sábado, marzo 31, 2018

Cómo averiguar números de teléfono privados usando Paypal, Gmail, Facebook, Twitter y WhatsApp #Paypal #OSINT #WhatsApp #Facebook #Gmail

El presente artículo es una mezcla de técnicas OSINT (Open Source INTelligence) y algo de Doxing "desenmascaramiento de perfiles", donde como objetivo se trata de localizar el número de teléfono móvil de una persona. Esta información es algo que identifica cuasi unívocamente a una persona debido a las cada vez más restrictivas identificaciones a la hora de conseguir una tarjeta SIM y a la conexión constante a las antenas de comunicación celular que identifican dónde está el terminal en cada momento.

Figura 1: Cómo averiguar números de teléfono privados usando Paypal, Gmail, Facebook y WhatsApp

Con este ejercicio se quiere poner de manifiesto cómo una persona puede estar dejando que cualquier otro, con un proceso similar al escrito, pueda localizar el número de teléfono si la persona objetivo no ha tenido muy presente la privacidad de sus cuentas en Internet. En este caso concreto vamos a utilizar Paypal, Gmail, Facebook y WhatsApp, que si no tienen las opciones restringidas permiten ese proceso.

Paso 1: Conseguir el e-mail del objetivo

Este es un primer paso. Se trata de averiguar cuál es el correo electrónico de una persona para averiguar las cuentas en las redes sociales asociadas a ellas. Ese correo personal no ha sido tratado como una dato privado por las personas y, de hecho, se asume público y se comparte con mucha gente, cuando debería ser algo distinto. En muchos casos basta con hacer un poco de Hacking con Buscadores o de "stalker" en las redes sociales, para llegar a esta información.

Cada persona debería tener un correo electrónico "privado" como piedra angular, que no debería compartirse con nadie ni publicarse en redes sociales y solo usarse para registrarse en servicios que no lo filtren o para tenerlo como forma de recuperar cuentas sociales. Pero es difícil porque en la mayoría de los servicios es el nombre de usuario, y por tanto, público. Si se obtiene esa dirección de e-mail, es posible averiguar redes sociales en las que esa persona tenga presencia, para aprovecharse de los leaks que existan en cada una de ellas.

Un poco e-mail "guessing" con Facebook & Gmail

Sin embargo, no es así y la gente lo tiene expuesto en sus redes sociales. En otras ocasiones es fácil averiguarlo. Uno de los mecanismos que normalmente se hace es intentar adivinar cuál es el correo electrónico de una persona, haciendo e-mail guessing. Para ello, basta con pedir la recuperación de una cuenta en Facebook y obtener algunas de las letras del correo electrónico.

Figura 2: Letras del mensaje de correo electrónico en Facebook

Muchos servicios en Internet hacen algo parecido. Mostrar el correo electrónico parcialmente. Si conocéis algún servicio que lo haga, os lo agradecería si lo pusierais en los comentarios. Además, en el caso de Facebook, si no se ha Protegido correctamente la dirección de e-mail, alguien podría jugar a averiguar el correo viendo qué sale en los resultados de búsqueda. Este artículo de Facebook y la Privacidad del correo electrónico habla de eso.

Figura 3: Con el e-mail Facebook te deja ver la foto asociada para hacder e-mail guessing

Si no hemos averiguado el correo electrónico con Facebook, pero tenemos algunas de las letras del e-mail, podemos jugar con Gmail a averiguar el mensaje completo. Para ello, basta con poner la dirección de correo electrónico en el destinatario de un mensaje de Gmail y ver la fotografía que nos aparece - si es una cuenta de Google -. Si no es la buena, volvemos a cambiar y probar otra.

Figura 4: e-mail guessing con el cliente de Gmail

Desde mi punto de vista personal es un fallo garrafal, ya que puedes escribir las combinaciones que se te ocurran de una dirección de e-mail y pasando el cursor por encima de todas las combinaciones, sabrás cuál es la correcta al ver la foto.

Cellphone number "guessing" con Paypal & WhatsApp

La próxima vez que pase por delante de las oficinas de PayPal , entraré a decirles que dejen de dar cuasi-entero mi número personal a todo el mundo. Hoy en día prácticamente todo el mundo tiene una cuenta de Paypal, la misma que usamos para comprar por Amazon - aunque  a veces te falle con las Nancys -.

Figura 5: Pidiendo ayuda para recuperar la cuenta

Paypal nos da más de la mitad de los números

Cuando se da a recuperar la contraseña en Paypal debes poner la dirección de correo electrónico que has averiguado en el paso anterior y te saldrá la opción de enviar un código al número de teléfono que la persona ha asociado a esa cuenta. Si lo ha asociado. Y como veis, se muestran 5 de los 9 dígitos del número.

Figura 6: Paypal te da 5 de los 9 números del teléfono

Esto hace que el ataque, más que fuerza bruta, yo lo calificaría como de fuerza media. Al final, nos faltan 4 posiciones, por lo tanto sin hacer mucha matemática son 10.000 las combinaciones posibles. del 0000 al 9999. No hay magia.

