Hace algo de tiempo os hablé de cómo había visto unas campañas de robo de cuentas de Gmail y Hotmail por medio de tokens de acceso OAuth a la cuenta. Ahora, unas semanas después me he topado con el caso de una persona a la que habían conseguido engañar para robarle los tokens. Ese acceso además, lo utilizaron para leer durante mucho tiempo su correo electrónico y preparar un ataque a su vida personal y robarle dinero del banco. El esquema que usaron los cibercriminales fue el mismo que os conté el año pasado en el artículo "Dos casos reales de robo de dinero", en concreto el caso de la transferencia bancaria desde el correo electrónico.
Todo lo que se había utilizado en el esquema era información que estaba en los mensajes de correos electrónicos Enviados y Recibidos. Datos de cuentas, documentos, información personal para demostrar conocimiento y familiaridad con la persona del banco e incluso secciones de texto copiadas de correos electrónicos para repetir mismos términos y formalismos. Cuando tuve que analizar este caso, y viendo que la cuenta en un Hotmail, rápidamente pensé en el truco de los tokens OAuth de acceso al buzón, y ahí estaba la app fraudulenta que había conseguido acceso al buzón.
Figura 2: Una cuenta monitorizada durante meses por una app fraudulenta |
Como podéis ver, la cuenta estaba monitorizada desde el mes de Abril, pero habían estado esperando el mejor momento para poder trazar el plan de ataque, que se llevó a principios de Junio. Se tomaron todo el tiempo del mundo porque prácticamente nadie vigila los tokens OAuth que ha concedido. Por supuesto, el truco se completa simulando que es una conexión con una cuenta Google, algo que la víctima no tiene.
Puntos de revisión de tu cuenta de Hotmail y Gmail
Visto esto, os quiero dejar unas recomendaciones de seguridad que os recomiendo que hagáis ahora mismo en Gmail y Hotmail para descubrir si os están espiando el correo electrónico ahora mismo. Si es así, tomad las medidas de protección que os dejo después:
Revisión de Tokens OAuth: Como ya os expliqué en el otro artículo, debéis ir a las siguientes URLs y quitar acceso a todas las apps a las que hayáis concedido un token de acceso a vuestro buzón y no lo sepáis.
Figura 3: Apps conectadas a tu cuenta de Google |
- Apps conectadas a tu cuenta de Hotmail
- Apps conectadas a tu cuenta de Gmail
Revisar cuentas a las que se reenvía el correo: A veces cuando se tiene acceso a tu cuenta, alguien deja una cuenta de reenvío para seguir viendo tus mensajes de correos electrónicos aunque le quiten acceso:
Figura 4: Opciones de reenvío de correo electrónico en Hotamil |
- Cuentas a las que se envía tu correo de Hotmail
- Cuentas a las que se envía tu correo de Gmail
Poner un sistema de verificación en dos pasos: Tanto en Hotmail como en Gmail es imposible utilizar Latch - salvo como un hack para Gmail - pero sí que es posible en ambos utilizar Google Authenticator, así que tanto si tenías a alguien leyendo tu correo electrónico con alguno de los dos trucos anteriores como si no, puede que alguien te haya robado tu contraseña y esté entrando a tu buzón, así que:
Figura 5: Google Authenticator para entrar en Gmail |
- Cambia la password ahora mismo
- Configurar Verificación en dos pasos en Hotmail
- Configurar Verificación en dos pasos en Gmail
Es una pena cuando alguien tiene acceso a tu correo electrónico, ya que una vez que se han llevado todos tus datos se los han llevado para siempre y deberás pasar mucho tiempo cambiando la información que puedas, avisando a personas con las que trabajas y estando vigilante a lo que pueda pasar con tu vida digital en el futuro. Si esto te sucede, mira la posiblidad de contratar un seguro contra el robo de identidad.
Saludos Malignos!
Una pregunta tonta, o quizás no tanto:
ResponderEliminar¿No se puede configurar el hotmail para usar el 2FA de Google? Porque parece que te obligan a instalar la app de Microsoft, y lo ideal sería tenerlo todo en la misma app.
