El presente artículo es una mezcla de técnicas OSINT (Open Source INTelligence) y algo de Doxing "desenmascaramiento de perfiles", donde como objetivo se trata de localizar el número de teléfono móvil de una persona. Esta información es algo que identifica cuasi unívocamente a una persona debido a las cada vez más restrictivas identificaciones a la hora de conseguir una tarjeta SIM y a la conexión constante a las antenas de comunicación celular que identifican dónde está el terminal en cada momento.
Con este ejercicio se quiere poner de manifiesto cómo una persona puede estar dejando que cualquier otro, con un proceso similar al escrito, pueda localizar el número de teléfono si la persona objetivo no ha tenido muy presente la privacidad de sus cuentas en Internet. En este caso concreto vamos a utilizar Paypal, Gmail, Facebook y WhatsApp, que si no tienen las opciones restringidas permiten ese proceso.
Paso 1: Conseguir el e-mail del objetivo
Este es un primer paso. Se trata de averiguar cuál es el correo electrónico de una persona para averiguar las cuentas en las redes sociales asociadas a ellas. Ese correo personal no ha sido tratado como una dato privado por las personas y, de hecho, se asume público y se comparte con mucha gente, cuando debería ser algo distinto. En muchos casos basta con hacer un poco de Hacking con Buscadores o de "stalker" en las redes sociales, para llegar a esta información.
Cada persona debería tener un correo electrónico "privado" como piedra angular, que no debería compartirse con nadie ni publicarse en redes sociales y solo usarse para registrarse en servicios que no lo filtren o para tenerlo como forma de recuperar cuentas sociales. Pero es difícil porque en la mayoría de los servicios es el nombre de usuario, y por tanto, público. Si se obtiene esa dirección de e-mail, es posible averiguar redes sociales en las que esa persona tenga presencia, para aprovecharse de los leaks que existan en cada una de ellas.
Un poco e-mail "guessing" con Facebook & Gmail
Sin embargo, no es así y la gente lo tiene expuesto en sus redes sociales. En otras ocasiones es fácil averiguarlo. Uno de los mecanismos que normalmente se hace es intentar adivinar cuál es el correo electrónico de una persona, haciendo e-mail guessing. Para ello, basta con pedir la recuperación de una cuenta en Facebook y obtener algunas de las letras del correo electrónico.
Muchos servicios en Internet hacen algo parecido. Mostrar el correo electrónico parcialmente. Si conocéis algún servicio que lo haga, os lo agradecería si lo pusierais en los comentarios. Además, en el caso de Facebook, si no se ha Protegido correctamente la dirección de e-mail, alguien podría jugar a averiguar el correo viendo qué sale en los resultados de búsqueda. Este artículo de Facebook y la Privacidad del correo electrónico habla de eso.
Si no hemos averiguado el correo electrónico con Facebook, pero tenemos algunas de las letras del e-mail, podemos jugar con Gmail a averiguar el mensaje completo. Para ello, basta con poner la dirección de correo electrónico en el destinatario de un mensaje de Gmail y ver la fotografía que nos aparece - si es una cuenta de Google -. Si no es la buena, volvemos a cambiar y probar otra.
Desde mi punto de vista personal es un fallo garrafal, ya que puedes escribir las combinaciones que se te ocurran de una dirección de e-mail y pasando el cursor por encima de todas las combinaciones, sabrás cuál es la correcta al ver la foto.
Cellphone number "guessing" con Paypal & WhatsApp
La próxima vez que pase por delante de las oficinas de PayPal , entraré a decirles que dejen de dar cuasi-entero mi número personal a todo el mundo. Hoy en día prácticamente todo el mundo tiene una cuenta de Paypal, la misma que usamos para comprar por Amazon - aunque a veces te falle con las Nancys -.
