martes, enero 20, 2015

Cómo te pueden robar la cuenta de Facebook en solo 5 segundos de descuido

Normalmente cuando alguien se deja la sesión de su equipo abierto en un entorno de trabajo durante unos minutos, está demostrando una gran confianza en todas las personas que tienen acceso físico a su equipo, además de un alto grado de irresponsabilidad para con la seguridad de toda la empresa. Es por eso, que lecciones como el Ataque David Hasselhoff intentan conseguir que la víctima entienda que no debe dejar la sesión sin bloquear, aunque sea a las malas. 

Figura 1: Cómo te pueden robar la cuenta de Facebook en 5 segundos de descuido

Cuando alguien se deja la sesión durante un breve instante de tiempo abierto, aunque sean solo unos segundos, una persona puede copiar archivos, ver información confidencial o realizar acciones en los sistemas con la cuenta de la víctima, y eso puede ser más que suficiente para tener un verdadero problema de seguridad.

Robar la cuenta de Facebook en 10 minutos

Con el ejemplo de robar una cuenta de Facebook, una de las cosas que se podría intentar hacer es simplemente la de mirar las contraseñas almacenadas en el navegador, pero además de que debería tener la contraseña almacenada, desde que se usan las master passwords, se hace complicado localizar las contraseñas almacenadas en el navegador. 

Figura 2: Passwords almacenadas en Firefox protegidas por Master Password

Si el usuario que ha dejado su equipo abierto tiene la sesión de Facebook activa, en ese momento se puede intentar acceder a las preferencias de la cuenta, para ver si es posible cambiar la contraseña, pero si no tienes la contraseña antigua, esto no es posible.

Figura 3: Para cambiar la password necesitas la cuenta antigua

Sin embargo, el camino más sencillo es robar la sesión. Hacer un secuestro de la sesión que está abierta, para lo que basta con que el atacante se lleve las cookies. Para hacerlo, solo es necesario 5 segundos delante del equipo. Tan sencillo como usar las herramientas del desarrollador ir a la sección de cookies y tomar una foto con el smartphone.  En Google Chrome, el acceso  hace con Ctrl+Shif+I (Alt+Cmd+I si es un OS X).

Figura 4: Cookies de sesión de Facebook sin proteger

De esto no te protege ni que la cookie lleve el Flag Secure, ni el Flag HTTPOnly ni nada parecido. Una vez hecha la foto, desde otra ubicación el atacante puede entrar tranquilamente a la cuenta usando una herramienta para configurar cookies en la sesión del navegador y escribiendo las que están en la foto que tomó, consiguiendo de esta forma obtener acceso a la cuenta de la víctima. Todo mucho más sencillo que caer en los engaños de las apps mágicas para hackear Facebook.

Cuidado con tu equipo cuando tú no estás con él

En solo unos segundos de descuido tu cuenta de Facebook, o de cualquier otro servicio, ha podido volar, por lo que ten un cuidado extremo de proteger tu equipo contra cualquiera que tenga acceso físico a tu máquina. Por supuesto, evita cachear contraseñas en el navegador, pero si lo haces que sea con Master Password. En equipos portátiles puedes poner sistemas de seguridad que incluso detecten el movimiento cuando alguien los toca, como el caso de iAlertU.

Figura 5: iAlertU - Cuando alguien toca tu equipo, le tira una foto con la Webcam

Además, por si alguien se ha hecho con tu contraseña en la empresa - que expertos en Shoulder Surfing hay muchos - para que no a utilice sin tu permiso puedes ponerte Latch para Windows, Latch para Linux o Latch para OS X y así mientras que tu equipo esté solo en tu zona de trabajo nadie lo va a poder tocar.

Saludos Malignos!

42 comentarios:

Anónimo dijo...

@Maligno
La cookie de sesión en Facebook queda anulada tras cerrar el navegador.

Chema Alonso dijo...

No, tienes que hacer logout

Anónimo dijo...

@Maligno
Lo puedes comprobar desde Chrome.

Chema Alonso dijo...

No. Probado. Solo en modo anónimo.

Anónimo dijo...

@Maligno
No es cierto, sí que es posible.

Chema Alonso dijo...

@Anónimo, bueno. Esto es así tiempo ha, lo hemos probado con cinco equipos distintos otra vez, y sigue funcionando igual. El evento de Close del navegador no mata la cookie de sesion. Sorry.

Solo en modo incógnito, donde se borra físicamente la cookie la sesión desaparece.

Saludos!

rodrigo dijo...

Que pesado el anonimo ese. Es duro para entender que cerrar el navegador no cierra la sesion.

Anónimo dijo...

@Maligno
Entonces es cuestión de magia, porque yo lo he probado igualmente en varios equipos y sí cierra la sesión. Sorry.

Chema Alonso dijo...

@Anónimo, no. Es cuestión de que tú tienes algo configurado en tu navegador para borrar las cookies. Solo eso.

Saludos!

Unknown dijo...
Este comentario ha sido eliminado por el autor.
Anónimo dijo...

@Maligno
Negativo. Navegador Chrome, configuración por defecto, y tan solo anula la sesión de Facebook.

Chema Alonso dijo...

@anónimo, pues algo hay. Revisa en profundidad tus configuraciones, tus plugins, etc... Creeme que Facebook no mata la sesión con el evento Close del navegador. Solo estás perdiendo las cookies de la caché (¿la borras?)

