Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[PHISHING] - Tumblr, Inseguridad e Ingeniería Social [Actualizado]

  • 11 Respuestas
  • 5506 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado NERV0

  • *
  • Underc0der
  • Mensajes: 35
  • Actividad:
    0%
  • Reputación 5
    • Ver Perfil
« en: Febrero 15, 2018, 12:34:30 am »

Hace un tiempo me recomendaron Tumblr para hacer publicaciones de sadboy, pero nunca me había dado cuenta de la inseguridad del mísmo hasta ahora; y es algo que valía la pena ver que tal me iba.

Antes que nada, quiero aclarar que este post no incluye "tutoriales" de todo lo que hice (En todo caso y a pedido, haré un post aparte), y tampoco voy a mostrar información que revele alguna identidad o dato en concreto. En ningún momento guardé información que forme parte del phishing a los usuarios. Solamente se recolectaron sus IPs y de que dispositivo se estaban conectando.


¿Como comenzó todo?:

Como siempre está la curiosidad de por medio, decidí hacerme una cuenta hace ya unos años. Hace poco la volví a activar y me encontré con algo MUY INTERESANTE que había pasado desapercibido en su momento. Todas las funciones que se brindan al usuario para "customizar" las páginas era la gloria! Y muy inseguras ;) .

Las primeras fueron las siguientes:


  • "Always serve blog over SSL" (Podía correr el blog en HTTP o HTTPS)

  • "Change unaffiliated links into Tumblr affiliate links" (Si yo agregaba URLs que no son de Tumblr, no iba a pasar nada)

  • "Edit Theme" (Podía editar al 100% mi página)

  • "Create a new blog" (Osea que podía tener varios blogs)

    (En la foto yo ya hice otro blog, la estrella marca cual es el principal)

Entonces... Viendo esto, me puse en marcha a editar el tema, y lo que me encontré fue mucho mejor de lo que me esperaba, miles de opciones para editar TODO lo que contenía mi página; y por todo me refiero a TODO pero no vamos a mostrarlo, directamente pasemos a la parte jugosa... Lo que estaba abajo de todas esas opciones:

  • "Add a page" (Podía agregarle sub páginas a mi página, editando el codigo HTML al 100%)

  • "Advanced Options" (Partes jugosas que me dejan aún mas control)

    "Open links in new window" (Abrir links en ventanas nuevas)
    "Use default mobile theme" (Usar el tema predeterminado de tumblr en el celular/tablet)
    "Promote Tumblr!" (Promocionar tumblr con un iframe molesto)

    Desactivando estas tres, te permite usar el tema para escritorio de Tumblr cuando abran el link en el celular y que no salte ninguna publicidad.

Repasando todas las características que vimos antes, podemos decir que si nuestro "blog" lo corremos en HTTP podemos agregar links y afiliando los links a Tumblr, podemos agregar URLs propias sin que sean excluidas por el server... Podemos crear múltiples páginas con múltiples sub paginas y evitar que salga publicidad.
¿Seguridad? ¿Donde?



¿Que hacemos con todo esto?:

Viendo todo lo anterior, comencé mi blog, bajé un tema responsive (Listo para correr en celular) y empecé.
La primer idea que tuve fue:


  • BeEF - The Browser Exploitation Framework Project:
    Implementé en el código de mi página el "hook.js" por defecto, y comencé a pedirle a mis amigos que entren... Lo primero que noté fue la lentitud del script, por lo que tenía que haber algo muy atractivo dentro (y así obtener mas tiempo para recibir los datos). ¿Que hice? Un perfíl falso. Ahora, con un perfíl mas "atractivo" podía recibir datos del usuario en mi computadora... De igual manera, seguía siendo lento. Pero hubo algo que me llamó la atención, el "Pretty Theft". Intenté ejecutarlo pero no había caso, era muy básico, poco creíble y además tenía que ejecutarlo de modo manual o editar los autorun del BeEF.

