Cómo detectar qué plataforma filtró tu e-mail marcando la dirección de tu Gmail

Han pasado más de 50 años desde que Ray Tomlinson desarrollará SNDMSG, que con el paso del tiempo acabaría dando lugar al e-mail, ese caos maravilloso. El e-mail se convirtió, con todos sus problemas, en unas de las herramientas de comunicación más populares hasta la fecha, y la llegada de las redes sociales, y las plataformas de mensajería como WhatsApp o Telegram. Pero la dirección de e-mail también se convirtió en la piedra angular de la identidad, compitiendo y superando a los Documentos Nacionales de Identidad, a los números de teléfono y a los UserID privados. como forma de identificación de un usuario en una plataforma.

Figura 1: Cómo detectar qué plataforma filtró tu e-mail

marcando la dirección de tu Gmail

Tan importante es el e-mail, que es esta herramienta también los es para  los cibercriminales, que en muchos casos lo han convertido en arma. Hoy en día es el medio por el cual se realizan la mayoría de ataques SPAM, Phishing, Spear Phishing, APTs, ataques para robo de tokens OAuth, distribución de malware, distribución de enlaces para ataques de watering-hole o kits de exploits, estafas y fraudes. Basta con que eches un ojo a tu bandeja de Spam para que veas un poco de lo que se cuece.

Figura 2: 8 razones para tener un buzón público en MyPublicInbox

Por supuesto, la importancia de la dirección de correo es mucho mayor de lo que uno se puede pensar, por lo que proteger su compartición y exposición es una de las principales medidas de seguridad personal. Plataformas como MyPublicInbox tienen, dentro de su propuesta de valor, poner una barrera a la llegada masiva de correos electrónicos de desconocidos, y la no publicación nunca de tu dirección de correo electrónico para seguir siendo contactable a través de Internet en comunicaciones de valor, y no peligrosas para ti.

¿Qué lo ha convertido en uno de los puntos exposición más críticos?

La respuesta es sencilla, ya que al ser muy fácil de acceder a él, y muy sencillo de usar, se ha popularizado durante todos los servicios como forma de comunicación Plataforma-Usuario. Si pensáis durante unos segundo en qué habéis hecho con vuestro correo durante los últimos 10 años, descubriréis que sigue con vosotros aquel correo con el que os registrasteis, hace años, en multitud de páginas web, tiendas online, foros, etcétera.

Por supuesto, un gran porcentaje de los usuarios no ha cambiado su contraseña en un largo periodo de tiempo e incluso utilizan una contraseña común para todos los sitios web por los que navegan. ¿Tenéis localizados todos los sitios en los que os habéis registrado? En este periodo, se ha producido una gran cantidad de brechas de información y filtraciones con la información personal de los usuarios, incluyendo la dirección de correo, usuario, contraseña…

Figura 3: Casi 12 mil millones de identidades filtradas

Basta con ir a HaveIBeenPwnd para ver cómo se han filtrado casi de 12 mil millones de identidades en la red con grandes y continuos leaks de información robados a las plataformas de la red. Muchos de ellos recogidos por aquí. En 2012, LinkedIn se vio afectado por un ataque en el que más de 100 millones de contraseñas de sus usuarios fueron filtradas y puestas a la venta en el mercado negro. En 2013, tras un ataque, se filtró la información de 3 billones de usuarios de Yahoo!. En 2014, Ebay sufrió un ataque en el que unos cibercriminales accedieron a los datos de 145 millones de usuarios. En 2016, se vieron comprometidas 360 millones de cuentas de MySpace. En 2018, Twitter aconsejó a sus más de 200 millones de usuarios cambiar de contraseña ya que estaban almacenando estas sin cifrar.

Estos son solo unos de los muchos ejemplos relevantes de brechas de datos que han ocurrido estos últimos años. Y la mayoría de estos casos tienen algo en común, el tiempo que han tardado en descubrir que se ha producido una brecha. Por ejemplo, en el caso de LinkedIN en 2012 la compañía anunció que solo se habían visto comprometidas 6.5 millones de contraseñas pero no fue hasta 2016 cuando se pronunciaron diciendo que la cantidad de usuarios afectados era de 100 millones.

En ese periodo de 4 años, la mayoría de usuarios no habrán restablecido su contraseña ya que no se conocía la magnitud real de la brecha. Y por ende, lo más probable es que sus contraseñas e información se hayan vendido y utilizado por delincuentes.Por otra parte, la respuesta y comunicación inmediata de estos sucesos por parte de las compañías es crucial para que el usuario pueda tomar medidas ante esta situación. Pero, por desgracia, no todas actúan como deberían.

