[GUÍA] Entrando en una cuenta de Gmail con 2FA

Anon

CEO de Nodo313 ⚡
Miembro del equipo
CEO
Staff
23 Dic 2018
3.545
5.760
En este posts voy a explicar una forma rápida de lograr el acceso a una cuenta de Gmail que tenga activado el 2FA (autenticación en 2 pasos).

Si este post recibe el suficiente apoyo haré una actualización subiendo el material necesario para que podáis probarlo vosotros mismos. ¡Empezamos!

92


Introducción

El 2FA es una medida de seguridad que actúa como una capa de protección adicional para complementar la básica que es la de usuario:contraseña.

Si bien una contraseña está formada por 6-20 caracteres entre ellos mayúsculas y minúsculas incluyendo números y otros signos de puntuación admitiendo

otros caracteres como pueden ser % & # € etc el código 2FA se basa en 6 números generados aleatoriamente. Este código es generado y mandado por SMS

al usuario para que lo introduzca en el sistema y se garantice que el usuario que está haciendo login en el sistema es efectivamente el poseedor de esa cuenta.

El 2FA está disponible en todas las redes sociales y gran parte de servicios online incluyendo webs y blogs.

En la mayoría de los casos basados en este esquema se suele usar como factores de autenticación:

  • Algo que el usuario sabe: contraseña.
  • Algo que el usuario posee: dispositivo móvil.

Combinando ambas partes, el usuario se autentica en el sistema.

93


Muchos usuarios creen que con el 2FA activado son invencibles a los posibles ataques de los ajenos de lo desconocido, ¿y tú, eres uno de ellos?

Para "romper" esta barrera y lograr acceso a la cuenta/sistema usaremos la vieja técnica del phishing. ¿Cómo? Fácil, de la misma manera que el usuario

introduce sus credenciales formados por correo/nick y contraseña lo haremos para que sea el propio usuario el que nos diga su código de autenticación en dos pasos.

Proceso

Al iniciar sesión en el sistema se enviaría un código de verificación al usuario. Después, el usuario introduce el código en la web maliciosa y el atacante completa

la suplantación del inicio de sesión haciendo uso de dicho código. Adjunto una imagen donde se entiende mejor.

94


La prueba que haremos será en Gmail pero este proceso será idéntico al resto de servicios. Para esto, generamos un clon de Gmail añadiendo en el código que contiene llamadas

a scripts php para que guarden los credenciales y para ejecutar otros procesos.

Los pasos del proceso serían los siguientes:

- Servidor web con el clon de Gmail

- Redigirimos al usuario al portal falso con ingeniería social o email spoofing

- El usuario introduce los credenciales en el clon de Gmail que hemos generado

- AHORA, es cuando viene lo importante. Se le presentará otra web pidiendo el código de 2FA

- Claro está, este código es enviado al usuario y tiene tiempo de validez y puede caducar, por lo que haremos lo siguiente

- Nuestra máquina una vez almacenados los credenciales lanzará un script haciendo uso de Selenium (para automatizar el proceso)

- Este script abrirá nuestro navegador e introducirá los credenciales en la página real de Gmail

- Introduciremos los credenciales en Gmail y mandará un SMS con el código al usuario

- Cuando éste reciba el código lo introduce en nuestro clon de Gmail y es redirigido al Gmail real, haciendo creer que lo ha introducido mal

- Nosotros, al recibir el código REAL introducido por el usuario engañado por nuestro clon de Gmail, logramos el acceso completo a la cuenta del usuario

"rompiendo" así la barrera de autenticación en dos pasos.

Funcionamiento:

95



Recursos:

Como mencioné al principio del post, si este post recibe el suficiente apoyo subiré todos los recursos que os harán falta para hacer el procedimiento siendo estos

un portal web clon de Gmail, script para almacenar los credenciales obtenidos, script para lanzar el script de Selenium y claramente el script de Selenium.

Si quieres apoyar al foro y al contenido que subimos, puedes compartir tu link de referrido del usuario de Nodo localizado en los paneles del menú principal,

en la barra lateral izquierda abajo del todo. Ese link te dará +3 puntos por cada amigo que traigas al foro, siendo estos activados una vez él abra su primer post.

Eso es todo, nos vemos!! ;)
 

Thegjv

Moder fav <3
Miembro del equipo
Moderador
Noderador
Nodero
Noder
30 Dic 2018
1.844
549
En este posts voy a explicar una forma rápida de lograr el acceso a una cuenta de Gmail que tenga activado el 2FA (autenticación en 2 pasos).

Si este post recibe el suficiente apoyo haré una actualización subiendo el material necesario para que podáis probarlo vosotros mismos. ¡Empezamos!

Ver el archivo adjunto 92

Introducción

El 2FA es una medida de seguridad que actúa como una capa de protección adicional para complementar la básica que es la de usuario:contraseña.