Esta vez, BeEF no pudo salvarme... Así que se me ocurrió una segunda, el laburo artesanal:

  • Phishing e Ingeniería Social:
    Al principio no me pareció una muy buena idea, ya que no tenía idea sobre los lenguajes web, pero, "sin experimentación no hay verdad" dijo Aristoteles. Lo primero que investigué fue sobre como montar un servidor web cayendo en las manos de XAMPP y LAMPP. Luego, para tener un DNS instalé NoIP (Que ya lo había usado para servidores de videojuegos) y pum... Configurando un poquito el modem con el tema de los puertos, editando la configuración de Apache, un par de libros y listo el pollo.

Comencé bajando el login mobile de Facebook, luego por el cartel de error del mismo y un link de autorización para iniciar sesión con una aplicación. El resultado fue el siguiente:


  • "Tumblr" solicitando información de Facebook:



  • Error al poner un correo "no válido" o "mal" la clave:



  • Autorización de Tumblr que reenvía a mi blog de Tumblr:




Una vez lista la edición de las páginas, comencé con el trabajo PHP, era hora de poner a punto la mecánica y crear algo que no sea "fácil" de detectar y me hagan todo el trabajo "sucio", estas fueron:

  • Identificar.php (Para poder saber si lo que estaba entrando a mi página era una computadora o un celular/tablet)
    En caso de ser una computadora, redirigía directo al blog, en caso de ser un celular/tablet, chequea que haya puesto su facebook y si es así iba al blog, sinó, al login.

    (Fragmento del php)


  • login_check.php (Si el correo termina en algún dominio existente y la clave es mayor a 5 dígitos, se registra que se loggeó con esa IP)
    También hice por si ingresaban un usuario, o un numero de celular... En el caso de no haber cumplido con las reglas que armé, rediríge a la pagina de error y nuevamente debe ingresar sus datos hasta que sean "correctos".

    (Fragmento del php)



Listo, ya tenía un "phishing" de Facebook corriendo en mi computadora, ahora había que implementarlo. ¿Como?
Simple, mi link de NoIP no es creible, nadie va a entrar a un dominio extraño! Pero Tumblr, me ofrece dominio gratis y customización completa. ¿Se acuerdan de la opción de crear mas blogs? Usamos un cascarón vacío con el mismo título y rellenamos con un iframe y nuestro link.


Ejemplo: "http://XXXXXXXXXXXXXXXXXXXXXX/identificar.php" y listo, parasitamos del cascarón vacío que Tumblr nos dejó crear.


(Perdón por el onload=() del body, experimentando dejé ese fragmento colgado)


Esto nos permite que todos los movimientos se hagan dentro de la pagina y pasen desapercibidos, sin exponernos.

Una vez hecho esto, vi que la página de mi iframe mostraba de manera MUY evidente el link de NoIP:

 

Así que dije: ¿Y si uso las sub páginas? Gracias otra vez Tumblr.


  • /inicio:



  • /fotos:




Listo, problema solucionado, iframe dentro de iframe... ¿Que puede malir sal?. Ante cualquier inexperto, iba a pasar desapercibido.



Consumido por el aburrimiento, cree un "Easter Egg" en la página para explotar con XSS, solo para darme el gusto, pero hasta el momento, nadie lo encontró:



Luego, de esto y de pensar en los XSS, dije: "Pero si mi página es tan insegura y entran otros usuarios de tumblr a ver mi perfil, no podré "robarme" sus Cookies?". La respuesta era... "Si". Cree otro PHP llamado "CookieMonster":



Y lo pegué en la página principal:



Total, por mas iframe dentro de iframe, el cookie se va a "robar" igual. Si estaba vacío, no se escribía nada, y si había, se borraba el mismo y se guardaba un "Si" junto a la IP.

Así que todo listo, si a los usuarios de PC no podía "robarles" el Facebook, por lo menos iba a ser el Cookie de sesión. Pero hay algo extraño... De todas las IPs que ingresaron, solo se registró mi Cookie y el de la cuenta de mi amiga... ¿Quienes o que eran las otras IPs?
 