Gracias por tus consejos de seguridad e historias que nos cuentas.
No recuerdo como pero yo lo activé. Sí que se puede, o al menos se podía.
ResponderEliminarNo entiendo por que se asustan, si google y los trabajadores de google tienen acceso a todo... y cuando digo a todo digo todo....
ResponderEliminarEntiendo que para este caso da lo mismo tener 2FA con OTP o con biometría.
ResponderEliminarLa aplicación "pirata" no te está robando el token, sino que a través de OAuth pide un token a Google y Google previo permiso del usuario, lo genera.
Para protegerse, los usuarios tienen que responder que no cuando les pregunten "La aplicación XXXX quiere tener acceso a su correo". Otro tema es que via phising te puedan intentar engañar para que le des permiso.
Se puede incorporar algo como Latch para la parte de autorización (2FAuthZ) . En OAuth, cuando la aplicación cliente tiene un token, éste no suele caducar tras pasar mucho tiempo o salvo que el usuario lo revoque. Usando el pestilito en el móvil, el usuario de una forma cómoda, puede tener el control de cuándo se accede a su información.
El problema de la verificacion en dos pasos es cuando dos personas distintas usan la misma cuenta de gmail desde distintas ubicaciones, solo uno recibe el sms o llamada de voz y el otro no puede acceder.
ResponderEliminarEn el caso de Google y otros usan TOTP. Usando el mismo secreto como semilla, se puede tener el código del segundo factor desde múltiples ubicaciones simultáneamente.
ResponderEliminarNO se por que nos sorprendemos si cada vez estamos mas vigilados por google facebook y compañía buscas cualquier cosa en internet y a cualquier otro sitio que vayas ya te estan bombardeando con publicidad sobre algo buscastes antes
ResponderEliminarFd:Reparacion de Electrodomesticos
SI NECESITA UN SERVICIO DE HACKING ORIGINAL Y PROFESIONAL CONTACTO AMABLE: NOBLEWEBHACKERS@GMAIL.COM o whatsapp: +17177396911
ResponderEliminarSe trata de un grupo profesional de piratas informáticos más allá de la imaginación humana ... Creen en palabras mínimas el máximo impacto para que pueda testificar por sí mismo ... penetran en todas las bases de datos de sitios web sin dejar rastro ... Sus servicios son 100% garantizados y la devolución del dinero también, con su software de penetración no rastreable. Ofrecen los siguientes servicios;
-Ayuda a Registrarse en ILLUMINATI y hazte famoso más rápido
-Aumenta los suscriptores de YouTube, los me gusta y las vistas y también los seguidores de Instagram
-Cuenta multipalicación de dinero
-Carga de bitcoin sin ningún frente
-Tarjeta de cajero automático en blanco ilimitada con código de seguimiento para recoger
-Carga de cuenta bancaria
-Clara mala conducción
-Seguimiento de ubicaciones de víctimas
-Hacemos acreditaciones de cuenta con tarjeta de crédito no por adelantado
-SPYWARE PARA TODAS LAS CONVERSACIONES DE MEDIOS SOCIALES
-Western Union MTCN y Moneygram hackear
-Itune piratería de tarjetas
-Eliminación de puntaje de crédito anterior
-Cambio de calificaciones universitarias
-Erase de piratería de antecedentes penales
-Facebook hackear
-Twitters piratear
-hack cuentas de correo electrónico
-Grade Changes hack
-Sitio web hackeado
servidor hackeado
-Hack de Skype
Hack de bases de datos
-Word Press Blogs piratear
-Hack de computadoras individuales
-Controlar dispositivos de forma remota piratear
-Quemador de números de quemadores
-Verificado hack de cuentas de Paypal
-Cualquier hack de cuenta de redes sociales
-Android y iPhone Hack
-Hack de intercepción de mensajes de texto
-Correo electrónico de intercepción hack
- tarjeta de crédito para transacciones en línea gratuitas
-Ip imposible de rastrear, etc.
Nunca te arrepentirás de ninguno de sus servicios. Amigos, los recomiendo, confíen en mí, son gurús de Internet ...