Como usuarios, ¿qué podemos hacer?

 
En primer lugar, cambiar la contraseña de forma periódica de todos los sitios a los que accedemos, y por supuesto, siempre poner un 2FA a todas nuestras identidades. Utilizar servicios de e-mail temporales cuando nos registramos en sitios no relevantes para nosotros. También podemos utilizar herramientas como HaveIbeenPwnd ( en el año 2014 tenía 161 Millones filtradas y hoy son casi 12 mil millones) , o los servicios de Android y Apple para averiguar si nuestras identidades se ha visto afectado por alguna filtración.

Figura 4: Detect Compromised Identities en Apple iOS

Filtraciones Marcadas

Una de las cosas que sucede, sobre todo cuando nuestro correo aparece en un Paste o en una base de datos de la que no hay muchos datos, es averiguar qué plataforma fue la que tuvo el problema de seguridad. Para ello, puedes marcar tus direcciones de correo electrónico y saber dónde usaste ese correo. En Gmail puedes poner, en tu nombre de usuario, un "+cadena" que será omitido a la hora de que te llegue el mensaje a tu buzón. Es decir, para Gmail, todas estas direcciones son la misma:

- Luis+Twitter@gmail.com

- Luis+Facebook@gmail.com

- Luis+Instagram@gmail.com

- Luis+1@gmail.com

- Luis+2@gmail.com

- Luis+aaa1@gmail.com

De esta manera, si nos registramos en un sitio con la dirección luis+1@gmail.com y nosotros sabemos que esa dirección  ha sido filtrada por un fallo en una empresa concreta. Así, cuando nos registremos en un sitio web, si disponemos de un correo Gmail, podemos indicar lo siguiente: nuestradirección+identificacion_personal_de_ese_sitio@gmail.com de tal manera que cuando nos envíen correos desde dicha plataforma lo recibiremos de manera totalmente normal.

Figura 5: Ejemplo de mensaje enviado por Twitter

Y, con HaveIbennPwnd, con un pequeño script, podríamos controlar si alguna de las plataformas donde nos hemos registrado, ha sufrido un fallo de seguridad. Y podremos ejercitar nuestros derechos legales. Para ellos, hacerlo, como veis, podemos buscar una a una la dirección fácilmente.

 

Figura 6: Búsqueda en HaveIbennPwnd de la dirección de email marcada

Utilizando este método, como usuarios, podemos localizar el leak de información y tomar las medidas pertinentes cuando sea necesario. También, en caso de encontrar una lista con filtraciones servirá para identificar a la compañía a la cual le ha ocurrido este incidente de forma inmediata.

¡Un saludo hackers!

Autor: Luis Eduardo Álvarez (Contactar con Luis Eduardo Álvarez)  

Figura 7: Contactar con Luis Eduardo Álvarez en MyPublicInbox

La alerta de Facebook Protect por e-mail, ¿es un spear phishing o no?

Esta semana he recibido un correo de Facebook para avisarme de que tenía hasta el 9 de Abril para activar Facebook Protect o me podían bloquear la cuenta. Y como os podéis imaginar, me saltaron todas las alertas, ya que cumple las dos premisas de todo buen Spear Phishing, como el que usamos para robar tokens OAuth en Sappo.

Figura 1: La alerta de Facebook Protect por e-mail,

¿es un spear phishing o no?

La primera premisa, y más evidente, lógicamente, es que viene un correo electrónico desde FacebookMail dirigido hacia a mí, y el segundo, el motivo de urgencia que busca una acción de un usuario. Así que, orejas de punta y a ver si era de verdad o alguien me estaba intentando jugar una mala pasada.

Figura 2: El correo de Facebook Protect

Por supuesto, regla número uno, no hacer clic en el botón gordo de "Turn ON Facebook Protect", y revisar el código fuente de todo el correo electrónico, pero sin tocar absolutamente nada de ello. Al final, si es legítimo, tengo que activar algo de seguridad, así que más vale estar seguro de que sea legítimo y para qué. Y mirando el código fuente, todo parecía normal, pero... ni de broma hago yo clic en un enlace que me llegue así por e-mail.

Figura 3: Asistente de Facebook Protect

Lo siguiente, buscar información de Facebook Protect en la web de Facebook - que se configura en la parte de Configuración, Security & Login  para ver qué es y si tengo que configurar o instalar algo o no, que es raro porque yo tengo mis identidades en redes sociales bien revisadas, para estar protegido de los peligros en Internet.

