Cómo secuestrar una cuenta de whatsapp con un simple truco.

WhatsApp siempre ha estado en el punto de mira de expertos y usuarios por motivos de seguridad y privacidad. Ahora parece que se ha descubierto que es posible secuestrar las cuentas de los usuarios de una forma relativamente sencilla, dejando a cientos de millones de usuarios vulnerables, no sólo a manos de ciberdelincuentes, sino también de cualquier persona que sepa el truco; sin necesidad de tener ningún conocimiento técnico.

Ni siquiera es necesario, conocer el código de acceso del móvil, su PIN. Lo único que necesita el  atacante es el número de teléfono de la víctima y tener acceso al smartphone durante unos segundos,  aunque la pantallaesté bloqueada.

El truco lo ha publicado el consultor de seguridad Wang Wei en The Hacker News, aunque explica  que no se trata de una vulnerabilidad, o de un fallo de seguridad como tal de la aplicación. No se trata de “hackear” WhatsApp, sino de aprovecharse de la forma en la que WhatsApp está diseñado y cómo  funciona el mecanismo de configuración de las cuentas.

También avisa, que su publicación no tiene como objetivo animar a los usuarios a intentar usar este  truco contra otros, sino avisar y concienciar a todos los lectores de que deben ser más cuidadosos  (aún) con sus smartphones.

¿Cómo obtener el control de otra cuenta de WhatsApp?

En muy pocos pasos, alguien se puede adueñar de la cuenta de mensajería instantánea de otro  usuario. El truco permite al atacante obtener el control de la cuenta de WhatsApp de la víctima,  y lo más sorprendente: funciona independientemente en todos los sistemas operativos, Android  Windows o iOS. 

En primer lugar, hay que configurar una cuenta de WhatsApp en un móvil nuevo, usando el número  de teléfono de la víctima.

Durante el proceso, WhatsApp llamará al número de teléfono de la víctima y enviará un PIN que tendrá que ser introducido para autentificar la cuenta. Aquí llega el problema. Si una persona, por el motivo que fuera, tuviera acceso a nuestro móvil por unos segundos, simplemente tendría que solicitar el PIN en ese momento y coger la llamada en ese instante. Aunque tuviéramos la pantalla bloqueada, código de acceso o patrón, cualquiera podría coger una llamada.

Así de simple. Solamente tendría que introducir el código en la cuenta nueva y acceder a la cuenta de WhatsApp de la víctima.

Como sabemos, WhatsApp sólo permite usar un mismo número de teléfono en un dispositivo, por lo que inmediatamente dejaría de estar disponible en el terminal de la víctima.

En este vídeo se muestra este truco, que como explican, es aún más grave para los usuarios de iPhone que hayan configurado Siri para estar disponible con la pantalla desbloqueada. De esta forma, todos los contactos están disponibles desde Siri, lo que daría a cualquiera acceso incluso a su número de teléfono sin necesidad de acceder al dispositivo más allá de la pantalla bloqueada.

The Real Deal: Comparando los precios del cibercrimen por la Deep Web

Hace un par días leí un post del gran Chema Alonso, en el que hacía referencia a uno de los nuevos sitios de moda del cibercrimen en la Deep Weeb. Y claramente no pude resistirme a hablar de este tema, Se trata de una página de comercio online, dedicada a la venta de topo tipo de “criminales kit” llamada The Real Deal.

En ella se pueden encontrar cualquier tipo de herramientas, exploits, tutoriales, cuentas robadas, bases de datos de servidores owneados  y un largo etc …

Lo cierto es que hay cosas muy interesantes, por ejemplo podemos encontrar exploits de 1Day, incluso en el momento en el que yo entre a la web, habían a la venta 6 supuestos exploits 0Day, uno de ellos bastante interesante se trataba de una injección SQL 0-Day para sitios oscommerce, en el que decía que afectaba a más de 100.000 sitios online, y donde se veían afectadas todas las versiones de oscommerce. 

Támbien podemos encontrar una botnet controlada por IRC de entre 5.000 a 10.000 máquinas infectadas. El precio total de esta botnet es de 7.6 BitCoins, lo que sería unos 1.740 € .Cómo veis solo tenemos que tener el dinero justo para poder tener a nuestro alcance el manejo de este tipo de herramientas.

Por otra parte tenemos otra sección en la que podemos comprar las cuentas bancarias de diferentes bancos, para poder explotarlas. Las más solicitadas parecen ser las de SunTrust, en las que incluso hay que esperar a que consigan nuevas cuentas para poder acceder a comprar una de ellas con un determinado volumen de dinero en los balances. Como podéis ver, el coste son unos 550 € más o menos.

