twitter

Cómo robar una contraseña de Twitter Paso a Paso

Curso de seguridad informática
Curso de seguridad informática

Para los que ya me conocen, o han estado en alguna de mis conferencias, saben muy bien qué es lo que pienso de los usuarios en general, y en que en muchos casos no importa cuan sofisticado sea el sistema de seguridad, los usuarios siempre encuentran la forma de crear vulnerabilidades. Ciertamente en muchas ocasiones son errores de la propia aplicación, pero el caso que voy a comentar a continuación es el más común.

Twitter se ha convertido en la red social por excelencia para que todos digan lo que quieran, donde además hay muchas personalidades populares, desde artistas y atletas famosos, hasta presidentes, ministros y demás figuras públicas, así como también de personajes ficticios que también tienen algo que decir (gatos, perros, barandas, entre otros).

Es por ello que suplantar la identidad de una cuenta con muchos seguidores en Twitter es verdaderamente atractivo, y sobre todo las cuentas verificadas, que una vez un atacante malicioso consiga acceso, podrá hacer y deshacer con la imagen de la victima en la red social. Recientemente se conoció un caso donde un empleado fue despedido por comentarios sexistas en su Twitter, que no seguían con el lineamiento de la empresa, lo que demuestra como puede afectar nuestra identidad virtual a la vida real.

La técnica predilecta para conseguir los datos de una cuenta se basa en un Phishing básico, utilizado comúnmente para vulnerar usuarios en bancos. El procedimiento es el siguiente:

1.- Crea una página falsa igual a la original

Si observan detenidamente en la barra de direcciones dice: http://itwitier.com/… Apuntando a errores de escritura por parte de los usuarios, lo que es conocido como Typosqatting.

2.- Ocultar la dirección con un cortador de URL’s

Si no pueden crear un dominio falso, es Fundamental ocultar la dirección con la que realizaras el ataque en servicios como bit.ly o is.gd, permitiendo que nuestra víctima llegue al portal falso sin sospechar nada, porque el típico comportamiento del usuario indica que nunca leerá la barra de direcciones para verificar que se encuentra en el sitio correcto. ¿No me crees? Pregúntate a ti mismo cuantas veces has visto la barra de direcciones al navegar.

3.- Enviar la dirección de la página a nuestra víctima por DM o Mención 

Con un mensaje llamativo como: “Necesito ayuda para …”, “Mira este vídeo que acabo de hacer”, “Esta foto tuya esta deprimente”, o similares. Lo importante es que sea un mensaje jugoso que active la curiosidad de la victima.

4.- Redireccionar las peticiones de inicio de sesión para no levantar sospechas

Cuando nuestra víctima llegue al portal, va a colocar su contraseña, y luego de su primer intento debemos enviarlo a la página real con un mensaje de intento fallido. La víctima volverá a colocar su contraseña en el portal real y le va a funcionar sin problemas, por lo que no sospecharan nada.

En conclusión

Los sistemas de seguridad de las redes sociales actuales son bastante buenos, es por ello que no se espera un ataque frontal a los mismos, en lugar de ello se ataca al usuario con un poco de ingeniería social. Un claro ejemplo de esto es el ataque contra las tarjetas de coordenadas del banco mercantil.

Recomendaciones

Leer, leer, leer. Hay que estar muy pendientes de ver que los sitios sean verificados, en muchos casos esto se logra con las firmas de entidades como Verisign, o la presencia de certificados SSL válidos; que las direcciones sean correctas (sin errores ni detalles); y sobre todo que cuando se inicie sesión la conexión sea HTTPS VERIFICADA.

Un poquito de conciencia de usuario y paranoia es la mejor mezcla para sobrevivir los ataques más básicos en el Internet.

Segundo nivel del curso de seguridad informatica ofensiva.
Segundo nivel del curso de seguridad informatica ofensiva.

 

4 pensamientos sobre “Cómo robar una contraseña de Twitter Paso a Paso”

  1. Buen articulo Alex, al principio de verdad pensé que el ISP tendría algo que ver, dado que el ataque tiene un corte político visible. Pero el phishing es mucha mas factible y sencillo. Hace unas semanas me di cuenta que algunas cosas en facebook habían cambiado para mejor “tal vez”; como lo es la verificación de 2 pasos al estilo de gmail. Ojala la gente utilice estas herramientas y además de tus consejos y puedan proteger su información privada, pues al final del día eso es lo importante.

  2. Excelente post, cabe destacar que de esta misma manera se estaba operando para hacer robos de contraseñas del banco Banesco, una p{agina identica que simulaba ser la pagina original pero al ver la URL se podria verificar la falla,en realidad la p{agina de pies a caveza totalmente identica un error que quizas se pudo perfeccionar con una javaScript y simular tambien la URL original.

Deja un comentario