Saludos!

Anónimo dijo...

Es probable que si al iniciar sesión en FB no marcas "No cerrar sesión" el navegador sí borre las cookies al cerrarse.

Anónimo dijo...

@Maligno
No borro nada, ni tampoco hago nada especial. Tan solo cierro Chrome, dejando la sesión de Facebook abierta, y vuelvo a abrir Chrome. La sesión se invalida. Sin embargo, misma operación con Gmail, y la sesión permanece abierta. Garantizado al 100%, Chema.

Anónimo dijo...

Aja, y como evitar eso?

Anónimo dijo...

Creo que Anónimo está tomando mal la cookie, y creo que toma el Session ID (que si cambia cuando cierras el navegador). Pero en la imagen se ve claro que nunca tomas ese session ID, solo los datos que hacen que tu conexión a Facebook sea persistente (Si tu cierras el navegador sin hacer logout y apagas tu equipo, al otro día al abrir Facebook no tienes que volverte a loguear, dado que ya estas logueado, por eso el ataque funciona y por eso es que estas equivocado, la Cookie no expira (es reutilizable) y te puedes loguear en otro equipo sin problemas, ahí si, o haces Logout o en la configuración de FB cierras todas las sesiones activas "a las malas" haciendo que esas Cookies expiren

Anónimo dijo...

una vez que tengo las cookies, que herramienta es la que se usa? gracias, saludos

Anónimo dijo...

A mi me cierra la sesion, porque no tengo el check de mantener la sesion iniciada en facebook.. pero no he comprobado si borra las cookies..

Anónimo dijo...


Probado, funciona, al cerrar el navegador de donde se tomaron las cookies se puede seguir accediendo a la cuenta. Si se abre nuevamente el navegador y se reloguea (no se tiene el recordar pass activo), ahí si expira la cookie.

Gracias por compartir :)

Anónimo dijo...

Tiene razón Chema, no borra a sesión y no caduca. Yo le hice la coña a un compañero de trabajo llegando antes que él, al día siguiente de que apagara el ordenador y puede entrar en su sesión sin problemas.

Ivanuco dijo...

a mi lo que me ocurre es que no me muestra todo el valor de algun valor pues es mas largo que lo que me muestra y aunque lo expanda acaba con los ..... de que la cookie es mas larga

Unknown dijo...

soy super novato aqui.. perdonar. pero en las Cookis solo veo un monton de numeros raros, ( o numeros con letras) que tiene eso que ver con la contraseña? ( me imagino que algo) pero como transformo esos numeros en algo que se pueda leer.

Unknown dijo...

Y despues de obtener las cookies, como los puedo usar?

Anónimo dijo...

copio la cookie del facebook que quiero hackear, la ingreso a (greasemonkey cookie injector script) Wireshark Cookie Dump: con
control C en https://www.facebook.com pero no pasa nada , debe ser por el https
me parece que solo se podia cuando era http..

Anónimo dijo...

Eso suponiendo que cuando haces click el navegador no se dedique apensar lo que quieres y empiece a mover la ruedecita de espera, como es habitual. O que el ordenador equipado con un super windows multitarea (ejem) esté guardando un archivo de word de 300 Mb y entonces podrás comprobar como se congela y el propietario del equipo te sorprende en bragas porque tu ordenador con 8 Gb de RAM no puede ejecutar varias tareas a la vez. ¿Qué, que no?. Prueba a intentar ver el contenido del lector de CD sin disco o a grabar un archivo grande y podrás ver lo que vale tu sistema operativo.

Max Power dijo...

Pero algunos valores son muy largos y ni siquiera me deja hacer copy/paste. Así que mucho peor hacerle una foto.

Anónimo dijo...

escribio cantinflas esto , no entendi jajajaj..

Unknown dijo...

Muy bueno, pero un par de cookies no entran en la foto por mucho que muevas las columnas :)

Unknown dijo...

Juas, cuánto juanker por aquí suelto. Como para extrañarse luego de que la peña no cierre sesión, amos.

Anónimo dijo...
Este comentario ha sido eliminado por el autor.
1000 Tips dijo...

Una vez mas queda demostrado que no puedes confiar en nadie, ni en tu propia sombra.

Anónimo dijo...

Chema que te plagian http://www.adslzone.net/2015/01/21/robar-cuenta-facebook/

Anónimo dijo...

como se llama el programa para modificar cookies

Anónimo dijo...

una vez tengo la foto tomada de las cookies, como las cargo? que quiere decir, utilizando una herramienta que te permita configurar las cokkies de navegador? cual es? gracias

JuanPi dijo...

Estáis usando las herramientas de desarrollador en modo horizontal? Así si salen completas. Por cierto, aun mas rápido que con Ctrl+Shif+I es con F12. Saludos Doctor Maligno!

Anónimo dijo...

Una vez que tengo la foto de las cokies como desifro la contraseña?

leila dijo...

kien me puede ayudar a robar una cuenta xfis se lo agraseria toda,la vida xfvor ����������

Jonathan Intriago dijo...

La contraseña

Jonathan Intriago dijo...

La contraseña

Unknown dijo...

Jose

Unknown dijo...

Jose

blade0912 dijo...

Que heramienta puedo usar para configurar manualmente la cookie

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares