« // »

Cómo hackear usuarios ( ingeniería social? o phishing )

Posted on September 13th, 2007 by eskizo

Ayer, por segunda vez en las ultimas semanas, me llegó un correo bastante convincente, de un banco. Precisamente en los ultimos dos meses, ya me habian hablado del banco donde tengo mi cuenta y acceso por internet, argumentando que tenia “movimientos extraños” que podrían significar fraude. En aquella ocasión, me lo hicieron saber, y me recomendaron hablar inmediatamente y de manera directa al banco, el número viene al reverso de la tarjeta o se puede buscar en su sitio. Y bueno, estos son los pasos que usaron estos fulano(s) que enviaron correo, para aprovechar este “feature” de los bancos de comunicar cuando algo raro pasa con tu tarjeta, y poder tener cuentas de banco gratis:

1. El correo. En mi caso muy particular, me llegó a mi cuenta de gmail. El sistema de gmail tiene un bug que permite que los correos lleguen al inbox en lugar de que lleguen como spam. El truco consiste en tener un sistema de correo que cumpla la mayoria de las reglas que piden, pero la clave del bug es poner en el FROM del correo a no-reply@google.com o noreply-mail@google.com ( no se si funcione con @gmail.com ). Yo mismo comprobé enviandome un correo de un servidor, con este FROM en los headers, y efectivamente, me llegó a mi inbox. Parece que después de 1 mes, no han arreglado este bug.

2. Conseguir un dominio parecido al de algun banco, o que parezca legítimo. En mi caso, me llegó un correo de data-exchange.co.tz/boa/ssl/online , pero para los que sabemos, de inmediato te das cuenta que no estas en un sitio con ssl ( obviamente no dan certificados para sitios fraudulentos ). En el otro caso ( no recuerdo si clamaban ser bank one o bank of america ), utilizaban en el URL la IP en hex, de manera que la gente “normal” no pueden darse cuenta de la ip o dominio en sí. Como ejemplo, saca la IP de youtube.com que en mi caso me resolvió a 208.65.153.238. Convirtiendo estos en hex, te da D0 41 99 EE, con lo que puedes entrar al sitio como http://0xd04199ee/ , de manera que puedes confundir al usuario. Ese es el primer paso.

3. Copia del diseño. En ambos casos el diseño era una copia fiel del sitio al que trataban de fraudar. Mismos logos, mismo layout, mismos fonts, mismo todo ( recordé las veces que hice esto para obtener algunas cuentas de hotmail :D ). Los usuarios “normales” de internet creen todo lo que ven, y si se sienten como en el sitio “original”, ya v….

4. Acceso. De entrada, los sitios piden los datos de acceso a la cuenta de internet. Yo al no tener una cuenta en ese banco ( y aunque la tuviera ) le inventé cualquier cosa como login y pass ( digamos phised / user ). Cualquier cosa que le pongas a esta página de acceso, magia!!! te deja entrar. Para los usuarios “normales”, esto es parte del procedimiento, y meten su login y pass actuales. Para el defraudador, ya tienen una pieza ganada: el acceso del usuario al sitio del banco. Además de todo, el login y pass se guarda en sesión en el servidor, más adelante sabrán para qué :twisted: ) .

5. “Actualización de datos”. Voilá! Despues de hacer login con datos fantasmas, te dice que has entrado al sistema, y sobre el problema que ha sucedido en tu cuenta, o cuentas, o el sistema, o pueden inventar miles de cosas, pero te piden que porfavor actualices tu información. Te piden nombre, dirección, teléfono, obviamente tu numero de tarjeta, y … si!!! tu numero de verificación de tu tarjeta!! jajaja ( esos tres numeritos que te piden cuando haces una compra ). Con el número de tarjeta, numero de verificación y dirección ya los usuarios “normales” les regalan cualquier compra que puedan hacer por internet. Eso es lo mas gacho.

6. “Gracias”. :| Ajá. ( Gracias por regalarme tu dinero, tus cuentas, tu dirección, acceso a tu cuenta bancaria y, para usuarios “normales”, acceso a su im, hi5, blog, myspace, o cualquier otras cuentas que puedan tener, ya que usan el mismo password para todo :) ). Y gracias, y que esto es para prevención de fraude o cosas extrañas, blablabla, un botón para continuar.

7. Lo mejor de todo, después de tanto meterle tanto a la mente del usuario, con el user y pass que traes en sesion, despues de clickear el botón de ‘continuar’, haces un post al sitio auténtico, y si el login y pass fueron puestos bien a la primera, el POST te autentifica en el sitio real, metiendote a tu cuenta de verdad, haciéndote creer que todo lo que hiciste fue, de verdad, algún procedimiento del banco.

Esta vieja “técnica” se llama phishing, e incluso hoy en día se aprovechan de vulnerabilidades tecnológicas y la credibilidad de los “users”. La mejor manera de evitar estos fraudes, es orientar a los usuarios “normales” a aprender a no creer todo lo que ven en internet, al menos a los usuarios que nos importen. Simplemente que no metan informacion por internet de algun sitio que lleguen de repente ( si van a entrar al banco, que SIEMPRE escriban el URL del banco directamente en el browser ). Que siempre observen que cuando estan metiendo información, hay un https ( con S ) en el URL, o el candadito que indica que estás con ssl.

Tags: People and stuff, Tech // 7 Comments »

7 Responses to “Cómo hackear usuarios ( ingeniería social? o phishing )”

  1. jani // Sep 13, 2007 at 3:50 am

    Qué canallas esos phishers o wtf se les diga… Lo bueno es que, como decía sabiamente mi amá: “al que obra mal, se le pudre el deste”… Confío en que el dicho siga vigente… Saludines

  2. Pao // Sep 13, 2007 at 4:25 am

    mmm pues… les ha pasado a todos, ahora por el internet quieren toooodos tus datos… no se quien sera que los da por el internet? mejor ir al banco en persona? quien hace eso? no se puede confiar en nadie, menos a un sistema pidiendo tu info.

    Aveces dicen que al abrir el mail y ir al sitio de fraude, aunq no hayas entrado tus datos, si estas en el mismo browser ve donde vas, y el login/pass de los otros sitios que vas… asi que mejor ni abrir el link o si lo abres, cerrar el browser y abrir otro….

    es posible esto? que hagan tracking despues que habras el link?

  3. Eskizo // Sep 13, 2007 at 5:17 am

    Lo mejor es hablar por telefono al banco. Si tienes internet, no veo porque no puedas tener algun telefno a la mano.

  4. Eskizo // Sep 13, 2007 at 5:25 am

    Y con respecto a la pregunta, pueden hacer track de los URLs que visitas, pero la mayoria de la informacion que envias no. Los toolbars que instalas, esos si pueden hasta leerte la mirada ja.

  5. eskizo // Sep 13, 2007 at 9:38 am

    y de pilon me llega este correo jajajjaa
    ===================
    Bank Of America Security Center

    show details
    3:01 pm (34 minutes ago)

    We recently have determined that different computers have logged onto your Online Banking account, and multiple password failures were present before the logons. We now need you to re-confirm your account information to us.

    If this is not completed by September 14, 2007, we will be forced to suspend your account indefinitely, as it may have been used for fraudulent purposes. We thank you for your cooperation in this manner.

    To confirm your Online Banking records click on the following link:
    cpe-76-87-129-217.socal.res.rr.com

    Thank you for your patience in this matter.

    Bank of America Customer Service

    Please do not reply to this e-mail as this is only a notification. Mail sent to this address cannot be answered.

    2007 Bank of America Corporation. All rights reserved.

  6. Pao // Sep 13, 2007 at 10:58 am

    I was trying to access your bank account, and i guess they caught me :(

    jejejejeje. :D

  7. Doodee // Feb 3, 2008 at 8:08 pm

    Thanks for sharing

Discussion Area - Leave a Comment




« // »