Paypal nos da más de la mitad de los números
Cuando se da a recuperar la contraseña en Paypal debes poner la dirección de correo electrónico que has averiguado en el paso anterior y te saldrá la opción de enviar un código al número de teléfono que la persona ha asociado a esa cuenta. Si lo ha asociado. Y como veis, se muestran 5 de los 9 dígitos del número.
Esto hace que el ataque, más que fuerza bruta, yo lo calificaría como de fuerza media. Al final, nos faltan 4 posiciones, por lo tanto sin hacer mucha matemática son 10.000 las combinaciones posibles. del 0000 al 9999. No hay magia.
Importemos los contactos a Gmail
Para averiguar el número, he hecho este pequeño ejercicio, pero seguro que a alguno se le ocurre alguno más rápido - a los comentarios con él -. Ahora que tenemos una hoja de cálculo con 10.000 números de teléfono entre los que está el de nuestra víctima, solo nos queda encontrarlo.
Ahora Importamos la hoja con los 10.000 contactos a nuestra cuenta de Gmail. Nuestro cerco se estrecha ya que la gran mayoría de los números no existirán. El ratio que he estimado tras varias pruebas es del 30%. Quedándonos de media, con 3.000 números válidos.
Y una vez hecho esto, lo sincronizamos con nuestros contactos del terminal Android. En iPhone con iOS seguro que es más o menos similar o existe una forma de hacerlo.
Miremos fotos en WhatsApp
Ahora pueden darse dos situaciones muy comunes. La primera de ellas es que el contacto no haya leído los artículos de Chema Alonso de Proteger WhatsApp a Prueba de Balas y la foto de perfil de WhatsApp sea pública, que es lo que sucede en el 90% de los casos, más o menos. En ese caso nos abrimos un buen vino de "El Bierzo", y sólo nos queda bajar por nuestros contactos de WhatsApp durante 10 o 15 minutos aproximadamente - eso se tarda en revisar 3.000 contactos con una buena conexión - hasta que veamos a nuestro objetivo. Easy Stuff! Tened en cuenta que hasta la gente que utilizaba su número de teléfono en contactos "adultos" tenía su foto pública.
También puede pasar que la foto de perfil de WhatsApp no sea pública, en el otro 10% de los casos. Estos suele pasar si nuestro "target" es un loco de la privacidad, y ha puesto su foto sólo visible a los contactos que él tiene agregado. Mucho peor si es una de esas personas que se pone de foto de perfil una colina o el mar atardeciendo (WTF!...). ¿estamos perdidos? No, aún nos queda un tiro.
Volviendo a Facebook, con los números de teléfono que nos quedan
Si no hemos conseguido encontrar entre nuestros números de teléfono en WhatsApp a nuestro objetivo, seguro que hemos podido descartar una gran cantidad. Así que, entre los que no eran números válidos, los que hemos descartado con WhatsApp, nos queda probar el truco de averiguar la cuenta detrás de un número de teléfono en Facebook.
De esto ya se publicó por aquí en un post para averiguar la cuenta en Facebook detrás de un número de teléfono, así que solo deberemos ir metiendo con paciencia el número en la página de Facebook y ver las fotos y/o correos electrónicos a los que vamos accediendo. Hay un post muy interesante de cómo gestionar el número de teléfono en las opciones de privacidad de Facebook... o cómo puede ser un grave fallo.
¿Cómo protegerse de esto?
Pues la solución es fortificar las opciones de privacidad de Paypal, de Gmail, de Facebook y de WhatsApp. Aquí os dejo algunos enlaces interesantes del blog, pero para el caso de Paypal, Chema Alonso ha prometido un post con la info y los pasos necesarios para conseguir tener una cuenta de Paypal protegida y que no filtre 5 de los 9 números de teléfono.
Saludos!
