[PHISHING] - Tumblr, Inseguridad e Ingeniería Social [Actualizado]

Como siempre está la curiosidad de por medio, decidí hacerme una cuenta hace ya unos años. Hace poco la volví a activar y me encontré con algo MUY INTERESANTE que había pasado desapercibido en su momento. Todas las funciones que se brindan al usuario para "customizar" las páginas era la gloria! Y muy inseguras .

Las primeras fueron las siguientes:

• "Always serve blog over SSL" (Podía correr el blog en HTTP o HTTPS)
  

• "Change unaffiliated links into Tumblr affiliate links" (Si yo agregaba URLs que no son de Tumblr, no iba a pasar nada)
  

• "Edit Theme" (Podía editar al 100% mi página)
  

• "Create a new blog" (Osea que podía tener varios blogs)
  
  (En la foto yo ya hice otro blog, la estrella marca cual es el principal)

Entonces... Viendo esto, me puse en marcha a editar el tema, y lo que me encontré fue mucho mejor de lo que me esperaba, miles de opciones para editar TODO lo que contenía mi página; y por todo me refiero a TODO pero no vamos a mostrarlo, directamente pasemos a la parte jugosa... Lo que estaba abajo de todas esas opciones:

• "Add a page" (Podía agregarle sub páginas a mi página, editando el codigo HTML al 100%)
  
  


• "Advanced Options" (Partes jugosas que me dejan aún mas control)
  
  "Open links in new window" (Abrir links en ventanas nuevas)
  "Use default mobile theme" (Usar el tema predeterminado de tumblr en el celular/tablet)
  "Promote Tumblr!" (Promocionar tumblr con un iframe molesto)
  
  Desactivando estas tres, te permite usar el tema para escritorio de Tumblr cuando abran el link en el celular y que no salte ninguna publicidad.

Viendo todo lo anterior, comencé mi blog, bajé un tema responsive (Listo para correr en celular) y empecé.
La primer idea que tuve fue:

• BeEF - The Browser Exploitation Framework Project:
  Implementé en el código de mi página el "hook.js" por defecto, y comencé a pedirle a mis amigos que entren... Lo primero que noté fue la lentitud del script, por lo que tenía que haber algo muy atractivo dentro (y así obtener mas tiempo para recibir los datos). ¿Que hice? Un perfíl falso. Ahora, con un perfíl mas "atractivo" podía recibir datos del usuario en mi computadora... De igual manera, seguía siendo lento. Pero hubo algo que me llamó la atención, el "Pretty Theft". Intenté ejecutarlo pero no había caso, era muy básico, poco creíble y además tenía que ejecutarlo de modo manual o editar los autorun del BeEF.

Esta vez, BeEF no pudo salvarme... Así que se me ocurrió una segunda, el laburo artesanal:

• Phishing e Ingeniería Social:
  Al principio no me pareció una muy buena idea, ya que no tenía idea sobre los lenguajes web, pero, "sin experimentación no hay verdad" dijo Aristoteles. Lo primero que investigué fue sobre como montar un servidor web cayendo en las manos de XAMPP y LAMPP. Luego, para tener un DNS instalé NoIP (Que ya lo había usado para servidores de videojuegos) y pum... Configurando un poquito el modem con el tema de los puertos, editando la configuración de Apache, un par de libros y listo el pollo.

Comencé bajando el login mobile de Facebook, luego por el cartel de error del mismo y un link de autorización para iniciar sesión con una aplicación. El resultado fue el siguiente:

• "Tumblr" solicitando información de Facebook:
  
  
  
  


• Error al poner un correo "no válido" o "mal" la clave:
  
  
  
  
• Autorización de Tumblr que reenvía a mi blog de Tumblr:
  
  
  
  

Una vez lista la edición de las páginas, comencé con el trabajo PHP, era hora de poner a punto la mecánica y crear algo que no sea "fácil" de detectar y me hagan todo el trabajo "sucio", estas fueron:

• Identificar.php (Para poder saber si lo que estaba entrando a mi página era una computadora o un celular/tablet)
  En caso de ser una computadora, redirigía directo al blog, en caso de ser un celular/tablet, chequea que haya puesto su facebook y si es así iba al blog, sinó, al login.
  
  (Fragmento del php)
  
  
  
• login_check.php (Si el correo termina en algún dominio existente y la clave es mayor a 5 dígitos, se registra que se loggeó con esa IP)
  También hice por si ingresaban un usuario, o un numero de celular... En el caso de no haber cumplido con las reglas que armé, rediríge a la pagina de error y nuevamente debe ingresar sus datos hasta que sean "correctos".
  