Si bien una contraseña está formada por 6-20 caracteres entre ellos mayúsculas y minúsculas incluyendo números y otros signos de puntuación admitiendo

otros caracteres como pueden ser % & # € etc el código 2FA se basa en 6 números generados aleatoriamente. Este código es generado y mandado por SMS

al usuario para que lo introduzca en el sistema y se garantice que el usuario que está haciendo login en el sistema es efectivamente el poseedor de esa cuenta.

El 2FA está disponible en todas las redes sociales y gran parte de servicios online incluyendo webs y blogs.

En la mayoría de los casos basados en este esquema se suele usar como factores de autenticación:

  • Algo que el usuario sabe: contraseña.
  • Algo que el usuario posee: dispositivo móvil.

Combinando ambas partes, el usuario se autentica en el sistema.

Ver el archivo adjunto 93

Muchos usuarios creen que con el 2FA activado son invencibles a los posibles ataques de los ajenos de lo desconocido, ¿y tú, eres uno de ellos?

Para "romper" esta barrera y lograr acceso a la cuenta/sistema usaremos la vieja técnica del phishing. ¿Cómo? Fácil, de la misma manera que el usuario

introduce sus credenciales formados por correo/nick y contraseña lo haremos para que sea el propio usuario el que nos diga su código de autenticación en dos pasos.

Proceso

Al iniciar sesión en el sistema se enviaría un código de verificación al usuario. Después, el usuario introduce el código en la web maliciosa y el atacante completa

la suplantación del inicio de sesión haciendo uso de dicho código. Adjunto una imagen donde se entiende mejor.

Ver el archivo adjunto 94

La prueba que haremos será en Gmail pero este proceso será idéntico al resto de servicios. Para esto, generamos un clon de Gmail añadiendo en el código que contiene llamadas

a scripts php para que guarden los credenciales y para ejecutar otros procesos.

Los pasos del proceso serían los siguientes:

- Servidor web con el clon de Gmail

- Redigirimos al usuario al portal falso con ingeniería social o email spoofing

- El usuario introduce los credenciales en el clon de Gmail que hemos generado

- AHORA, es cuando viene lo importante. Se le presentará otra web pidiendo el código de 2FA

- Claro está, este código es enviado al usuario y tiene tiempo de validez y puede caducar, por lo que haremos lo siguiente

- Nuestra máquina una vez almacenados los credenciales lanzará un script haciendo uso de Selenium (para automatizar el proceso)

- Este script abrirá nuestro navegador e introducirá los credenciales en la página real de Gmail

- Introduciremos los credenciales en Gmail y mandará un SMS con el código al usuario

- Cuando éste reciba el código lo introduce en nuestro clon de Gmail y es redirigido al Gmail real, haciendo creer que lo ha introducido mal

- Nosotros, al recibir el código REAL introducido por el usuario engañado por nuestro clon de Gmail, logramos el acceso completo a la cuenta del usuario

"rompiendo" así la barrera de autenticación en dos pasos.

Funcionamiento:

Ver el archivo adjunto 95


Recursos:

Como mencioné al principio del post, si este post recibe el suficiente apoyo subiré todos los recursos que os harán falta para hacer el procedimiento siendo estos

un portal web clon de Gmail, script para almacenar los credenciales obtenidos, script para lanzar el script de Selenium y claramente el script de Selenium.

Si quieres apoyar al foro y al contenido que subimos, puedes compartir tu link de referrido del usuario de Nodo localizado en los paneles del menú principal,

en la barra lateral izquierda abajo del todo. Ese link te dará +3 puntos por cada amigo que traigas al foro, siendo estos activados una vez él abra su primer post.

Eso es todo, nos vemos!! ;)
La teoría me la sabía pero de momento no me ha apetecido invertir el suficiente tiempo en ello xD a mi me hace gracia cuando la gente ya se piensa que es invencible con una contraseña toh larga hahahaha felicidades por este tipo de post que llaman la atención de los más nuevos y nos refresca a los más "veteranos" ;P
 
  • Like
Reacciones : Anon y qav

Thegjv

Moder fav <3
Miembro del equipo
Moderador
Noderador
Nodero
Noder
30 Dic 2018
1.844
549
Y una pregunta, la víctima no se da cuenta de que es una página falsa por el link me refiero
Ahí ya tendrías que usar una ingeniería social habil xD pero puede ser que se de el caso, me ha pasado alguna vez, pero normalmente la gente no se fija en eso no se por q
 

qav

No soy el mejor mod, pero soy un excepcional pato
Miembro del equipo
Burgués de Nodo
Moderador
Noderador
Nodero
Noder
30 Dic 2018
3.147
1.470
La teoría me la sabía pero de momento no me ha apetecido invertir el suficiente tiempo en ello xD a mi me hace gracia cuando la gente ya se piensa que es invencible con una contraseña toh larga hahahaha felicidades por este tipo de post que llaman la atención de los más nuevos y nos refresca a los más "veteranos" ;P
Totalmente de acuerdo :,)
 
  • Like
Reacciones : Thegjv

Poison

Miembro muy activo
Noder
18 Ene 2019
89
7
Joder, a por la segunda parte, mi apoyo está aquí, quiero esas tools!
 
  • Like
Reacciones : Samus
Arriba Pie