Autor: Pablo García Pérez
Figura 1: Cómo averiguar números de teléfono privados usando Paypal, Gmail, Facebook y WhatsApp |
Con este ejercicio se quiere poner de manifiesto cómo una persona puede estar dejando que cualquier otro, con un proceso similar al escrito, pueda localizar el número de teléfono si la persona objetivo no ha tenido muy presente la privacidad de sus cuentas en Internet. En este caso concreto vamos a utilizar Paypal, Gmail, Facebook y WhatsApp, que si no tienen las opciones restringidas permiten ese proceso.
Paso 1: Conseguir el e-mail del objetivo
Este es un primer paso. Se trata de averiguar cuál es el correo electrónico de una persona para averiguar las cuentas en las redes sociales asociadas a ellas. Ese correo personal no ha sido tratado como una dato privado por las personas y, de hecho, se asume público y se comparte con mucha gente, cuando debería ser algo distinto. En muchos casos basta con hacer un poco de Hacking con Buscadores o de "stalker" en las redes sociales, para llegar a esta información.
Cada persona debería tener un correo electrónico "privado" como piedra angular, que no debería compartirse con nadie ni publicarse en redes sociales y solo usarse para registrarse en servicios que no lo filtren o para tenerlo como forma de recuperar cuentas sociales. Pero es difícil porque en la mayoría de los servicios es el nombre de usuario, y por tanto, público. Si se obtiene esa dirección de e-mail, es posible averiguar redes sociales en las que esa persona tenga presencia, para aprovecharse de los leaks que existan en cada una de ellas.
Un poco e-mail "guessing" con Facebook & Gmail
Sin embargo, no es así y la gente lo tiene expuesto en sus redes sociales. En otras ocasiones es fácil averiguarlo. Uno de los mecanismos que normalmente se hace es intentar adivinar cuál es el correo electrónico de una persona, haciendo e-mail guessing. Para ello, basta con pedir la recuperación de una cuenta en Facebook y obtener algunas de las letras del correo electrónico.
Figura 2: Letras del mensaje de correo electrónico en Facebook |
Muchos servicios en Internet hacen algo parecido. Mostrar el correo electrónico parcialmente. Si conocéis algún servicio que lo haga, os lo agradecería si lo pusierais en los comentarios. Además, en el caso de Facebook, si no se ha Protegido correctamente la dirección de e-mail, alguien podría jugar a averiguar el correo viendo qué sale en los resultados de búsqueda. Este artículo de Facebook y la Privacidad del correo electrónico habla de eso.
Figura 3: Con el e-mail Facebook te deja ver la foto asociada para hacder e-mail guessing |
Si no hemos averiguado el correo electrónico con Facebook, pero tenemos algunas de las letras del e-mail, podemos jugar con Gmail a averiguar el mensaje completo. Para ello, basta con poner la dirección de correo electrónico en el destinatario de un mensaje de Gmail y ver la fotografía que nos aparece - si es una cuenta de Google -. Si no es la buena, volvemos a cambiar y probar otra.
Figura 4: e-mail guessing con el cliente de Gmail |
Desde mi punto de vista personal es un fallo garrafal, ya que puedes escribir las combinaciones que se te ocurran de una dirección de e-mail y pasando el cursor por encima de todas las combinaciones, sabrás cuál es la correcta al ver la foto.
Cellphone number "guessing" con Paypal & WhatsApp
La próxima vez que pase por delante de las oficinas de PayPal , entraré a decirles que dejen de dar cuasi-entero mi número personal a todo el mundo. Hoy en día prácticamente todo el mundo tiene una cuenta de Paypal, la misma que usamos para comprar por Amazon - aunque a veces te falle con las Nancys -.
Figura 5: Pidiendo ayuda para recuperar la cuenta |
Paypal nos da más de la mitad de los números
Cuando se da a recuperar la contraseña en Paypal debes poner la dirección de correo electrónico que has averiguado en el paso anterior y te saldrá la opción de enviar un código al número de teléfono que la persona ha asociado a esa cuenta. Si lo ha asociado. Y como veis, se muestran 5 de los 9 dígitos del número.