  (Fragmento del php)
  
  
  

Listo, ya tenía un "phishing" de Facebook corriendo en mi computadora, ahora había que implementarlo. ¿Como?
Simple, mi link de NoIP no es creible, nadie va a entrar a un dominio extraño! Pero Tumblr, me ofrece dominio gratis y customización completa. ¿Se acuerdan de la opción de crear mas blogs? Usamos un cascarón vacío con el mismo título y rellenamos con un iframe y nuestro link.

Ejemplo: "http://XXXXXXXXXXXXXXXXXXXXXX/identificar.php" y listo, parasitamos del cascarón vacío que Tumblr nos dejó crear.


(Perdón por el onload=() del body, experimentando dejé ese fragmento colgado)


Esto nos permite que todos los movimientos se hagan dentro de la pagina y pasen desapercibidos, sin exponernos.

Una vez hecho esto, vi que la página de mi iframe mostraba de manera MUY evidente el link de NoIP:



Así que dije: ¿Y si uso las sub páginas? Gracias otra vez Tumblr.

• /inicio:
  
  
  
  
• /fotos:
  
  
  
  

Listo, problema solucionado, iframe dentro de iframe... ¿Que puede malir sal?. Ante cualquier inexperto, iba a pasar desapercibido.



Consumido por el aburrimiento, cree un "Easter Egg" en la página para explotar con XSS, solo para darme el gusto, pero hasta el momento, nadie lo encontró:



Luego, de esto y de pensar en los XSS, dije: "Pero si mi página es tan insegura y entran otros usuarios de tumblr a ver mi perfil, no podré "robarme" sus Cookies?". La respuesta era... "Si". Cree otro PHP llamado "CookieMonster":



Y lo pegué en la página principal:



Total, por mas iframe dentro de iframe, el cookie se va a "robar" igual. Si estaba vacío, no se escribía nada, y si había, se borraba el mismo y se guardaba un "Si" junto a la IP.

Así que todo listo, si a los usuarios de PC no podía "robarles" el Facebook, por lo menos iba a ser el Cookie de sesión. Pero hay algo extraño... De todas las IPs que ingresaron, solo se registró mi Cookie y el de la cuenta de mi amiga... ¿Quienes o que eran las otras IPs?


Esta es una parte de la lista de los ingresantes a la página:

(Si, algunas IPs son de Shodan y otras son de Telecom Italia)

Y los "Cookies":



(Mas que nada estaba interesado en poder capturar algún bot de páginas pornográficas, pero no... Hasta el momento ninguno me siguió en Tumblr, tendré que esperar varios días mas para saber que pasa).
Continuando con el tema, seguí investigando porqué esta gente no dejaba Cookies. ¿JavaScript desactivado? ¿VPN? ¿Maquinas Virtuales? TODAS... Analicé a unos cuantos con Nmap y esa fue la respuesta... Me encontré con IPs de Shodan y Telecom Italia escaneando mi página. Tuve que bloquear las IPs.

Luego, comencé aplicando pruebas en una app de "citas". Fue un éxito, pasó desapercibido, aunque iOS toma las páginas http como inseguras, marcando los links en rojo y avisandolé al usuario que estar ahí no era buena idea... De igual manera, loggeaban... La curiosidad mató al gato:

---

---

Una vez listo nuestro perfil con las palabras mágicas, nos sentamos a esperar:


¿Los resultados?:

• Muchos curiosos:
  
  
  (Puede notarse la diferencia con respecto a la imagen anterior de las visitas)
  
  
  
• Muchas Cookies:
  
  
  
  
  
• Algunos Facebooks:
  
  
  
  
  

Al usar un perfil fálso, lo cerré rápido, ya que tampoco quería causarle problemas a la dueña de todas las imágenes. Lo importante fue que, la prueba era exitosa, y mis amigos la vieron creible... No se que opinarán ustedes... Así que les dejo un GIF:




Ante cualquier cambio, iré actualizando el post o creando uno nuevo si logro capturar alguna página pornográfica y a su/s dueño/s.

Un saludo enorme!

NERV0

    @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un aporte que me gustó por varios motivos:

1. Bien redactado.
2. Capturas que ilustran.
3. Investigación propia.
4. No es un aporte de phishing del tipo"copia este código aquí", "clic" allá.
5. Es una prueba que requiere conocimientos mínimos de saber qué se está haciendo, porqué y para qué , lo que se aleja de las frecuentes preguntas en el foro de dudas del tipo "cómo hackeo tal cosa" o "cómo hago phishing" sin antes saber cosas básicas; y en consecuencia se quiere todo servido en bandeja. Circunstancia que por otra parte, anuncias al comienzo de tu post.
6. Confirma mi aversión y negativa al uso de redes sociales. 

Gracias por compartirlo y + 1.

