Mi amigo Facebook… Parte 2.

Mi amigo Facebook Parte 2

Hace unos días atrás escribí sobre cómo utilizar el dato suministrado a Facebook del número de teléfono (supuestamente en forma controlada y privada, donde se le puede indicar como medida máxima de protección solo lo vean los “amigos”), para buscar el nombre real de una cuenta que se desconoce, o hacer un ataque dirigido a un rango de teléfonos, incluyendo mi versión favorita, el Phishing.

Pues bien, siguiendo con la temática del teléfono, Facebook, siempre pensando en nuestras comodidades, ha incorporado la posibilidad de hacer inicio de sesión con ese dato. Anteriormente, únicamente era posible hacerlo con una cuenta de correo y Password.

Ahora, el número de teléfono registrado es un dato factible en pro de mejorar la “experiencia de usuario”. ¿Cuál sería la razón para una persona que utiliza una red social con cierta frecuencia no recordar su correo electrónico que registro en Facebook?, la verdad lo desconozco… pero ese lerdo, es probable que si recuerde su número de teléfono.

Logon de Facebook con numero de telefono

Logon de Facebook con numero de teléfono

Sin embargo…. al tener tu numero registrado Facebook no distingue si el usuario que esta “intentando” ingresar eres tu realmente y se vale de segundos elementos de seguridad para certificar esto y proveerte de ayuda en caso de “necesitarla”.

Por Ejemplo, ya habiendo identificado el número de teléfono de la víctima por cualquier medio, verificado que exista como dato registrado en Facebook (ver Mi amigo Facebook…), se puede proceder a intentar aplicar un ataque de fuerza bruta, realizando Logon con dicho numero o uno muchísimo más elaborado en cadena.

Para ello es algo tan fácil como colocar el número de teléfono y cualquier cosa que se nos ocurra como contraseña y empezamos…

Facebook entrando en conflicto.

Facebook entrando en conflicto.

Si seguimos ese camino, es decir, colocando aleatoriamente contraseñas, que de entrada lo más seguro serán errónea, Facebook avanza al paso 2 de estupidez. Personalmente me encanta el nivel de seguridad aplicado, donde te pregunta si realmente eres tú…

¿¡Eres tu o no!?

¿¡Eres tu o no!?

Vamos a suponer que tu grado de honestidad es nula, y decides “Sorprendentemente”, a pesar de NO ser tú, decir que si eres… y le damos Click. Ahora, si hemos llegado a este punto, ¿Sera que NO me se la contraseña?, para que rayos quiero “Volver a intentarlo”…. Opciones Inútiles!.

Otra opción inútil.

Otra opción inútil.

Al intentar, obviamente, de cambiar la contraseña, se divide las opciones. Tenemos que tener claro que esto no es precisamente para fastidiar a la novia o el novio, al amigo, etc., hay que pensarlo como un ataque serio, a una página comercial, una página de marca, etc.

Eso quiere decir, que los Cyberdelicuentes que puedan implementar este tipo de ataques tienen otras herramientas o aplican diferentes direcciones del ataque para lograr el éxito, en este caso por ejemplo, existen ataques tipo MitM para lograr adquirir tus credenciales de correo electrónico (si es que ya no las tiene google… puedes ver aquí).

Con respecto al teléfono, los mensajes de texto (SMS) no van cifrados, por lo cual, cualquier ataque de captura de datos por rango de frecuencia, o ataques a los operadores, algunas cosas que a la final se ven tal cool como lo explicado de las conexiones 3G y 4G en la última conferencia BlackHat USA 2015 pudiera ser implementado.

Dicho esto, continuando con el experimento, tenemos lo siguiente:

por donde te fregaran, correo o teléfono.

Por donde te fregaran, correo o teléfono.

Aquí hay que decidir por cual vía atacar… teniendo el correo o hackeando el SMS del teléfono.

Ahora, además de la pregunta idiota de la semana (¿No eres tú?), tiene un link de lo más interesante… “¿Ya no tienes acceso?, al darle click al mismo, las opciones que se nos presentan pueden representar una oportunidad para lograr apoderarse de una cuenta importante, todo dependiendo de lo que Facebook considere.

Ya no tengo acceso...

Ya no tengo acceso…

Esta es una ventana de información que no serviría para nada, dependiendo de tu proveedor de correo electrónica te derivan a cada proveedor para aplicar la recuperación de contraseña, de la cuenta de correo no de Facebook. Sin embargo, lo que si interesa es la persecución del “No puedo acceder a mi dirección de correo electrónico…”

Nueva cuenta de dirección de Correo Electrónico.

Nueva cuenta de dirección de Correo Electrónico.

Entiendo que Facebook considera todas las opciones posibles de autogestión en la recuperación de tu cuenta, pero… llegar a este punto es más que triste, y todo a partir de un número telefónico que puede ser obtenido por una cantidad absurda de técnicas. Claro está, aún no ha pasado absolutamente nada, ya que a pesar de pedir un nuevo correo electrónico, este no es aplicado hasta completar el proceso.

Ya aquí, hiciste daño.

Ya aquí, hiciste daño.

Esta es la parte final, debes anexar una serie de documentos que te autentiquen como el propietario de la cuenta. Documentos que nunca has subido a Facebook y que ellos no tienen control sobre su autenticidad, documentos que pueden ser falsificables y adulterados, en fin, se puede hacer daño.

Por último, suponiendo que tengamos acceso ya sea al correo o al teléfono, pues toda tu vida estará atada a la enorme seguridad que ofrecen 6 dígitos…. ni siquiera alfanuméricos…. así de simple se ha vuelto la vida.

Todo se resume en 6 dígitos....

Todo se resume en 6 dígitos….

..............

…………..

Conclusión:

Tal y como recomendamos en la primera parte, todo dependerá de tu nivel de paranoia. Si es alto y no quieres que alguien como yo ande jugando o alguien definitivamente peor, Borra ese número de teléfono de Facebook… a pesar de lo que pudieras pensar, ellos en definitiva NO son tan buena gente.

Atte.

Ing. Alexi Stratthaus.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s