Resultados:

Esta es una parte de la lista de los ingresantes a la página:

(Si, algunas IPs son de Shodan y otras son de Telecom Italia)

Y los "Cookies":



(Mas que nada estaba interesado en poder capturar algún bot de páginas pornográficas, pero no... Hasta el momento ninguno me siguió en Tumblr, tendré que esperar varios días mas para saber que pasa).
Continuando con el tema, seguí investigando porqué esta gente no dejaba Cookies. ¿JavaScript desactivado? ¿VPN? ¿Maquinas Virtuales? TODAS... Analicé a unos cuantos con Nmap y esa fue la respuesta... Me encontré con IPs de Shodan y Telecom Italia escaneando mi página. Tuve que bloquear las IPs.


Luego, comencé aplicando pruebas en una app de "citas". Fue un éxito, pasó desapercibido, aunque iOS toma las páginas http como inseguras, marcando los links en rojo y avisandolé al usuario que estar ahí no era buena idea... De igual manera, loggeaban... La curiosidad mató al gato:



ACTUALIZACIÓN 15/2/2018:


Todo el contenido que se encuentra debajo, se efectuó hoy 15/12 a las 00hs.

Una vez listo nuestro perfil con las palabras mágicas, nos sentamos a esperar:


¿Los resultados?:

  • Muchos curiosos:


    (Puede notarse la diferencia con respecto a la imagen anterior de las visitas)


  • Muchas Cookies:




  • Algunos Facebooks:





Al usar un perfil fálso, lo cerré rápido, ya que tampoco quería causarle problemas a la dueña de todas las imágenes. Lo importante fue que, la prueba era exitosa, y mis amigos la vieron creible... No se que opinarán ustedes... Así que les dejo un GIF:



Recuerden, JAMÁS PONER SUS DATOS EN PÁGINAS QUE NO SEAN DE CONFIANZA.

Ante cualquier cambio, iré actualizando el post o creando uno nuevo si logro capturar alguna página pornográfica y a su/s dueño/s.

Un saludo enorme!

NERV0

« Última modificación: Febrero 27, 2018, 02:01:52 pm por NERV0 »
“Ciertos programas informáticos son el reflejo del ego académico del pelotudo que los desarrolla”

Desconectado Gabriela

  • *
  • Co Admin
  • Mensajes: 903
  • Actividad:
    0%
  • Reputación 18
    • Ver Perfil
    • Email
« Respuesta #1 en: Febrero 15, 2018, 12:02:05 pm »

    @NERV0

Un aporte que me gustó por varios motivos:

1. Bien redactado.
2. Capturas que ilustran.
3. Investigación propia.
4. No es un aporte de phishing del tipo"copia este código aquí", "clic" allá.
5. Es una prueba que requiere conocimientos mínimos de saber qué se está haciendo, porqué y para qué , lo que se aleja de las frecuentes preguntas en el foro de dudas del tipo "cómo hackeo tal cosa" o "cómo hago phishing" sin antes saber cosas básicas; y en consecuencia se quiere todo servido en bandeja. Circunstancia que por otra parte, anuncias al comienzo de tu post.
6. Confirma mi aversión y negativa al uso de redes sociales.  ;D

Gracias por compartirlo y + 1.

Saludos

Gabriela
« Última modificación: Febrero 15, 2018, 12:09:08 pm por Gabriela »

Desconectado KFZ_10

  • *
  • Underc0der
  • Mensajes: 55
  • Actividad:
    0%
  • Reputación 0
  • ¿Aprender es mi vida?
    • Ver Perfil
« Respuesta #2 en: Febrero 15, 2018, 02:20:37 pm »
Citar
1. Bien redactado.
2. Capturas que ilustran.
3. Investigación propia.
4. No es un aporte de phishing del tipo"copia este código aquí", "clic" allá.
5. Es una prueba que requiere conocimientos mínimos de saber qué se está haciendo, porqué y para qué , lo que se aleja de las frecuentes preguntas en el foro de dudas del tipo "cómo hackeo tal cosa" o "cómo hago phishing" sin antes saber cosas básicas; y en consecuencia se quiere todo servido en bandeja. Circunstancia que por otra parte, anuncias al comienzo de tu post.
6. Confirma mi aversión y negativa al uso de redes sociales.  ;D

