Anon
🏴☠️
Owner
Staff
Moderador
Paladín de Nodo
Jinete de Nodo
Burgués de Nodo
Noderador
Nodero
Noder
En este posts voy a explicar una forma rápida de lograr el acceso a una cuenta de Gmail que tenga activado el 2FA (autenticación en 2 pasos).
Si este post recibe el suficiente apoyo haré una actualización subiendo el material necesario para que podáis probarlo vosotros mismos. ¡Empezamos!
Introducción
El 2FA es una medida de seguridad que actúa como una capa de protección adicional para complementar la básica que es la de usuario:contraseña.
Si bien una contraseña está formada por 6-20 caracteres entre ellos mayúsculas y minúsculas incluyendo números y otros signos de puntuación admitiendo
otros caracteres como pueden ser % & # € etc el código 2FA se basa en 6 números generados aleatoriamente. Este código es generado y mandado por SMS
al usuario para que lo introduzca en el sistema y se garantice que el usuario que está haciendo login en el sistema es efectivamente el poseedor de esa cuenta.
El 2FA está disponible en todas las redes sociales y gran parte de servicios online incluyendo webs y blogs.
En la mayoría de los casos basados en este esquema se suele usar como factores de autenticación:
Combinando ambas partes, el usuario se autentica en el sistema.
Muchos usuarios creen que con el 2FA activado son invencibles a los posibles ataques de los ajenos de lo desconocido, ¿y tú, eres uno de ellos?
Para "romper" esta barrera y lograr acceso a la cuenta/sistema usaremos la vieja técnica del phishing. ¿Cómo? Fácil, de la misma manera que el usuario
introduce sus credenciales formados por correo/nick y contraseña lo haremos para que sea el propio usuario el que nos diga su código de autenticación en dos pasos.
Proceso
Al iniciar sesión en el sistema se enviaría un código de verificación al usuario. Después, el usuario introduce el código en la web maliciosa y el atacante completa
la suplantación del inicio de sesión haciendo uso de dicho código. Adjunto una imagen donde se entiende mejor.
La prueba que haremos será en Gmail pero este proceso será idéntico al resto de servicios. Para esto, generamos un clon de Gmail añadiendo en el código que contiene llamadas
a scripts php para que guarden los credenciales y para ejecutar otros procesos.
Los pasos del proceso serían los siguientes:
- Servidor web con el clon de Gmail
- Redigirimos al usuario al portal falso con ingeniería social o email spoofing
- El usuario introduce los credenciales en el clon de Gmail que hemos generado
- AHORA, es cuando viene lo importante. Se le presentará otra web pidiendo el código de 2FA
- Claro está, este código es enviado al usuario y tiene tiempo de validez y puede caducar, por lo que haremos lo siguiente
- Nuestra máquina una vez almacenados los credenciales lanzará un script haciendo uso de Selenium (para automatizar el proceso)
- Este script abrirá nuestro navegador e introducirá los credenciales en la página real de Gmail
- Introduciremos los credenciales en Gmail y mandará un SMS con el código al usuario
- Cuando éste reciba el código lo introduce en nuestro clon de Gmail y es redirigido al Gmail real, haciendo creer que lo ha introducido mal
- Nosotros, al recibir el código REAL introducido por el usuario engañado por nuestro clon de Gmail, logramos el acceso completo a la cuenta del usuario
"rompiendo" así la barrera de autenticación en dos pasos.
Funcionamiento:
Recursos:
Como mencioné al principio del post, si este post recibe el suficiente apoyo subiré todos los recursos que os harán falta para hacer el procedimiento siendo estos
un portal web clon de Gmail, script para almacenar los credenciales obtenidos, script para lanzar el script de Selenium y claramente el script de Selenium.
Si quieres apoyar al foro y al contenido que subimos, puedes compartir tu link de referrido del usuario de Nodo localizado en los paneles del menú principal,
en la barra lateral izquierda abajo del todo. Ese link te dará +3 puntos por cada amigo que traigas al foro, siendo estos activados una vez él abra su primer post.