Figura 4: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Lo curioso es que al final busca, principalmente, que se configure el Segundo Factor de Autenticación, algo que yo tengo desde hace mucho tiempo, que tengas una contraseña compleja, que tengas la cuenta de correo asociada controlada (y con un 2FA con Latch Cloud TOTP también en mi caso), y que tengas activadas las alertas.

Figura 5: Revisión de Facebook Protect de mi cuenta

Yo tenía todo activado y configurado, pero leyendo por Internet, parece que es una campaña de Facebook para proteger las cuentas con muchos seguidores para evitar que sea usadas para amplificar posibles ataques si estás son comprometidas. Lo curioso es que al mirar en las opciones de configuración, aparecía Facebook Protect como desactivado. Así que, como era una opción de seguridad dentro de mi cuenta de Facebook, comencé el proceso de activación como habéis visto en las figuras anteriores.

Figura 6: Pues parece que todo hecho, ya.

Así que, la activación de Facebook Protect quedó hecha con que solo pasara por el asistente, porque como habéis visto, revisa cosas que yo tenía ya bien configuradas. La pregunta es, ¿por qué me obliga a hacer este proceso si ya lo tengo bien hecho? Al menos, ahora, sí que aparece que tengo Facebook Protect activado.

Figura 7: Facebook Protect is ON

Acabado este proceso, queda pasar por la opción recomendada de "Important Security Settings", a ver si hay algo más que tuviera que configurar y no lo tuviera. Así que, nada, ya que estamos, a hacer otro proceso de seguridad.

Figura 8: Tres opciones de seguridad a revisar

Como se aprecia en la Figura 7, hay que mirar tres opciones de seguridad. 1) Que la password sea "robusta" 2) Que esté el activado el 2FA y 3) Que estén activadas las alertas de Login. Pues nada, a continuar.

Figura 9: Fácil de recordar y difícil de adivinar. Buena clave,

nada de usar passwords complejas en servicios online.

Y poco más, que todo lo tengo como debía de tenerlo. Así que a la pantalla final con todo en azul, como manda el asistente.

Figura 10: Todo ok.

Al final, lo que más me llamó la atención del correo electrónico es que me pedía que hiciera una revisión de seguridad que ya tengo hecha, y además con una fecha límite para hacerlo. Aunque en mi caso fuera un correo legítimo (es cierto que aparecía Facebook Protect como desactivado al principio a pesar de tener todo bien), esta alerta puede ser clonada y utilizada para ataques de phishing personalizados por ser un servicio de verdad, y por tener un motivo de alerta y preocupación para el usuario, como lo que contaba tiempo atrás con las alertas de Apple ID.

Conclusión

En mi caso era un correo legítimo, pero si lo recibes, no hagas clic. Ve a la web de Facebook y revisa manualmente las opciones. Hay herramientas como Social Phish para hacer justo este tipo de ataques de phishing clonando estas alertas, que combinado con el uso de otras herramientas del tipo de ShellPhish o Social Box,  son la forma más sencilla de que te roben una cuenta de Facebook sin 2FA.

Figura 11: ShellPhish v1.7

Así que, mucho cuidado siempre, que estos correos legítimos son los que mejor funcionan para el robo de identidades en redes sociales, así que no bajes la guardia nunca.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

La Policía Nacional Española detiene a cibercriminales que robaban cuentas bancarias con suplantación de identidad en el mundo físico

Esta semana ha habido varias noticias interesantes, y la segunda que me han llamado la atención ha sido la publicada por la Policía Nacional Española, donde informaban de la detención de una banda de 8 cibercriminales que se dedicaban a robar cuentas bancarias, haciendo los ataques de la forma más sencilla y curiosa posible. 

Figura 1: La Policía Nacional Española detiene a cibercriminales que

robaban cuentas bancarias con suplantación de identidad en el mundo físico

El ataque que realizaban consistía primero en robar la identidad de una persona propietaria de una cuenta bancaria. Es decir, por medio de ataques de Spear Phishing vía correros electrónicos y mensajes SMS o WhatsApp, - que los bancos también se han conectado a WhatsApp - convencían a sus víctimas para robarle los usuarios y contraseñas de los bancos, además de solicitarles documentos personales, entre ellos, el DNI o el pasaporte de la víctima.

Figura 2: Nota de Prensa de la Policia Nacional Española

Una vez conseguido el DNI o el pasaporte, además del número de teléfono, se dedicaban a ver cómo conseguían un duplicado de la SIM para conseguir que les llegaran los mensajes de firma digital en 2FA de las aplicaciones bancarias, y para ello, probaban en diferentes tiendas con diferentes estrategias para conseguir un duplicado de la SIM en la misma compañía o un SIM Swapping a otra compañía. 