Saludos

Gabriela

Citar1. Bien redactado.
2. Capturas que ilustran.
3. Investigación propia.
4. No es un aporte de phishing del tipo"copia este código aquí", "clic" allá.
5. Es una prueba que requiere conocimientos mínimos de saber qué se está haciendo, porqué y para qué , lo que se aleja de las frecuentes preguntas en el foro de dudas del tipo "cómo hackeo tal cosa" o "cómo hago phishing" sin antes saber cosas básicas; y en consecuencia se quiere todo servido en bandeja. Circunstancia que por otra parte, anuncias al comienzo de tu post.
6. Confirma mi aversión y negativa al uso de redes sociales. 

Tienes toda la razón, Grabiela, es mejor tener conocimientos básicos, y pedir sin haber investigado un poco, eso es un poco tacaño.
"Aprende a pescar, no pretendas que todas la veces te regalen los peces"

Saludo.
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Gracias a los dos! Me pone muy contento que les haya gustado y sido interesante el tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
"Aprende a pescar, no pretendas que todas la veces te regalen los peces"

"El amor y el deseo son las alas del espíritu de las grandes hazañas."

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
1. Bien redactado.
2. Capturas que ilustran.
3. Investigación propia.
4. No es un aporte de phishing del tipo"copia este código aquí", "clic" allá.
5. Es una prueba que requiere conocimientos mínimos de saber qué se está haciendo, porqué y para qué , lo que se aleja de las frecuentes preguntas en el foro de dudas del tipo "cómo hackeo tal cosa" o "cómo hago phishing" sin antes saber cosas básicas; y en consecuencia se quiere todo servido en bandeja. Circunstancia que por otra parte, anuncias al comienzo de tu post.
6. Confirma mi aversión y negativa al uso de redes sociales.

Respondiendo a tus tópicos:

1. Gracias! La buena redacción es fundamental en todo ámbito.
2. Ahora voy a agregar unas capturas y unos esquemas que me parecen importantes y ayudan un poco mas a entender algunas partes que pueden ser confusas.
3. Me llevó alrededor de 3 meses, contando todos los libros que leí.
4. Mi idea es que la persona vea las cosas que se puedan hacer e investiguen, aprendan. Porque sino se convierten en lammers vampíricos.
5. Exacto. Un mínimo de conocimiento previo siempre es necesario.
6. En cuanto a las redes sociales, opino lo mismo. Incluso el uso de Whatsapp.

Un saludo a ambos, y espero que tengan un buen fin de semana! 

Muy buen aporte gusto mucho tu creatividad y habilidad al explotar las vulnerabilidades , muy bien explicado y me motivo a aprender un poco mas de PHP !!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Excelente explicación muy detallado..
Gracias

No hay de que chosen, me alegra que te haya gustado el post! Por cualquier duda, podés mandarme un MP. Saludos!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Muy buen aporte gusto mucho tu creatividad y habilidad al explotar las vulnerabilidades , muy bien explicado y me motivo a aprender un poco mas de PHP !!

Gracias hellraizer, PHP es un lenguaje muy interesante, al igual que Ruby con el framework Ruby on rails. Si te gusta PHP, mas te va a gustar Ruby con ese framework. Saludos! Y ante cualquier duda, no dudes en mandarme un privado!

Hola No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Tu investigación está muy buena. De hecho, te felicito, pues éste tipo de contenido es el que le da un plus a la comunidad, a Underc0de. Con respecto al vector de ataque que detectaste, puede servir para cosas más críticas. Lástima que la gente haga caso omiso de dejar toda su información en este tipo de "redes sociales", pero hasta que no les suceda algo, no tomarán consciencia(cruda realidad).

Un saludo y nuevamente, me gustó mucho tu post.

Muchísimas gracias, Mortal_Poison! Me pone muy contento que te haya gustado y que hayas pensado en que se podría usar en cosas mas críticas, porque esa es la parte que queda a merced del lector.

Saludos, te deseo una excelente semana!

Excelente aporte, muchísimas gracias.
Estaría interesante poder observar todo el trabajo echo. A uno como recién aprendiz, le encantaría.

Saludos!!

Gracias No tienes permitido ver los links. Registrarse o Entrar a mi cuenta!

Podría actualizar el post para mostrar en un ejemplo "real" (Obviamente falso) el funcionamiento. Pero si te referís al código completo, no puedo lamentablemente... La idea es que todos vean lo que es posible realizar y se animen a crear sus propias "herramientas" con ingenio y adquiriendo conocimiento de la manera que sea mas adecuada para cada uno.

Prometo hacer un post de como comenzar con el aprendizaje de lenguajes! Saludos y espero que tengas una buena semana! Gracias nuevamente por el cumplido.

Da gusto leer post como este bien hecho colega.

Gracias No tienes permitido ver los links. Registrarse o Entrar a mi cuenta ! Me pone muy contento que te haya gustado el post.

Un saludo y buena semana!