Tienes toda la razón, Grabiela, es mejor tener conocimientos básicos, y pedir sin haber investigado un poco, eso es un poco tacaño.
"Aprende a pescar, no pretendas que todas la veces te regalen los peces"

Saludo. ;D ;D
@KFZ_10

Desconectado NERV0

  • *
  • Underc0der
  • Mensajes: 35
  • Actividad:
    0%
  • Reputación 5
    • Ver Perfil
« Respuesta #3 en: Febrero 15, 2018, 10:50:12 pm »
Gracias a los dos! Me pone muy contento que les haya gustado y sido interesante el tema.

"Aprende a pescar, no pretendas que todas la veces te regalen los peces"
"El amor y el deseo son las alas del espíritu de las grandes hazañas."

1. Bien redactado.
2. Capturas que ilustran.
3. Investigación propia.
4. No es un aporte de phishing del tipo"copia este código aquí", "clic" allá.
5. Es una prueba que requiere conocimientos mínimos de saber qué se está haciendo, porqué y para qué , lo que se aleja de las frecuentes preguntas en el foro de dudas del tipo "cómo hackeo tal cosa" o "cómo hago phishing" sin antes saber cosas básicas; y en consecuencia se quiere todo servido en bandeja. Circunstancia que por otra parte, anuncias al comienzo de tu post.
6. Confirma mi aversión y negativa al uso de redes sociales.
Respondiendo a tus tópicos:

1. Gracias! La buena redacción es fundamental en todo ámbito.
2. Ahora voy a agregar unas capturas y unos esquemas que me parecen importantes y ayudan un poco mas a entender algunas partes que pueden ser confusas.
3. Me llevó alrededor de 3 meses, contando todos los libros que leí.
4. Mi idea es que la persona vea las cosas que se puedan hacer e investiguen, aprendan. Porque sino se convierten en lammers vampíricos.
5. Exacto. Un mínimo de conocimiento previo siempre es necesario.
6. En cuanto a las redes sociales, opino lo mismo. Incluso el uso de Whatsapp.

Un saludo a ambos, y espero que tengan un buen fin de semana!  ;D
“Ciertos programas informáticos son el reflejo del ego académico del pelotudo que los desarrolla”

Desconectado hellraizer

  • *
  • Underc0der
  • Mensajes: 4
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
  • Skype: sambot0121
« Respuesta #4 en: Febrero 21, 2018, 01:53:00 am »
Muy buen aporte gusto mucho tu creatividad y habilidad al explotar las vulnerabilidades , muy bien explicado y me motivo a aprender un poco mas de PHP !!

Desconectado NERV0

  • *
  • Underc0der
  • Mensajes: 35
  • Actividad:
    0%
  • Reputación 5
    • Ver Perfil
« Respuesta #5 en: Febrero 21, 2018, 11:11:23 pm »
Excelente explicación muy detallado..
Gracias
No hay de que chosen, me alegra que te haya gustado el post! Por cualquier duda, podés mandarme un MP. Saludos!


Muy buen aporte gusto mucho tu creatividad y habilidad al explotar las vulnerabilidades , muy bien explicado y me motivo a aprender un poco mas de PHP !!
Gracias hellraizer, PHP es un lenguaje muy interesante, al igual que Ruby con el framework Ruby on rails. Si te gusta PHP, mas te va a gustar Ruby con ese framework. Saludos! Y ante cualquier duda, no dudes en mandarme un privado!
“Ciertos programas informáticos son el reflejo del ego académico del pelotudo que los desarrolla”

Desconectado Mortal_Poison

  • *
  • Underc0der
  • Mensajes: 162
  • Actividad:
    16.67%
  • Reputación 15
  • Become the change you seek in the world. -Gandhi.
    • Ver Perfil
    • VIINACADEMY
  • Twitter: https://www.twitter.com/Mortal_Poison_
« Respuesta #6 en: Abril 02, 2018, 01:16:26 pm »
Hola Nerv0,

Tu investigación está muy buena. De hecho, te felicito, pues éste tipo de contenido es el que le da un plus a la comunidad, a Underc0de. Con respecto al vector de ataque que detectaste, puede servir para cosas más críticas. Lástima que la gente haga caso omiso de dejar toda su información en este tipo de "redes sociales", pero hasta que no les suceda algo, no tomarán consciencia(cruda realidad).