Figura 3: Falsificación de DNI con cambio de fotografía

Y para hacerlo, hacían un proceso de suplantación de identidad en el mundo físico. Es decir, se iban a una tienda con un DNI o pasaporte falsificado - con la foto suya y los datos de la persona - o con una copia del DNI o el pasaporte original, y una caracterización suya similar a la persona de la fotografía, es decir, con una suplantación de la víctima en toda regla. Nada más fácil que lo evidente.

Cómo funciona este ataque

Lo más curioso es que, para hacer esta ataque dirigido a personas, no es nada complicado si la persona es descuidada. Y es un ejemplo de muchas de las cosas de las que hablé en la campaña del Día de Internet Segura que hice con TikTok, que os cuento.

- Ataque de Spam Phishing: Tu dirección de correo es tu usuario y muchas redes sociales, y no debería ser público. Si cae en bases de datos de Spam por ser público, te llegarán ataques de Spam Phishing bancarios, que, como decía en el vídeo, sigue siendo el principal foco de ataque a las personas a través de Internet. Para desincentivar esto, se creo MyPublicInbox, de tal forma que la forma de contacto público que se utiliza es un buzón protegido con Tempos.

Figura 4: @chema_alonso El #phishing sigue siendo el mayor riesgo #saferinternetday #escapadelhate #seguridadentiktok #diadeinternetsegura #diadeinternetseguro #email ♬ One Step Closer - Linkin Park

- Ataque de Spear Phishing: Para hacer un ataque dirigido, la forma más fácil para un atacante es conocer de ti lo que publicas en las redes sociales. Es decir, los datos que publiques en tus redes sociales se utilizan para hacerte buenos ataques de Spear Phishing porque los cibercriminales se leen tus publicaciones antes de hacerte un ataque dirigido.

Figura 5: @chema_alonso Los cibercriminales se leen tus redes sociales, cuidado con lo que compartes #saferinternetday #escapadelhate #seguridadentiktok #diadeinternetsegura ♬ One More Light - Linkin Park

- Spear Phishing por SMS o WhatsApp a número de teléfono: De igual forma forma que una dirección de e-mail puede caer en una base de datos de Spam Phishing, el número de teléfono también puede caer en una de esas bases de datos, y en muchas ocasiones, estos números se filtran. Ya os conté el caso de Pipl que filtraba los números de teléfono, y antes tuvimos mucho tiempo Infobel dándote números de teléfono de personas.

- Segundo Factor de Autenticación: Cuando creamos Latch, una de las características que más nos molaba es que imposible saber qué cuenta de Latch debes atacar una vez que has vulnerado una cuenta, ya que con un SMS o cualquier otro mensaje OTA u OTT vía app que vaya a un número de teléfono, el atacante sabe qué debe robar. Con Latch, no sabe qué cuenta debe robar nunca.

Figura 6: @chema_alonso Pon un 2FA (Segundo Factor de Autenticación) en tus identidades digitales #seguridadentiktok #saferinternetday #diadeinternetsegura ♬ The Kill (Bury Me) - 30 Seconds To Mars

- DNIe: El problema de no haber masificado el uso del DNIe para probar la identidad de una persona - y que todavía tengamos documentos DNI NO electrónicos - hace que siempre sea posible presentar un documento que no obligue a forzar la firma digital para probar la identidad.

Figura 7: Libro DNI-e: Tecnología y usos

en 0xWord de Rames Sarwat

- DNIs y Pasaportes falsos: Los documentos más antiguos - legados - son aún fáciles de falsificar, y en la Deep Web, hace años, que se venden documentos de diferentes países y formatos. Así que si alguien quiera algo medio- profesional, no es tan complicado.

Figura 8: Decenas de DNIs disponibles en las primeras búsquedas de eMule

- DNIs y Pasaportes publicados en redes sociales y eMule: No es la primera vez que yo mismo hago una prueba a ver qué nivel de seguridad tiene la gente con sus documentos de identidad, y en redes sociales publicados y hasta en el eMule compartidos era fácil localizar DNIs.

Reflexión Final sobre el leak del DNI en webs de banca online

Teniendo en cuenta lo que se necesita para hacer este ataque, que a la postre son, credenciales de acceso a banca online, número de teléfono, y DNI para conseguir el duplicado de la SIM, y viendo cómo funcionan estos atacantes, pueden empezar por cualquiera de los puntos de la cadena. Por ejemplo, comenzar con una base de datos de Spam Phishing probando bancos aleatoriamente, y una vez obtenidas las credenciales, descubrir sus datos, y buscar su número de teléfono su DNI. 

