usas.

Por supuesto, sea el correo electrónico que sea, pon un 2FA en él. En estos enlaces tienes cómo configurar un Latch Cloud TOTP en algunos de ellos:

- Configurar Latch Cloud TOTP en Office 365.
- Configurar Latch Cloud TOTP en Gmail y Google.
- Configurar Latch Cloud TOTP en ProtonMail.

Paso 4: No Verifiques tu número de teléfono... ni pongas Preguntas de (In)Seguridad

Si verificas tu Número de Teléfono o creas las Preguntas de Seguridad, ya no hay vuelta atrás, así que cuando pongas tu número de teléfono en la creación de la cuenta no lo verifiques. Yo me salté ese paso, y la cuenta funciona. Sale en la parte de abajo que no está confirmado.

Figura 6: Número de Teléfono no confirmado

Esto evita el leakage del número, pero también hace que no pueda recuperar la cuenta vía SMS o llamada de teléfono, así que hay que tomar medidas extras de seguridad para evitar no poder recuperar la cuenta. Nota: Se va a verificar el número en cuento crees una Clave de Seguridad, así que no la crees si no quieres que 5 dígitos de tu número de teléfono salgan en las opciones de recuperación.

Figura 7: Si Creas la Clave de Seguridad se verifica tu Número de Móvil

Por supuesto, evita el uso de las Preguntas de Seguridad. No es mi recomendación para nada que las utilices. Siempre se abre una puerta a que alguien averigüe qué has configurado. No es divertido.

Paso 5: Verifica tu correo electrónico y usa un gestor de contraseñas

Para proteger tu cuenta, comienza por verificar tu correo electrónico. Así tendrás cierto control sobre tu cuenta de Paypal. Esto se hace simplemente haciendo clic en el mensaje que Paypal te envía a la cuenta cuando la creas.  Es un poco extraño que Paypal no permita ver y copiar el enlace para los que nos gusta ver dónde hacemos clic y evitar un poco más el phishing copiando el enlace manualmente. Otro mini-negativo para el servicio.

Figura 8: Verificación de correo en Paypal

Mi recomendación, para que no olvides la contraseña de Paypal, es que utilices un Gestor de Contraseñas para configurar una contraseña que no sea fácil de adivinar por nadie, evitando palabras de diccionario o cosas que estén asociadas a ti, y que utilices un gestor de contraseñas para almacenarla.

Figura 9: Contraseña en Paypal con complejidad exigida

Las opciones de complejidad de la contraseña de Paypal van a forzar que no sea muy fácil de recuperar, ya que tiene que tener mayúsculas y minúsculas, más de 8 caracteres y dígitos, con lo que lo mejor es que la tengas protegida en un gestor de contraseñas.

Paso 6: Configura tu 2FA en Paypal

Como os expliqué el otro día, existe una forma de Configurar un 2FA en Paypal sin necesidad de utilizar el SMS (y que se publiquen tus 5 dígitos del número) ni comprar el dispositivo hardware que utiliza Paypal. Para ello, sigue los pasos que te expliqué en este artículo: Cómo configurar Latch Cloud TOTP en Paypal.

Figura 10: Cómo configurar Latch Cloud TOTP en Paypal

Son muy sencillos los pasos, pero lee el artículo con cuidado para no perderte que tienes que generar el número de serie del dispositivo hardware, a diferencia de un servicio normal de TOTP.

Paso 7: Verifica las opciones de recuperación de contraseña

Yo he añadido de vuelta mi dinero, he enviado dinero y he recibido. Y va todo normal. Y cuando intento ver las opciones de Recuperar mi Contraseña, lo que sale es el siguiente mensaje.

Figura 11: Al recuperar la cuenta sin número de teléfono verificado

Por supuesto, tengo verificado mi dirección de correo electrónico. Tengo protegida mi cuenta de Paypal con un 2FA y tengo protegida mi cuenta de e-mail asociada a Paypal con un 2FA. Además de tener almacenada mi password compleja de Paypal en un Gestor de Contraseñas. He perdido la opción de recuperación de cuenta pero para mi está ok. Además, Paypal tiene servicio de atención telefónica para poder recuperar tu cuenta con tu e-mail verificado y, por supuesto, espero no tener que recuperar la contraseña porque la recuerdo.

Saludos Malignos!