También tenemos , por supuesto, bases de datos robadas de diferentes sitios para que los amantes de los datos puedan explotarlas. Seguro que muchos han comprado ya esos datos por ese precio. Solo unos 687 €.

Algunas, incluso, de las más conocidas. Venden la base de datos de BitCoinTalk.org con todos los datos de todos los miembros por un precio nada desdeñable de 126.9 Bitcoins. Es decir, un total de unos 28.800 € por los datos que ahí se almacenaban. Sí, en Mayo se anunció que se había vuelto a hachear.

No solo datos y cuentas, también se venden RATs y exploits para realizar intrusiones. En la red TOR se han empezado a poner de moda este tipo de venta, y cada día son más la tiendas que aparecen dedicándose profesionalmente al cibercrimen , así que cada día veremos que el robo de datos, la venta de información, el hackeo de servidores, equipos, etcétera, se hará más profesional. 

Hacking Team, el cazador cazado

Esta mañana me he levantado y al mirar Twitter lo primero que he visto es la reciente noticia que le ocurrió el pasado domingo al equipo de Hacking Team. Así que el post que tenía para subir hoy lo dejaremos para mañana, ya saben como se suele decir:  la actualidad manda. 

Como os comentaba nada más despertarme esta mañana, me encontrado mi Twitter repleto de menciones a esta noticia, pero empecemos por el principio, quién son estos tipos de Hacking Team.

Pues bien, Hacking Team es una empresa que se dedica a la venta de herramientas de software

de vigilancia, principalmente para gobiernos y grandes organizaciones.

Venta de herramientas de espionaje

Hacking Team es conocida por las herramientas de vigilancia y espionaje que desarrolla (con la herramienta Da Vinci a la cabeza) y vende a países y organizaciones de todo el mundo. Por eso resulta tan polémico conocer el listado de sus clientes, listados que supuestamente están ya circulando (junto con otro tipo de material confidencial como correos y código fuente) por todo Internet.

Y quizás este haya sido el motivo por el que se haya desencadendo esta sucesión de hechos .

¿Pero que es lo que ha sucedió?

Pues al parecer el domingo mientras casi todo el mundo veía la final de la Copa America, hubo un grupo de ciberdelincuentes que se dedicó a atacar los activos más valiosos de esta empresa, sus datos.

Los ciberdelincuentes también se hicieron  con la cuenta de Twitter de la empresa, en la que empezaron a twittear y a subir fotos de los correos electrónicos de las cuentas robadas. Presuntamente se han filtrado unos 400gb de información en un archivo torrent que contiene grabaciones de audio, correos electrónicos, código fuente y credenciales de acceso para sitios de soporte de la compañía en Egipo, México y Turquía.

Fuentes: http://www.theregister.co.uk/2015/07/06/unified_cdm_static_password/
         
 http://www.zdnet.com/article/hacking-team-hit-by-breach-files-suggest-it-sold-spyware-to-oppressive-regimes/#ftag=RSSbaffb68

Secretos, mentiras y recuperación de cuentas

Bajo el título de “Secretos, mentiras y recuperación de cuentas” Google ha publicado un interesante informe sobre la protección y recuperación de contraseñas basada en preguntas de seguridad.

El análisis realizado por Google confirma que en general las preguntas secretas ofrecen un nivel de seguridad mucho más bajo que las contraseñas elegidas por el usuario. Debería ser al revés. La respuesta a la pregunta secreta debería considerarse como otra contraseña más, incluso más

compleja que la principal si cabe.

Una de las conclusiones de Google, es que parece casi imposible encontrar preguntas secretas que sean a la vez seguras y fáciles de recordar. Las preguntas secretas continúan teniendo algún uso si se combinan con otras fórmulas, pero no deberían emplearse de forma única. Un buen procedimiento debería favorecer alternativas más fiables.

De millones de intentos de recuperación de cuentas, se observó una fracción significativa de los usuarios (40% de usuarios de habla Inglés de EE.UU.) no pudo recordar sus respuestas. Este porcentaje es mucho más bajo que la tasa de éxito con mecanismos de recuperación alternativos, como los códigos de restablecimiento por SMS (más de 80%).

Según las conclusiones del estudio de Google, “resulta importante que los usuarios y los propietarios

de sitios web se lo piensen dos veces antes de utilizar dicho método”, recomienda la compañía. “Nosotros animamos firmemente a los usuarios de Google para que se aseguren de que la información para la recuperación de cuentas de Google esté actualizada”. En el caso de Google, ofrece cuenta con un sitio para Comprobación de la Seguridad.