Figura 9: Leak del login con el DNI. Si el DNI no está registrado

en este banco, te da un mensaje de error.

O viceversa. Es decir, buscar primero un DNI, descubrir a qué banco pertenece - que algunos de ellos también sufren del "Leak del Login" pero en DNI, y luego hacerle el ataque de Spear Phishing para robarle las credenciales bancarias una vez que lo hayan estudiado.

Figura 10: Cómo el DNI está registrado en el banco, comienza

el proceso de recuperación de claves y te da los últimos 4 dígitos

de la tarjeta de crédito que tiene ese DNI.

Es decir, cualquier dato que acabe siendo público en Internet que sea personal o informativo de tus servicios, va a ser utilizado en este tipo de ataques, porque siempre les va a ser mucho más fácil. Así que, ten mucho cuidado con todas tus identidades digitales, y con tu propia identidad personal.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Los monstruos de Halloween que llaman a tu puerta

Si echo la mente atrás, la cantidad de veces que me he disfrazado es enorme. De casi todo. Pero es que dar charlas haciendo algo divertido ha sido una de las grandes motivaciones para subirse a un escenario que he tenido en mi vida. Y subirse disfrazado suele ser un buen planteamiento de cómo hacer la charla.  No os las dejo en el artículo de hoy porque podéis buscar en Internet y encontrar fotos de todo tipo. 

Figura 1: Los monstruos de Halloween que llaman a tu puerta

También he visto a algunas personas disfrazadas de Chema Alonso, porque al final soy facilón para imitar. Dos camisetas, vaqueros, zapatillas rojas, gorro azul y marrón, y pelo largo por debajo. Done. No hay mucha complicación. Y yo hoy me volveré a disfrazar, con máscara, y lo mismo hasta la uso para hacer el Tiktok que quiero hacer - que ya han pasado muchos días sin hacer uno  -. Ya veremos en un rato.

Ver esta publicación en Instagram

Una publicación compartida de Chema Alonso (@chemaalonso)

Lo curioso de este día es que las personas normales se disfrazan de monstruos, cuando el resto del año los monstruos se disfrazan de personas normales. Un día en el que los monstruos van llenos de color por la calle. Colores llamativos para atraer las miradas de todos. Es un poco como el correo legítimo, las newsletters y el spam. Cuantos más colores tengan en el mensaje más monstruoso es el mensaje.

Figura 3: Emoticonos en los Monstruos con lentejuelas de Halloween que llegan por Spam

Basta con que vayas a tu carpeta de SPAM y eches una mirada a los colores que puedes leer en los nombres de los remitentes y en el asunto de los mensajes. Emoticonos coloridos que compiten por tu mirada, pero que no dejan de ser una muestra de cuánto de peligroso y monstruoso es ese e-mail que has recibido. 

Figura 4: Mi monstruo de Hallowen de este año me quiere regalar un iPhone 12 Pro

Pero recuerda, a estos con colores se los reconoce fácil. Van disfrazados de monstruos y se les ve venir. El problema son el resto del año, donde los monstruos van disfrazados de personas normales o de amigos que te van a regalar un iPhone 12 hoy, la noche de Halloween. Los mensajes de e-mail de los verdaderos  monstruos parecen inofensivos el resto del año, son sobrios mensajes de gente mundana. Cuídate de ellos más que de los monstruos de brillantina y lentejuela de Halloween, que son estos que no ves venir los que deben traerte mayor miedo....

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Los cibercriminales que entraron en tu empresa por WhatsApp: "Me he cambiado de número"

Uno de los trucos que hemos visto últimamente que están utilizando los cibercriminales para colarse dentro de las empresas se basa en aprovechar el excesivo número de comunicaciones empresariales que se tienen a través de WhatsApp, cuando este canal debería ser un canal de comunicación social. Hoy en día es muy normal que miembros de una empresa que tienen una comunicación personal muy limitada tengan interacción por WhatsApp, y en algunos casos, incluso, que se manden hacer tareas o se tomen decisiones por este canal.

Figura 1: Los cibercriminales que entraron en tu empresa

por WhatsApp: "Me he cambiado de número"

Esto es conocido por los cibercriminales, y han empezado a utilizarlo de manera sistemática para conseguir el objetivo de que alguien de la empresa con acceso a las cuentas bancarias haga una transferencia porque cree que viene del CEO. Es decir, es la estafa del CEO pero utilizando una clonación tan sencilla como copiar la foto de WhatsApp y el nombre que el CEO - o ejecutivos clave de la compañía - tienen en su cuenta. 