Eso es todo, nos vemos!! ;)
Si este post recibe el suficiente apoyo haré una actualización subiendo el material necesario para que podáis probarlo vosotros mismos. ¡Empezamos!
Introducción
El 2FA es una medida de seguridad que actúa como una capa de protección adicional para complementar la básica que es la de usuario:contraseña.
Si bien una contraseña está formada por 6-20 caracteres entre ellos mayúsculas y minúsculas incluyendo números y otros signos de puntuación admitiendo
otros caracteres como pueden ser % & # € etc el código 2FA se basa en 6 números generados aleatoriamente. Este código es generado y mandado por SMS
al usuario para que lo introduzca en el sistema y se garantice que el usuario que está haciendo login en el sistema es efectivamente el poseedor de esa cuenta.
El 2FA está disponible en todas las redes sociales y gran parte de servicios online incluyendo webs y blogs.
En la mayoría de los casos basados en este esquema se suele usar como factores de autenticación:
- Algo que el usuario sabe: contraseña.
- Algo que el usuario posee: dispositivo móvil.
Combinando ambas partes, el usuario se autentica en el sistema.
Muchos usuarios creen que con el 2FA activado son invencibles a los posibles ataques de los ajenos de lo desconocido, ¿y tú, eres uno de ellos?
Para "romper" esta barrera y lograr acceso a la cuenta/sistema usaremos la vieja técnica del phishing. ¿Cómo? Fácil, de la misma manera que el usuario
introduce sus credenciales formados por correo/nick y contraseña lo haremos para que sea el propio usuario el que nos diga su código de autenticación en dos pasos.
Proceso
Al iniciar sesión en el sistema se enviaría un código de verificación al usuario. Después, el usuario introduce el código en la web maliciosa y el atacante completa
la suplantación del inicio de sesión haciendo uso de dicho código. Adjunto una imagen donde se entiende mejor.
La prueba que haremos será en Gmail pero este proceso será idéntico al resto de servicios. Para esto, generamos un clon de Gmail añadiendo en el código que contiene llamadas
a scripts php para que guarden los credenciales y para ejecutar otros procesos.
Los pasos del proceso serían los siguientes:
- Servidor web con el clon de Gmail
- Redigirimos al usuario al portal falso con ingeniería social o email spoofing
- El usuario introduce los credenciales en el clon de Gmail que hemos generado
- AHORA, es cuando viene lo importante. Se le presentará otra web pidiendo el código de 2FA
- Claro está, este código es enviado al usuario y tiene tiempo de validez y puede caducar, por lo que haremos lo siguiente
- Nuestra máquina una vez almacenados los credenciales lanzará un script haciendo uso de Selenium (para automatizar el proceso)
- Este script abrirá nuestro navegador e introducirá los credenciales en la página real de Gmail
- Introduciremos los credenciales en Gmail y mandará un SMS con el código al usuario
- Cuando éste reciba el código lo introduce en nuestro clon de Gmail y es redirigido al Gmail real, haciendo creer que lo ha introducido mal
- Nosotros, al recibir el código REAL introducido por el usuario engañado por nuestro clon de Gmail, logramos el acceso completo a la cuenta del usuario
"rompiendo" así la barrera de autenticación en dos pasos.
Funcionamiento:
Recursos:
Como mencioné al principio del post, si este post recibe el suficiente apoyo subiré todos los recursos que os harán falta para hacer el procedimiento siendo estos
un portal web clon de Gmail, script para almacenar los credenciales obtenidos, script para lanzar el script de Selenium y claramente el script de Selenium.
Si quieres apoyar al foro y al contenido que subimos, puedes compartir tu link de referrido del usuario de Nodo localizado en los paneles del menú principal,
en la barra lateral izquierda abajo del todo. Ese link te dará +3 puntos por cada amigo que traigas al foro, siendo estos activados una vez él abra su primer post.
Eso es todo, nos vemos!! ;)