Figura 6: Paypal te da 5 de los 9 números del teléfono |
Esto hace que el ataque, más que fuerza bruta, yo lo calificaría como de fuerza media. Al final, nos faltan 4 posiciones, por lo tanto sin hacer mucha matemática son 10.000 las combinaciones posibles. del 0000 al 9999. No hay magia.
Importemos los contactos a Gmail
Para averiguar el número, he hecho este pequeño ejercicio, pero seguro que a alguno se le ocurre alguno más rápido - a los comentarios con él -. Ahora que tenemos una hoja de cálculo con 10.000 números de teléfono entre los que está el de nuestra víctima, solo nos queda encontrarlo.
Figura 7: Hoja Excel con 10.000 contactos ficticios |
Ahora Importamos la hoja con los 10.000 contactos a nuestra cuenta de Gmail. Nuestro cerco se estrecha ya que la gran mayoría de los números no existirán. El ratio que he estimado tras varias pruebas es del 30%. Quedándonos de media, con 3.000 números válidos.
Figura 8: Importamos los contactos a Gmail |
Y una vez hecho esto, lo sincronizamos con nuestros contactos del terminal Android. En iPhone con iOS seguro que es más o menos similar o existe una forma de hacerlo.
Miremos fotos en WhatsApp
Ahora pueden darse dos situaciones muy comunes. La primera de ellas es que el contacto no haya leído los artículos de Chema Alonso de Proteger WhatsApp a Prueba de Balas y la foto de perfil de WhatsApp sea pública, que es lo que sucede en el 90% de los casos, más o menos. En ese caso nos abrimos un buen vino de "El Bierzo", y sólo nos queda bajar por nuestros contactos de WhatsApp durante 10 o 15 minutos aproximadamente - eso se tarda en revisar 3.000 contactos con una buena conexión - hasta que veamos a nuestro objetivo. Easy Stuff! Tened en cuenta que hasta la gente que utilizaba su número de teléfono en contactos "adultos" tenía su foto pública.
Figura 9: Contactos "adultos" con foto pública en WhatsApp |
También puede pasar que la foto de perfil de WhatsApp no sea pública, en el otro 10% de los casos. Estos suele pasar si nuestro "target" es un loco de la privacidad, y ha puesto su foto sólo visible a los contactos que él tiene agregado. Mucho peor si es una de esas personas que se pone de foto de perfil una colina o el mar atardeciendo (WTF!...). ¿estamos perdidos? No, aún nos queda un tiro.
Volviendo a Facebook, con los números de teléfono que nos quedan
Si no hemos conseguido encontrar entre nuestros números de teléfono en WhatsApp a nuestro objetivo, seguro que hemos podido descartar una gran cantidad. Así que, entre los que no eran números válidos, los que hemos descartado con WhatsApp, nos queda probar el truco de averiguar la cuenta detrás de un número de teléfono en Facebook.
Figura 10: Averiguar la cuenta de Facebook detrás de un número de teléfono |
De esto ya se publicó por aquí en un post para averiguar la cuenta en Facebook detrás de un número de teléfono, así que solo deberemos ir metiendo con paciencia el número en la página de Facebook y ver las fotos y/o correos electrónicos a los que vamos accediendo. Hay un post muy interesante de cómo gestionar el número de teléfono en las opciones de privacidad de Facebook... o cómo puede ser un grave fallo.
¿Cómo protegerse de esto?
Pues la solución es fortificar las opciones de privacidad de Paypal, de Gmail, de Facebook y de WhatsApp. Aquí os dejo algunos enlaces interesantes del blog, pero para el caso de Paypal, Chema Alonso ha prometido un post con la info y los pasos necesarios para conseguir tener una cuenta de Paypal protegida y que no filtre 5 de los 9 números de teléfono.
Saludos!
Autor: Pablo García Pérez
☛ El artículo completo original de noreply@blogger.com (Chema Alonso) lo puedes ver aquí
No hay comentarios.:
Publicar un comentario