Figura 2: Libro de "Cómo protegerse de los peligros en Internet"
escrito por José Carlos Gallego en 0xWord

Una vez que lo han hecho - y por eso es tan importante el leak de que se vea el nombre del WhatsApp en todas las comunicaciones, lo que facilita el Spear-Phone Phishing -, comienzan enviándole a alguien de su equipo cercano un mensaje con "Me he cambiado de número". 

Figura 3: El leak de WhatsApp que filtra tu nombre

Para ello, buscan los contactos cercanos, pero no extremadamente cercanos, que esta persona tiene en la empresa, y especialmente por la rama financiera, para conseguir que se den por buenas las órdenes que lleguen por WhatsApp.

Figura 4: Proceso de cambio de número en WhatsApp

Lógicamente, el caso del "Cambio de número en WhatsApp" está más que contemplado en la app, y si realmente te cambias de número la propia plataforma te ayuda a que todas las personas reciban un aviso y automáticamente se migren todos los grupos, canales de distribución, y personas que te tienen en la agenda, a ese nuevo número.

Figura 5: Alerta de cambio de número de WhatsApp de mi compañero.

Por supuesto, los cibercriminales pueden usar el truco de "Éste es mi número personal" o cualquier otro, pero ya no el de "Me he cambiado de número", así que, si recibes este mensaje desde alguien en WhatsApp y en su canal de chat antiguo no te sale la alerta, más te vale que tengas mucho cuidado que puedes estar siendo la puerta de entrada de un APT a tu organización.

Figura 6: Notificaciones de Seguridad en WhatsApp

Por último, cabe resaltar que el equipo de seguridad de WhatsApp va añadiendo nuevas notificaciones de seguridad que puedan ser de interés para los usuarios cuando se descubren nuevas amenazas, por lo que siempre es recomendable tener activadas las notificaciones de seguridad y entender qué significa cada una de ellas que WhatsApp nos envía.

Figura 7: Imbox, la solución de la Policía

Para evitar este tipo de ataques, y otros derivados de utilizar redes de mensajería instantánea abiertas, los cuerpos de seguridad como la Policía, o las empresas preocupadas por la seguridad de los directivos, utilizan soluciones como Imbox, con la que trabajamos en ElevenPaths.

Saludos Malignos

Autor: Chema Alonso (Contactar con Chema Alonso) - Consigue 100 Tempos en MyPublicInbox

Un "pequeño" leak de privacidad de WhatsApp con tu nombre para hacerte Spear-Phone-Phishing

Hoy quería hablaros de un pequeño Leak de privacidad de WhatsApp que he estado intentando entender durante unas semanas, hasta que ayer ya le pedí a mi grupo de amigos que me ayudaran para poder entender bien cómo funciona esta incontrolable característica de privacidad que me ha tenido intrigado durante un tiempo.

Figura 1: Un "pequeño" leak de privacidad de WhatsApp
con tu nombre para hacerte Spear-Phone-Phishing

Como sabéis, cualquier pequeño detalle en las apps de mi iPhone lo persigo para entender las configuraciones por defecto, los funcionamientos, y si pueden ser "weaponizadas" o no. Fruto de esa observación luego salen cosas como Dirtytooth, las JavaScript Botnets para controlar los iPhone con Fake APs por no hacer filtrado de BSSID, el bug de WhatsApp for iPhone FaceID ScreenLock ByPass, Desbloquéame WhatsApp, o los artículos sobre la privacidad de Telegram, cómo evitar el check azul en mensaje de audio WhatsApp, el leak de privacidad en iPhone que des-oculta tu número de teléfono o cómo ocultar tu foto de perfil a un solo contacto de WhatsApp, por citar solo algunos.

Figura 2: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Todos ellos al final van generando un compendio de cosas que luego metemos en el libro de Hacking iOS: iPhone & iPad (2ª Edición) de 0xWord, o que yo utilizo para hacer otras investigaciones como el caso de las Gremlin Botnets. Se trata de entender cómo funciona algo para ver si está funcionando bien, mal o puede ser "weaponizado". Y éste leak en concreto tiene unos puntos curiosos.

La privacidad de tu información en WhatsApp

Cuando te configuras una cuenta de WhatsApp que vas a utilizar en tu vida personal o profesional, básicamente añades tres cosas, que son: Tu Fotografía de Perfil. Tu Nombre. Tu información de "Sobre mí" o "About". Tres cosas muy sencillas que tienes en la siguiente imagen.