Cómo averiguar números de teléfono privados usando Paypal, Gmail, Facebook, Twitter y WhatsApp #Paypal #OSINT #WhatsApp #Facebook #Gmail

El presente artículo es una mezcla de técnicas OSINT (Open Source INTelligence) y algo de Doxing "desenmascaramiento de perfiles", donde como objetivo se trata de localizar el número de teléfono móvil de una persona. Esta información es algo que identifica cuasi unívocamente a una persona debido a las cada vez más restrictivas identificaciones a la hora de conseguir una tarjeta SIM y a la conexión constante a las antenas de comunicación celular que identifican dónde está el terminal en cada momento.

Figura 1: Cómo averiguar números de teléfono privados usando Paypal, Gmail, Facebook y WhatsApp

Con este ejercicio se quiere poner de manifiesto cómo una persona puede estar dejando que cualquier otro, con un proceso similar al escrito, pueda localizar el número de teléfono si la persona objetivo no ha tenido muy presente la privacidad de sus cuentas en Internet. En este caso concreto vamos a utilizar Paypal, Gmail, Facebook y WhatsApp, que si no tienen las opciones restringidas permiten ese proceso.

Paso 1: Conseguir el e-mail del objetivo

Este es un primer paso. Se trata de averiguar cuál es el correo electrónico de una persona para averiguar las cuentas en las redes sociales asociadas a ellas. Ese correo personal no ha sido tratado como una dato privado por las personas y, de hecho, se asume público y se comparte con mucha gente, cuando debería ser algo distinto. En muchos casos basta con hacer un poco de Hacking con Buscadores o de "stalker" en las redes sociales, para llegar a esta información.

Cada persona debería tener un correo electrónico "privado" como piedra angular, que no debería compartirse con nadie ni publicarse en redes sociales y solo usarse para registrarse en servicios que no lo filtren o para tenerlo como forma de recuperar cuentas sociales. Pero es difícil porque en la mayoría de los servicios es el nombre de usuario, y por tanto, público. Si se obtiene esa dirección de e-mail, es posible averiguar redes sociales en las que esa persona tenga presencia, para aprovecharse de los leaks que existan en cada una de ellas.

Un poco e-mail "guessing" con Facebook & Gmail

Sin embargo, no es así y la gente lo tiene expuesto en sus redes sociales. En otras ocasiones es fácil averiguarlo. Uno de los mecanismos que normalmente se hace es intentar adivinar cuál es el correo electrónico de una persona, haciendo e-mail guessing. Para ello, basta con pedir la recuperación de una cuenta en Facebook y obtener algunas de las letras del correo electrónico.

Figura 2: Letras del mensaje de correo electrónico en Facebook

Muchos servicios en Internet hacen algo parecido. Mostrar el correo electrónico parcialmente. Si conocéis algún servicio que lo haga, os lo agradecería si lo pusierais en los comentarios. Además, en el caso de Facebook, si no se ha Protegido correctamente la dirección de e-mail, alguien podría jugar a averiguar el correo viendo qué sale en los resultados de búsqueda. Este artículo de Facebook y la Privacidad del correo electrónico habla de eso.

Figura 3: Con el e-mail Facebook te deja ver la foto asociada para hacder e-mail guessing

Si no hemos averiguado el correo electrónico con Facebook, pero tenemos algunas de las letras del e-mail, podemos jugar con Gmail a averiguar el mensaje completo. Para ello, basta con poner la dirección de correo electrónico en el destinatario de un mensaje de Gmail y ver la fotografía que nos aparece - si es una cuenta de Google -. Si no es la buena, volvemos a cambiar y probar otra.

Figura 4: e-mail guessing con el cliente de Gmail

Desde mi punto de vista personal es un fallo garrafal, ya que puedes escribir las combinaciones que se te ocurran de una dirección de e-mail y pasando el cursor por encima de todas las combinaciones, sabrás cuál es la correcta al ver la foto.

Cellphone number "guessing" con Paypal & WhatsApp

La próxima vez que pase por delante de las oficinas de PayPal , entraré a decirles que dejen de dar cuasi-entero mi número personal a todo el mundo. Hoy en día prácticamente todo el mundo tiene una cuenta de Paypal, la misma que usamos para comprar por Amazon - aunque  a veces te falle con las Nancys -.