Un saludo y nuevamente, me gustó mucho tu post.
« Última modificación: Mayo 20, 2018, 08:25:23 pm por xyz »
Become the change you seek in the world. -Gandhi.


Desconectado NERV0

  • *
  • Underc0der
  • Mensajes: 35
  • Actividad:
    0%
  • Reputación 5
    • Ver Perfil
« Respuesta #7 en: Abril 02, 2018, 11:33:33 pm »
Muchísimas gracias, Mortal_Poison! Me pone muy contento que te haya gustado y que hayas pensado en que se podría usar en cosas mas críticas, porque esa es la parte que queda a merced del lector.

Saludos, te deseo una excelente semana!
“Ciertos programas informáticos son el reflejo del ego académico del pelotudo que los desarrolla”

Desconectado DarthVedder

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #8 en: Mayo 19, 2018, 05:47:04 pm »
Excelente aporte, muchísimas gracias.
Estaría interesante poder observar todo el trabajo echo. A uno como recién aprendiz, le encantaría.

Saludos!! 8)
DARTHAUJO

Desconectado NERV0

  • *
  • Underc0der
  • Mensajes: 35
  • Actividad:
    0%
  • Reputación 5
    • Ver Perfil
« Respuesta #9 en: Mayo 20, 2018, 09:09:48 pm »
Gracias DarthVedder!

Podría actualizar el post para mostrar en un ejemplo "real" (Obviamente falso) el funcionamiento. Pero si te referís al código completo, no puedo lamentablemente... La idea es que todos vean lo que es posible realizar y se animen a crear sus propias "herramientas" con ingenio y adquiriendo conocimiento de la manera que sea mas adecuada para cada uno.

Prometo hacer un post de como comenzar con el aprendizaje de lenguajes! Saludos y espero que tengas una buena semana! Gracias nuevamente por el cumplido.
“Ciertos programas informáticos son el reflejo del ego académico del pelotudo que los desarrolla”

Desconectado ronluas

  • *
  • Underc0der
  • Mensajes: 108
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
« Respuesta #10 en: Mayo 21, 2018, 02:00:10 pm »
Da gusto leer post como este bien hecho colega.

Desconectado NERV0

  • *
  • Underc0der
  • Mensajes: 35
  • Actividad:
    0%
  • Reputación 5
    • Ver Perfil
« Respuesta #11 en: Mayo 21, 2018, 04:40:20 pm »
Gracias ronluas ! Me pone muy contento que te haya gustado el post.

Un saludo y buena semana!
“Ciertos programas informáticos son el reflejo del ego académico del pelotudo que los desarrolla”

 

¿Te gustó el post? COMPARTILO!



Un Redirect en Facebook para hacer Phishing a Facebook

Iniciado por Stiuvert

Respuestas: 4
Vistas: 5996
Último mensaje Enero 09, 2014, 11:46:26 pm
por Snifer
DNSTwist - Búsqueda de dominios potenciales para phishing

Iniciado por HATI

Respuestas: 4
Vistas: 4204
Último mensaje Septiembre 23, 2017, 03:07:51 pm
por KiddArabic
BlackEye – La herramienta de phishing más completa con 32 plantillas y ngrok

Iniciado por graphixx

Respuestas: 5
Vistas: 7671
Último mensaje Septiembre 18, 2018, 10:13:09 pm
por intel90
Como crear un Phishing y DNS cache poisoning

Iniciado por REC

Respuestas: 5
Vistas: 5043
Último mensaje Noviembre 18, 2012, 06:01:04 pm
por ssw_1
SPToolKit (Kit de herramientas para Phishing)

Iniciado por Aryenal.Bt

Respuestas: 8
Vistas: 6013
Último mensaje Noviembre 27, 2012, 11:00:17 pm
por BCKTR1X