Buenas noches!
A ver si me podéis echar un cable... llevo ya varios meses estudiando a través de algún curso de udemy entre otros métodos, diferentes estrategias para conseguir credenciales (phising con ingeniería social etc). El verdadero problema viene a la hora de entrar a según qué sitios... ya que hoy en día la tecnología piensa por el ser humano y la seguridad en algunos sitios es alta. Entiendo que si una persona activa el doble factor en un icloud la única manera sea entrar a través de su propio terminal o a través de ingeniería social sacar el doble factor...
Pero, eso es icloud, facebook por ejemplo suele tener la opción de reconocer fotos de amigos, que con otra cuenta abierta en otro explorador es muy fácil de saltar, hotmail suele tener poca seguridad pero por lo que vengo a preguntar es por la peor de todas...: Gmail. Sin haber activado ningún doble factor, el algoritmo es tan complejo que cualquier cosa que le suena mal, salta una especie de doble factor donde a la víctima le llega un mensaje preguntándole si ha sido el/ella el que ha intentado iniciar sesión y de ser así hay que pretar el número que te pida en el PC y seguramente una obligación de cambiar la contraseña.
Es como que mete varios elementos en una olla como pueden ser: Sistema operativo y versión del mismo (por lo tanto sabe si es tablet, móvil, PC...), Ip y geolocalización, mac del dispositivo con el que se está iniciando sesión, Navegador y versión del mismo... todo esto crea una especie de cerebro en forma de seguridad y a lo que le huele raro quién está metiendo las llaves te pregunta si tienes tu móvil y pregunta si has iniciado sesión y pretar el mismo número que sale en el pc (un doble factor mejorado)... Sólo algunas veces con confirmar móvil o dirección alternativa, ya deja entrar pero normalmente suele pasar cuando la persona no presta atención a esos mensajes de alerta durante días, o la cuenta no contiene mucha información... Y si la víctima no tiene añadido el móvil al gmail habrá que confirmar la cuenta con el correo electrónico alternativo, lo cual no es normal ya que casi todo el mundo mete ya su móvil en el gmail.
¿Es posible ser más listo que google? ¿Se puede violar la seguridad de gmail? Es más, puede que esto tenga algún término o nomenclatura en el hacking pero lo desconozco y me gustaría aprender sobre ello.
Gracias de antemano!
A ver si me podéis echar un cable... llevo ya varios meses estudiando a través de algún curso de udemy entre otros métodos, diferentes estrategias para conseguir credenciales (phising con ingeniería social etc). El verdadero problema viene a la hora de entrar a según qué sitios... ya que hoy en día la tecnología piensa por el ser humano y la seguridad en algunos sitios es alta. Entiendo que si una persona activa el doble factor en un icloud la única manera sea entrar a través de su propio terminal o a través de ingeniería social sacar el doble factor...
Pero, eso es icloud, facebook por ejemplo suele tener la opción de reconocer fotos de amigos, que con otra cuenta abierta en otro explorador es muy fácil de saltar, hotmail suele tener poca seguridad pero por lo que vengo a preguntar es por la peor de todas...: Gmail. Sin haber activado ningún doble factor, el algoritmo es tan complejo que cualquier cosa que le suena mal, salta una especie de doble factor donde a la víctima le llega un mensaje preguntándole si ha sido el/ella el que ha intentado iniciar sesión y de ser así hay que pretar el número que te pida en el PC y seguramente una obligación de cambiar la contraseña.
Es como que mete varios elementos en una olla como pueden ser: Sistema operativo y versión del mismo (por lo tanto sabe si es tablet, móvil, PC...), Ip y geolocalización, mac del dispositivo con el que se está iniciando sesión, Navegador y versión del mismo... todo esto crea una especie de cerebro en forma de seguridad y a lo que le huele raro quién está metiendo las llaves te pregunta si tienes tu móvil y pregunta si has iniciado sesión y pretar el mismo número que sale en el pc (un doble factor mejorado)... Sólo algunas veces con confirmar móvil o dirección alternativa, ya deja entrar pero normalmente suele pasar cuando la persona no presta atención a esos mensajes de alerta durante días, o la cuenta no contiene mucha información... Y si la víctima no tiene añadido el móvil al gmail habrá que confirmar la cuenta con el correo electrónico alternativo, lo cual no es normal ya que casi todo el mundo mete ya su móvil en el gmail.
¿Es posible ser más listo que google? ¿Se puede violar la seguridad de gmail? Es más, puede que esto tenga algún término o nomenclatura en el hacking pero lo desconozco y me gustaría aprender sobre ello.
Gracias de antemano!