Figura 5: Pidiendo ayuda para recuperar la cuenta

Paypal nos da más de la mitad de los números

Cuando se da a recuperar la contraseña en Paypal debes poner la dirección de correo electrónico que has averiguado en el paso anterior y te saldrá la opción de enviar un código al número de teléfono que la persona ha asociado a esa cuenta. Si lo ha asociado. Y como veis, se muestran 5 de los 9 dígitos del número.

Figura 6: Paypal te da 5 de los 9 números del teléfono

Esto hace que el ataque, más que fuerza bruta, yo lo calificaría como de fuerza media. Al final, nos faltan 4 posiciones, por lo tanto sin hacer mucha matemática son 10.000 las combinaciones posibles. del 0000 al 9999. No hay magia.

Importemos los contactos a Gmail

Para averiguar el número, he hecho este pequeño ejercicio, pero seguro que a alguno se le ocurre alguno más rápido - a los comentarios con él -. Ahora que tenemos una hoja de cálculo con 10.000 números de teléfono entre los que está el de nuestra víctima, solo nos queda encontrarlo.

Figura 7: Hoja Excel con 10.000 contactos ficticios

Ahora Importamos la hoja con los 10.000 contactos a nuestra cuenta de Gmail. Nuestro cerco se estrecha ya que la gran mayoría de los números no existirán. El ratio que he estimado tras varias pruebas es del 30%. Quedándonos de media, con 3.000 números válidos.

Figura 8: Importamos los contactos a Gmail

Y una vez hecho esto, lo sincronizamos con nuestros contactos del terminal Android. En iPhone con iOS seguro que es más o menos similar o existe una forma de hacerlo.

Miremos fotos en WhatsApp

Ahora pueden darse dos situaciones muy comunes. La primera de ellas es que el contacto no haya leído los artículos de Chema Alonso de Proteger WhatsApp a Prueba de Balas y la foto de perfil de WhatsApp sea pública, que es lo que sucede en el 90% de los casos, más o menos. En ese caso nos abrimos un buen vino de "El Bierzo", y sólo nos queda bajar por nuestros contactos de WhatsApp durante 10 o 15 minutos aproximadamente - eso se tarda en revisar 3.000 contactos con una buena conexión - hasta que veamos a nuestro objetivo. Easy Stuff! Tened en cuenta que hasta la gente que utilizaba su número de teléfono en contactos "adultos" tenía su foto pública.

Figura 9: Contactos "adultos" con foto pública en WhatsApp

También puede pasar que la foto de perfil de WhatsApp no sea pública, en el otro 10% de los casos. Estos suele pasar si nuestro "target" es un loco de la privacidad, y ha puesto su foto sólo visible a los contactos que él tiene agregado. Mucho peor si es una de esas personas que se pone de foto de perfil una colina o el mar atardeciendo (WTF!...). ¿estamos perdidos? No, aún nos queda un tiro.

Volviendo a Facebook y Twitter, con los números de teléfono que nos quedan

Si no hemos conseguido encontrar entre nuestros números de teléfono en WhatsApp a nuestro objetivo, seguro que hemos podido descartar una gran cantidad. Así que, entre los que no eran números válidos, los que hemos descartado con WhatsApp, nos queda probar el truco de averiguar la cuenta detrás de un número de teléfono en Facebook.

Figura 10: Averiguar la cuenta de Facebook detrás de un número de teléfono

De esto ya se publicó por aquí en un post para averiguar la cuenta en Facebook detrás de un número de teléfono, así que solo deberemos ir metiendo con paciencia el número en la página de Facebook y ver las fotos y/o correos electrónicos a los que vamos accediendo. Hay un post muy interesante de cómo gestionar el número de teléfono en las opciones de privacidad de Facebook... o cómo puede ser un grave fallo.

Figura 11: Averiguar cuentas de Twitter asociadas a número de teléfonos

Pero no hay que olvidarse de que en Twitter esto funciona de forma muy similar, así que si te queda algún número de teléfono pendiente, también se puede probar con la otra red social. Aquí tienes un artículo de Cómo averiguar cuentas de Twitter asociadas a números de teléfono.

¿Cómo protegerse de esto?

Pues la solución es fortificar las opciones de privacidad de Paypal, de Gmail, de Facebook y de WhatsApp. Aquí os dejo algunos enlaces interesantes del blog, pero para el caso de Paypal, Chema Alonso ha prometido un post con la info y los pasos necesarios para conseguir tener una cuenta de Paypal protegida y que no filtre 5 de los 9 números de teléfono.

