La tormenta perfecta: Phishing y Twitter

14th
MAR

Votalo

Publicado por ElPerro | Archivado en Seguridad, Tutoriales, consejos

Esto posiblemente ya lo hayamos comentado…De hecho si, lo hice pero no está de mas recordar una serie de consejos a la hora de hacer click a una URL en Twitter.

En el post anterior señalé que Twitter había comenzado a filtrar URL’s maliciosas con el objetivo de proteger a sus usuarios de ataques tipo XSS o phishing. Claro que con el XSS es mas simple ya que hay una serie de cadenas comunes que podemos filtrar pero con el phishing no.

Un phishing (pescando) es básicamente eso, “pescar” usuarios desprevenidos en Internet a fines de obtener datos relevantes como nombres de usuario, claves, cuentas bancarias, etc. Esto se hace mostrándole un sitio idéntico al de un banco, una página de logging de Facebook o Hotmail, etc. pero que guardará los datos ingresados en una base de datos propia del atacante y el mismo, dando un mensaje de error, derivaría a la web original para no levantar sospechas de la víctima.

Twitter, el popular sistema de microbloggin tiene un sistema de acortamiento de URL. Es así que si yo ingreso la dirección de mi blog (http://elplog.com) en mi caja de texto (una especie de chatbox o de “Muro de Facebook”) en Twitter, el sistema lo va a recortar para que podamos usar los 140 caracteres que nos permite escribir y quedaría algo así: http://bit.ly/9msMIA (bien, en lugar de acortarlo, lo alargó, pero es bueno para direcciones largas…)

En una oportunidad recuerdo haber enviado un tweet comentando la nueva apariencia de PayPal con el siguiente texto:

Che, vieron lo nuevo de PayPal? http://bit.ly/d5gKdu

AVISO Si ingresan al enlace, NO DEN NINGÚN DATO!

Ese enlace en particular no fué al que redireccioné pero me sirve para aplicar el ejemplo. Recuerdo haber obtenido una gran cantidad de claves solo porque varios ingresaron creyendo que era el verdadero sitio web.
Lo de arriba es un ejemplo. No recuerdo en realidad cual era el tweet ni si lo usé con Facebook o Hotmail. El asunto es que las claves que obtuve las borré de inmediato. Solo quise demostrar el punto de este post y eso fué hace mucho. Este post debería haber sido publicado hace varios meses.
Repito, no ingresen ningún dato si entran al enlace que acabo de mostrar.

Estas técnicas son ADORADAS por los script kiddies y por supuesto que practicadas por muchos newbies y lammers. Hay hackers que suelen utilizarla para diversos fines (a veces lo básico es lo mas efectivo)

Consejos
En el caso anterior podemos ver que el acortamiento de la URL es hecha a través de Bit.ly y lo bueno de este sistema (como el de tantos otros) es que podemos ver la información detallada del mismo, incluyendo, la URL real que se publicó.

Por ejemplo: http://bit.ly/info/d5gKdu (a este enlace si pueden clickearle porque los llevará a una pantalla con datos de fecha, hora, y les mostrará la URL original junto a sus estadísticas)

Como ya dije, ese enlace no es el que yo usé, solo estoy aplicándolo para el ejemplo.

Esa es una forma de averiguar si la URL a la que estamos ingresando es real o simplemente un FAKE. Si está en Bit.ly solo tenemos que agregar el parámetro INFO entre la variable de acortamiento y la URL del host…O sea, en el medio…así como en el ejemplo…

Otra manera sería haciendo click con el botón derecho y seleccionar “Copiar Vínculo”. Lo pegamos directamente en la barra de navegación de nuestro browser (Firefox, Safari, Opera, Konkeror, Internet Explorer, etc) y presionamos ENTER sin problemas. Si es un capturador de cookies no va a tomar ninguna ya que no hicimos click desde una sesión activa.

Estos capturadores de cookies funcionan solamente en sitios vulnerables a ataques XSS y Twitter, que yo sepa, no lo es. Pero sirve para sembrar enlaces lo cual si es peligroso.

Esta técnica de reconocimiento de direcciones web (URL) nos va a servir mas bien para identificar si es un sitio fake dispuesto al phishing.

Así que ya saben. Si la dirección está en Bit.ly, solo tenemos que poner la palabra INFO en el medio para poder saber si es una URL real o un fake.

URL Twitteada: http://bit.ly/9msMIA (http://elplog.com/
URL descubierta: http://bit.ly/info/9msMIA (Los datos y estadísticas de ElPlog.com junto a su URL real)