Figura 3: Nombre, Foto de Perfil y Sobre mí en WhatsApp

Y ahora le damos algo de protección a esa información. En WhatsApp puedes configurar las opciones de privacidad para que tu información más personal, es decir, tu fotografía, la información de última conexión - que servía para hacer mapas de uso remotamente como nosotros hicimos con Telegram -,  tu información de "About", tu Estado - si usas las "stories" de WhatsApp - no se comparta con nadie que no esté en tu agenda de contactos. 

Figura 4: Opciones de Privacidad. Nada sobre Nombre

A esto, además, puedes configurar quién te incluye en Grupos de WhatsApp, que tiene que ver con el problema de "Desbloquéame" y el "Spam" de los que ya hablamos. Hasta aquí todo bien, pero resulta, que hay algo que no entra en esa categoría. Algo que no hay forma de controlar a quién, cómo y cuándo se comparte. Y es tu Nombre en WhatsApp. Y el problema es que no se puede controlar.

 

Por alguna razón, WhatsApp comparte tu nombre con todo aquel al que envíes un mensaje una vez, esté en tu agenda de contactos o no lo esté, y no hay forma de evitar que lo haga.

Es decir, que si a alguien que se ha equivocado le has contestado "Te has equivocado", le has enviado tu nombre de WhatsApp. A todo usuario al que le hayas escrito un mensaje. Y como digo, no hay opción de privacidad en WhatsApp para evitar esto.

Cómo sacar el nombre de los usuarios de WhatsApp

Visto esto, yo he estado usando esta característica para poder sacar información de mis contactos de WhatsApp cuando los tenía apuntados por un apodo, por un mensaje mnemotécnico o simplemente por curiosidad. El proceso es sencillo.

1) Vete al chat de WhatsApp de uno de tus contactos y deja WhatsApp abierto en esa pantalla.

2) Vete a los contactos de tu iPhone o Android y busca a ese contacto. Elimínalo.

3) Vuelve a WhatsApp y pincha sobre el número de teléfono de ese chat para ver la información del contacto.

4) Debajo del número de teléfono aparece el nombre el usuario sin que esa persona sepa qué hacer para evitarlo.

Figura 5: Ese número es de Laura Murillo.

(Gracias por colaborar en el experimento ayer)

Claro, esta es una opción de accesibilidad muy chula, pero si el usuario no puede controlarlo es un leak de privacidad que puede ser utilizado malamente el problema puede ser grande. Primero porque no sabe que esto funciona así. Segundo porque no lo puede controlar Y el que conozca este truco lo puede usar en su favor, como hacen los magos.

Figura 6: Libro Open Source INTelligence (OSINT):
Investigar personas e Identidades en Internet

Para ello, imagina que tú quieres saber quién se esconde detrás de un número de teléfono en un Doxing para hacer informe de Ciberinteligencia (OSINT) e investigar una persona o una identidad como explican Vicente Aguilera y Carlos Seisdedos en su libro, que es algo muy común en una investigación. El proceso en este caso con este leak es muy sencillo:

1) Dalo de alta en tus contactos de iPhone o Android

Figura 7: Apple nos dice que tiene un iPhone porque activa FaceTime, lo que

será más información para el ataque de ingeniería social para robarle el AppleID.

2) Búscalo en WhtasApp y mándale un mensaje de ingeniería social. 

"Perdona, hemos encontrado una cartera con un DNI y este número de teléfono. ¿Has perdido por casualidad tú cartera?". 

3) Borra el contacto de iPhone o Android y ve a la info de ese chat en WhatsApp antes de que conteste. Verás que no sale el nombre de quién tiene ese número de teléfono.

Figura 8: Aún no vemos su nombre

4) Espera un mensaje de contestación por WhatsApp. Verás que aparece el nombre.

Figura 9: Se puede ver el nombre de Malena. La hija de un amigo que

se prestó a jugar conmigo al juego de "¿sabes quién soy?"

Lo que permitiría a una persona que se hiciera con el listado de números de teléfono, por ejemplo, contratados por una empresa, averiguar quién está detrás de cada uno de ellos, para preparar un ataque más elaborado o para hacerte una venta más dirigida, o como vamos a ver, robarle las cuentas a cada uno de ellos con Ingeniería Social y Spear-Phone-Phishing.

Spear Phone Phishing

Vamos a suponer un escenario de Spear-Phone-Phishing en el que queremos robarle las credenciales de acceso a un servicio a una persona, para ello queremos que nos de el Token de autenticación de WhatsApp para registrar su cuenta, o el Token de Verificación para cambiar una contraseña de un servicio.

