miércoles, julio 22, 2020

El robo de cuentas de Instagram por Direct Messages con cuentas falsas

Ayer me entró un mensaje que pretendía ser de una cuenta de Instagram para denunciar contenido con Copyright en forma de Direct Messages. Yo tengo una extensión del navegador para poner una respuesta automática periódicamente a todos los mensajes, pero de vez en cuando veo alguno de ellos. Y este me llamó la atención.

Figura 1: El robo de cuentas de Instagram por Direct Messages con cuentas falsas

Me llamó la atención, porque en los últimos meses he recibido en mi cuenta de MyPublicInbox varias peticiones de personas que habían sufrido el robo de su cuenta de Instagram, así que le eché un ojito a esta cuenta en concreto.

Figura 2: Direct Message para robar cuentas de Instagram

El mensaje, como veis, tiene toda la pinta de ser una estafa, y si miras la cuenta de desde donde viene, lo único que han hecho es copiar el logo de Instagram, poner en la descripción el enlace a la URL original de Instagram donde explican su política de Copyright, y solo siguen a una cuenta - para dar sensación de autenticidad - que es la oficial de Instagram.

Figura 3: El portal de Phishing de Instagram (del 2019)

Cuando te vas a ver la dirección a la que apunta el sitio, se ve a la primera que s una Phishing de libro, así que desde una Kali Linux y usando una VM con Firefox jugué a ver qué hacía - no fuera a enviar un exploit o malware -, y se ve que solo eso, robar cuentas.

Figura 4: Cuando pones el usuario, te pide la password de Instagram

Cuando introduces el usuario, te pide la contraseña de la cuenta. De libro. Pero además, para llevarse todo lo necesario para quitarte la cuenta de libro, te piden el correo electrónico y su contraseña, una vez que ya se han llevado tu usuario y contraseña de Instagram. Si se lo das, bonus track.

Figura 5: Si le das el e-mail y tu password, mejor que mejor.

El formulario es un PHP cutre que no controla ni los Ataques Client-Side XSS con lo que es probable que los datos robados estén en un fichero TXT en el servidor y listo. De usar y tirar, porque no van a durar mucho en pie.

Figura 6: Un Cross-Site Scripting de libro por GET en la URL del PHP.

Como me topé yo con él, lo reporté al equipo de seguridad de ElevenPaths para que haga el takedown y cierre de la URL en el servicio de Conexión Segura inmediatamente, para que si eres cliente de Movistar puedas estar protegido desde ese instante si lo has activado, que es gratis.

Figura 7: Comunicación con el Global Cyber Security Incident Response Team

Por supuesto, también reporté ese usuario a Instagram para que tumbe la cuenta falsa cuanto antes, pero ten cuidado y avisa a los amigos y familiares, porque volverán a aparecer como setas, que ya has visto lo que se gastan en infraestructura. Nada y menos.

Figura 8: La cuenta creada para robar usuarios de Instagram

Yo he creado este post para avisaros a todos por todas las redes sociales que uso como canal de comunicación, pero además también publiqué un aviso en mi cuenta de Instagram, que cualquier información para la gente menos tecnológica es siempre buena.


Si quieres aprender cómo protegerse lo más fuerte posible contra todo este tipo de amenazas, te recomiendo que leas el libro de Cómo protegerse de los peligros en Internet de José Carlos Gallego.


Figura 10: Libro de "Cómo protegerse de los peligros en Internet" de 0xWord

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

4 comentarios:

Alejandro dijo...

Estuve investigando este tema un tiempo por el robo de cuenta de una persona conocida, y todo me llevo a un grupo llamado turkhackteam, despues del robo de cuentas proceden a extorsion por medio de whatsapp desde numeros en turquia, en los foros del turkhackteam explican como mantener la cuenta un tiempo, despues borrar todas las publicacione y comercializarla.

gabriel dijo...

Gracias por compartir esta información, en mi país a un amigo trataron de robarle con una página web parecida a la del banco al cual estaba afiliado.


shortysnet dijo...

Magnífico aporte Chema

Malignas gracias.

Unknown dijo...

cada vez que veo su blog, me viene a la mente una pregunta: google cierra sus servicios sin previo aviso (Wave, Notebook, Plus, AngularJS, JWT) y no creo que Blogger genere utilidades ... usted por que lo usa en lugar de otra plataforma? que haria si lo cierran?

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares