Sappo para Twitter: Cómo usar Sappo para "silenciar" a un Twittero

Hace un año, en la conferencia de Open Expo 2018, di una charla en la que presentaba una actualización de nuestra herramienta para hacer Spear Apps to Steal OAuth Tokens que bautizamos como Sappo. Le habíamos añadido en el equipo de Ideas Locas en ElevenPaths la capacidad de controlar una cuenta de Twitter a partir del robo de un token OAuth. Hice la charla allí, pensando que la iban a grabar pero no, no fue así, así que se perdió como las lágrimas en la lluvia.

Figura 1: Sappo para Twitter: Cómo usar Sappo para "silenciar" a un Twittero

Como este año voy a volver a ir a Open Expo Europe 2019, he pedido que graben la charla, porque también voy a contar algo nuevo de lo que no hemos hablado nada por ahora. Pero antes, para que tengáis la información completa, os voy a contar básicamente qué es lo que hicimos el año pasado. Allí presentamos una ampliación de Sappo con objetivo Twitter  para conseguir:

1. Ver, Enviar y Eliminar Mensajes privados en Twitter.
2. Publicar y Eliminar Twitts en el time-line de la cuenta controlada.
3. Hacer unfollows de la gente a la que sigue la cuenta controlada.
4. Hacer que dejen de seguir los followers a la cuenta controlada.

Antes de comenzar a ver cómo funciona el proceso, os dejo las referencias para que leáis lo que ya hemos publicado de Sappo, RansomCloud O365 y la amenaza de OAuth.

Referencias de Sappo

[Post] Sappo: Spear APPs to steal OAuth-Tokens
[Post] Sappo: RansomCloud O365
[Post] Cómo se ha hecho a Gmail el ataque de SPAM masivo por OAuth 2

[Post] Google alerta de las apps NO verificadas al pedir permisos OAuth. Microsoft Office 365 aún debe mejorar un poco.
[Post] OAuth: La amenaza invisible

Y, como no, la charla de la RootedCON 2016 donde hablamos de este tipo de ataques por primera vez y mostramos Sappo al público.


Figura 2: RootedCON 2016 "Sólo hay que besar un Sappo"
Y ahora vamos a ver los diferentes ataques para conseguir hacer todo lo que se puede hacer con Twitter. Para ello, como en los casos de Gmail, de Outlook y de Office 365, primero es necesario crear una app en Twitter que utilizaremos después en Sappo. 

Figura 3: Zona de creación de apps en Twitter para developers

Para ello hay que ir a la sección de apps, convertir la cuenta de Twitter en Developer Account y rellenar el formulario de tu app. En este artículo tienes explicado el proceso: "How to create a Twitter app in 8 easy steps". Nosotros la creamos, y la dimos de alta en Sappo, para poder utilizarla como los demás, así que la vais a ver utilizada en nuestras demos en los vídeos.
1.- Toma de control de la cuenta de Twitter con Sappo

Para tomar control de la cuenta de Twitter, es necesario que la víctima de permisos a la App de Twitter maliciosa que hemos creado para Sappo, para ello, hacemos un ataque se Spear Phishing que lleva un enlace a la petición de permisos de acceso, tal y como se explica en el artículo de Sappo que publiqué en el año 2016. 

Figura 4: Sappo para Twitter. Robo de token OAuth de cuenta Twitter

En este vídeo tienes el proceso completo, así que una vez que se tiene el token OAuth concedido, podemos continuar con el resto de los ataques. Un punto interesante es que los tokens de Twitter duran una infinidad de tiempo como válidos.

2.- Ver, Eliminar y Publicar Tweets en el Tiem-Line
Una vez que ya tenemos el token validado en Sappo, se puede proceder a gestionar el Time-Line de la cuenta de Twitter. Es decir, se pueden ver todos los mensajes, se pueden eliminar y se pueden publicar nuevos mensajes que saldrán en el Time-Line. En este vídeo se puede ver cómo funciona esto desde Sappo.

Figura 5: Sappo para Twitter. Ver, Eliminar y Publicar mensajes en el Time-Line
3.- Forzar la cuenta a dejar de seguir otras cuentas Una de las opciones que tiene Sappo para Twitter es que puede forzar a la cuenta controlada a dejar  de seguir a cualquier cuenta que esté siguiendo en ese momento, con lo que no le llegaría ningún mensaje publicado por ninguna de esas cuentas que ahora seguía. 

Figura 6: Sappo para Twitter. Hacer unfollow a todas las cuentas que se siguen
Además, seguro que alguno de los que sufren el "unfollow" se van a enfadar y ponerle a caldo, que buenos son los twitteros con los "unfollow".
4.- Hacer que la cuenta pierda todos sus followers
Esta es una de las características que más daño puede hacer al dueño de la cuenta, ya que se trata de que pierda todos sus followers. El truco es bastante sencillo. Desde la Sappo, usando la App de Twitter autorizada con el Token, se bloquea y desbloquea a todos los followers. El resultado es que cuando se hace un bloqueo a una cuenta, automáticamente se le fuerza a la cuenta a hacer el unfollow, y aunque luego se hace el desbloqueo de la cuenta, el sistema ya no hace el follow otra vez.

Figura 7: Sappo para Twitter. Eliminar todos los seguidores de una cuenta

Si se quiere rehacer esta operación, cada usuario que ha sido bloqueado y desbloqueado, debería hacer un follow otra vez, con lo que el proceso no sería rápido, ni sencillo, y a una cuenta con muchos followers que haya tardado años en hacerse con sus seguidores, le puede hacer mucho daño.

5.- Ver, Borrar y Enviar Direct Messages

Por supuesto, también se pueden gestionar los mensajes privados que envía y recibe la cuenta, como Direct Messages. El resultado final es que se puede manipular completamente todo desde Sappo.


Figura 8: Sappo para Twitter. Ver, Eliminar y Enviar Direct Messsages
Eliminar Apps aprobadas en tu cuenta Twitter

Al final, si se tiene un Token OAuth autorizado en Twitter se puede hacer de todo, por lo que si tienes una cuenta de Twitter deberías revisar a qué Apps le has dado permiso. Estas se pueden ver en https://twitter.com/settings/applications. Recuerda que un token OAuth en Twitter aprobado puede durar eones... Y con Sappo se le puede dejar sin Tweets publicados, sin cuentas a quién seguir, sin followers y sin Direct Messages. Totalmente en silencio.

Saludos Malignos!