Figura 10: Cambio de contraseña protegida por token de verificación

Es decir, registramos el número de WhatsApp en un terminal y nos falta el paso de conseguir su Token de autenticación - ese que podríamos recoger del buzón de voz -, o imaginad que queremos recuperar la contraseña de AppleID o Google, o cualquier servicio donde se haya configurado el número de teléfono como forma de recuperar la contraseña. La conversación podría ser como sigue.

- "Hola buenos, días, ¿Es usted Pedro Martínez?"

Pues claro que saben que eres Pedro Martínez, ya lo han sacado con un número falso o un bot de WhatsApp e ingeniería social con el leak anterior, y ya tienen ese dato antes. Y ya, de momento, sabes que es una llamada para ti y te pones en otro modo.  Y ahora le damos el toque de Ingenieria Social que dinamite la protección que todos tenemos metiéndole un punto de nerviosismo extra a la persona poniendo en riesgo lo que más preocupa: Su dinero. 

Figura 11: Bizum te dice si un número de teléfono lo está usando e incluso los datos

del titular de la cuenta bancaria (Nombre y Apellidos). En este artículo lo explico.

Como decía antes, si te llaman por tu nombre a tu número de teléfono particular seguro que ya le haces más caso. Ahora, si esta información la completan, por ejemplo, sacando las iniciales de tus apellidos y sabiendo que tienes una cuenta en un banco, usando el truco de Bizum que os conté hace tiempo, el ataque es mucho más efectivo. Vamos a meterle el miedo en el cuerpo.

- "Sí, soy yo, ¿qué quería?" 

 

- "Le llamamos de la seguridad de pagos bancarios de su banco. Por motivos de su propia protección y seguridad vamos a grabar esta conversación.  

 

- "Señor Martínez, ¿ha hecho usted un pago hace 20 minutos por Bizum por valor de 500 €?"

Claro que no los ha hecho, es una trola. Pero como buenos magos tenemos datos que le han metido el miedo en el cuerpo. Sabíamos su nombre, su número de teléfono particular, sus apellidos - al menos las iniciales -, y sabíamos que usa Bizum. Y que le diga que hay 500 € que han salido de su cuenta es el acicate principal para que la víctima tenga un nuevo objetivo: Recuperar su dinero. El atacante ha alienado sus objetivos con los de la víctima. 

- "No, no, yo no he hecho ningún pago".

- "Tranquilo, señor Martínez, vamos a proceder a verificar que usted es el dueño de la cuenta y le daremos la opción de anularlo. Le vamos a mandar un mensaje con un código de seguridad desde la plataforma de pagos para que podamos garantizar que usted es quien dice que es. Le llevará a su WhatsApp/iPhone/Android".

En ese momento el atacante pide el código de verificación que quiera y le llega a la víctima. Si el atacante le quiere robar el WhatsApp, y le ha dicho que a la víctima le va a llegar por WhatsApp todo estará ok para el usuario cuando le llegue ese mensaje de WhatsApp. Lo verá normal. Si le quiere robar el AppleID y le llega desde Apple al iPhone, todo ok. Si le quiere robar la cuenta de Google y le llega un mensaje al Android desde Google, todo ok también. Y si es otra cuenta o servicio, el resto de la conversación es sacarle datos para luego poder robarle claves de acceso en tiempo real a sus sistemas, o lo que el estafador quiera, que los hay muy imaginativos. 

Figura 12: Libro de "Cómo protegerse de los peligros en Internet" de 0xWord
de José Carlos Gallego Cano

Al final, lo que os contaba al principio, es un sencillo leak de privacidad de WhatsApp que no entiendo porque no se puede controlar. Creo que WhatsApp debería meter esa opción dentro de las opciones de privacidad como un selector. Además, es bastante peculiar porque la mayoría de los usuarios no son conscientes de que esto pasa, lo que lo hace más peligroso aún.  Os dejo la explicación en vídeo.

Figura 13: WhatsApp no permite controlar con quién compartes tu nombre

Supongo que, como sucedió con las opciones de los grupos de WhatsApp en Desbloquéame, acabarán metiendo esta opción de privacidad, pero mientras tanto, vigila qué información pones en tu nombre porque se la vas a entregar a todo el que envíes un mensaje de WhatsApp, lo tengas en contactos o no. Mientras tanto, toma todas las protecciones personales que puedas y ten cuidado con quién te envías mensajes.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso) (Consigue 100 Tempos gratis con ESET)

Figura 14: Chema Alonso en MyPublicInbox