Saludos!

Autor: Pablo García Pérez

Cómo proteger tu cuenta de Paypal con Latch Cloud TOTP #paypal #latch

Una de las cuentas que puedes proteger con servicios TOTP es la de tu cuenta Paypal, y es de las que no deberías tener sin 2FA ni de broma, pues como os podéis imaginar es de las más buscadas junto con las cuentas de BitCoins. Hay dinero detrás de ellas, así que aquí tienes una pequeña guía de cómo puedes proteger tu dinero en Paypal usando Latch Cloud TOTP.

Figura 1: Cómo proteger tu cuenta de Paypal con Latch Cloud TOTP

En primer lugar debes activar tu clave de seguridad. Esto por defecto se puede hacer en Paypal de dos formas diferentes. La primera, usando un número de teléfono y recibiendo un número SMS - pero como veremos en el artículo de mañana  esto tiene "efectos laterales" - o bien configurando un servicio como Latch Cloud TOTP. Para ello, debes entrar en la siguiente URL, que no está muy fácil de localizar cuando inicias sesión, así que quédate con este enlace: Activar 2FA en PayPal.

Figura 2: Activar Clave de Seguridad en Paypal

Aquí se debe seleccionar la opción 2, que como se puede ver es un dispositivo físico de Symantec que utiliza un TOTP, así que lo único que necesitamos es tener los datos del TOTP para poder generar ese en nuestra cuenta de Latch el Cloud TOTP adecuado. Cuando demos a esta opción nos pedirá tres datos:

- El número de serie del dispositivo físico. 

- Un número TOTP. 

- Otro número TOTP.

Esto lo podemos hacer de dos formas diferentes. La primera de ellas es utilizando un script en Python llamado python-vipaccess que está disponible en pip, el gestor de paquetes. En este artículo explican paso a paso: Cómo generar un TOTP para Paypal en Python.

Figura 3: Proceso para la creación de un TOTP válido para Paypal desde Pyhont

La otra opción es utilizar este servicio online que corre este mismo script en una web, para ello deberemos dar los datos que queremos que se muestren en el cliente Latch Cloud TOTP y recibiremos el número de serie que necesitamos para registrar nuestro 2FA de autenticación en Paypal y el QRCode que necesitamos para generar los TOTP desde Latch. 

Figura 4: Serial Number y QRCode con semilla TOTP creados

Lo recomendable, a pesar de como dice la web no guarda ningún dato, es que te corras el script en Python - os haremos un post para explicarlo paso a paso - o que nunca pongas el correo electrónico de tu cuenta Paypal en esta web. Yo puse correos falsos para las pruebas, ya que al final esa información es solo para el cliente Latch, y nos da igual que no aparezca esa información.

Una vez tengamos el QRCode, debemos abrir Latch y generar un nuevo servicio, en este caso de Cloud TOTP y pasar a escanear el QRCode para tener creado el servicio en nuestra aplicación Latch.

Figura 6: Creado el Cloud TOTP para Paypal en Latch

Con estos datos, ya podremos registrar en Paypal el servicio, poniendo el Serial Number que nos ha devuelto el formulario, y dos números TOTP que nos haya devuelto el servicio de Latch Cloud TOTP que acabamos de crear.

Figura 7: Asociación en Paypal del Latch Cloud TOTP creado

Una vez creado, y tras probar dos o tres veces que todo va bien, podemos eliminar el número de teléfono de la lista de dispositivos que obtendrán el código de seguridad o tener los dos elementos activados. Un mensaje SMS y/o un código de Latch Cloud TOTP.

Figura 8: Elementos para hacer el 2FA en Paypal. Se ha desactivado el número de Telefónco

A partir de este momento, siempre que se vaya a iniciar sesión, tras introducir correctamente el usuario y la contraseña, se pedirá el 2FA por alguno de los dispositivos que se hayan seleccionado.

Figura 9: Introducción del PIN TOTP en el login de Paypal

Y podrás utilizar el PIN TOTP que te devuelva tu servicio de Paypal en Latch Cloud TOTP, sin necesidad de esperar mensajes SMS o utilizarlos si no quieres.

Saludos Malignos!