Importemos los contactos a Gmail

Para averiguar el número, he hecho este pequeño ejercicio, pero seguro que a alguno se le ocurre alguno más rápido - a los comentarios con él -. Ahora que tenemos una hoja de cálculo con 10.000 números de teléfono entre los que está el de nuestra víctima, solo nos queda encontrarlo.

Figura 7: Hoja Excel con 10.000 contactos ficticios

Ahora Importamos la hoja con los 10.000 contactos a nuestra cuenta de Gmail. Nuestro cerco se estrecha ya que la gran mayoría de los números no existirán. El ratio que he estimado tras varias pruebas es del 30%. Quedándonos de media, con 3.000 números válidos.

Figura 8: Importamos los contactos a Gmail

Y una vez hecho esto, lo sincronizamos con nuestros contactos del terminal Android. En iPhone con iOS seguro que es más o menos similar o existe una forma de hacerlo.

Miremos fotos en WhatsApp

Ahora pueden darse dos situaciones muy comunes. La primera de ellas es que el contacto no haya leído los artículos de Chema Alonso de Proteger WhatsApp a Prueba de Balas y la foto de perfil de WhatsApp sea pública, que es lo que sucede en el 90% de los casos, más o menos. En ese caso nos abrimos un buen vino de "El Bierzo", y sólo nos queda bajar por nuestros contactos de WhatsApp durante 10 o 15 minutos aproximadamente - eso se tarda en revisar 3.000 contactos con una buena conexión - hasta que veamos a nuestro objetivo. Easy Stuff! Tened en cuenta que hasta la gente que utilizaba su número de teléfono en contactos "adultos" tenía su foto pública.

Figura 9: Contactos "adultos" con foto pública en WhatsApp

También puede pasar que la foto de perfil de WhatsApp no sea pública, en el otro 10% de los casos. Estos suele pasar si nuestro "target" es un loco de la privacidad, y ha puesto su foto sólo visible a los contactos que él tiene agregado. Mucho peor si es una de esas personas que se pone de foto de perfil una colina o el mar atardeciendo (WTF!...). ¿estamos perdidos? No, aún nos queda un tiro.

Volviendo a Facebook y Twitter, con los números de teléfono que nos quedan

Si no hemos conseguido encontrar entre nuestros números de teléfono en WhatsApp a nuestro objetivo, seguro que hemos podido descartar una gran cantidad. Así que, entre los que no eran números válidos, los que hemos descartado con WhatsApp, nos queda probar el truco de averiguar la cuenta detrás de un número de teléfono en Facebook.

Figura 10: Averiguar la cuenta de Facebook detrás de un número de teléfono

De esto ya se publicó por aquí en un post para averiguar la cuenta en Facebook detrás de un número de teléfono, así que solo deberemos ir metiendo con paciencia el número en la página de Facebook y ver las fotos y/o correos electrónicos a los que vamos accediendo. Hay un post muy interesante de cómo gestionar el número de teléfono en las opciones de privacidad de Facebook... o cómo puede ser un grave fallo.

Figura 11: Averiguar cuentas de Twitter asociadas a número de teléfonos

Pero no hay que olvidarse de que en Twitter esto funciona de forma muy similar, así que si te queda algún número de teléfono pendiente, también se puede probar con la otra red social. Aquí tienes un artículo de Cómo averiguar cuentas de Twitter asociadas a números de teléfono.

¿Cómo protegerse de esto?

Pues la solución es fortificar las opciones de privacidad de Paypal, de Gmail, de Facebook y de WhatsApp. Aquí os dejo algunos enlaces interesantes del blog, pero para el caso de Paypal, Chema Alonso ha prometido un post con la info y los pasos necesarios para conseguir tener una cuenta de Paypal protegida y que no filtre 5 de los 9 números de teléfono.

Saludos!

Autor: Pablo García Pérez

10 comentarios:

  1. Es una manera que podemos usar a la inversa para protegernos. Muy útil, gracias.

    ResponderEliminar
  2. Interesante gracias por la info

    ResponderEliminar
  3. El concepto de tener un mail privado está bien pero es insuficiente. Por un lado están las filtraciones o que muestren parte de él como se enseña en el artículo. Pero, además está la posibilidad de que si alguien se registra en una app con el mismo correo que tiene en Facebook, se le pueda mandar publicidad personalizada expresamente a él y cosas asi. La mejor solución a esto creo que es tener un dominio propio que nos otorgará un número casi infinito de mails, y usar en cada plataforma un mail distinto.

    ResponderEliminar
    Respuestas
    1. Tambien pueden rastrear por medio de la informacion de tu dominio propio.

      Eliminar
  4. Ahora no recuerdo, pero en la cuenta de Outlook.com o la web de Microsoft para validar licencias da casi todos los n’umeros de tu m’ovil.

    Un saludo

    ResponderEliminar
  5. Lo mejor es no usar redes sociales y sitios de pago en linea (todo en efectivo) xD

    ResponderEliminar
  6. ¿Hay manera de saber si tengo el telefono movil pinchado (whatsapp, correo, etc hackeado)?

    ResponderEliminar
  7. Como creo la hoja de exel con todas las combinaciones posibles?? Ayuda porfa

    ResponderEliminar