Hola de nuevo a todos los lectores de este blog informático. En el dia de hoy se pone a disposición a ustedes un articulo que estaba previsto para salir hace un buen tiempo pero por cuestiones de tiempo y disposición hasta ahora fue posible realizar. Este articulo trata, por supuesto, de la manera en la cual los hackers hackean facebook.
Hoy en este post se mostrarán 3 técnicas diferentes que los hackers utilizan para poder acceder ilegalmente a un facebook, esto con el fin de que ustedes como usuarios de la plataforma sean prevenidos ante lo que aquí sucede y no se dejen engañar, ya que ustedes mismos son gran parte de la ecuación. Sin mas, empecemos.
Disclaimer legal: ojo no hagas nada irresponsable con esta información, ya que al menos en Colombia puedes romper múltiples leyes y te la pueden clavar hasta China. A continuación dejo la legislación respectiva para que lo sepan de antemano:
LEY ESTATUTARIA 1266 DEL 31 DE DICIEMBRE DE 2008 (Republica C. d., 2008)
Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.
En el 2009 se decretó la ley 1273 de 2009, la cual señala, acerca de los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos y de los atentados informáticos y otras infracciones, situación que liga esta ley a la ISO27000 (Camelo, 2010)
LEY 603 DE 2000 (Republica C. LEY 603 DE 2000, 2000)
Esta ley se refiere a la protección de los derechos de autor en Colombia. recuerde: el software es un activo, además está protegido por el derecho de autor y la ley 603 de 2000 obliga a las empresas a declarar si los problemas de software son o no legales.
LEY 1273 DEL 5 DE ENERO DE 2009 (Republica C. Ley 1273 , 2009)
Por medio de la cual se modifica el código penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.
LEY 1341 DEL 30 DE JULIO DE 2009 (Republica C. , LEY 1341, 2009)
Por la cual se definen los principios y conceptos sobre la sociedad de la información y la organización de las tecnologías de la información y las comunicaciones -tic-, se crea la agencia nacional del espectro y se dictan otras disposiciones.
(Republica C. , LEY ESTATUTARIA 1581, 2012)
Entró en vigor la ley 1581 del 17 de octubre 2012 de protección de datos personales, sancionada siguiendo los lineamientos establecidos por el congreso de la república y la sentencia c-748 de 2011 de la corte constitucional.
Ahora si, sabido esto, empecemos.
¿Como se hackea un Facebook?
Creo que como admin de varios grupos de hacking una de las primera preguntas que hacen apenas entran es ¿Como puedo hackear un facebook? y luego, después de una retahíla de 15 minutos de explicarles porque eso es super ilegal y que si te pillan haciéndolo tu ano será del diámetro de un aro de basquet cuando te violen en la cárcel, terminó diciéndoles los 3 métodos básicos que un hacker utilizaría para hackear un facebook. Eso sí, sin dar una explicación completa de como funciona cada cosa porque eso sería ilegal y siempre terminan preguntándome por interno que les de la explicación completa. Pues bien, aquí está.
Existen 3 ataques que pueden utilizarse con relativa facilidad para realizar la tarea solicitada. Estos son el phishing, osea, la falsificación de una web, en este caso facebook, creando un servidor propio donde la víctima, confundida por el aspecto de la página, imputará sus datos que serán enviados a nosotros, Los keylogger, que nos permiten guardar un registro de los inputs realizados por el objetivo al cual apuntamos y finalmente un payload en forma de .exe (suponiendo que el objetivo use una pc con windows) con el fin de realizar una conexión de shell inversa que nos permita activar meterpreter y con este VNC para observar directamente al objetivo. A continuación procederé a explicar cada una de las tres a profundidad, con la esperanza de que el tema quede lo suficientemente claro.
cabe decir, por ultimo, que estas no son las únicas técnicas existentes, son solo ejemplos de lo que se puede hacer con un poco de paciencia y conocimiento , ahora facilitado por la plataforma github.
1) Phising
hasta este artículo, no había hablado de phishing en el blog porque este tema es ultrailegal y no quiero que me cierren el blog :') , pero hoy he decidido que voy a poner una descripción de lo que se puede hacer con esta técnica.
El phishing básicamente, es el engañar a un objetivo con el fin de que crea que esta accediendo a una pagina web cuando en realidad lo que esta haciendo es enviado su información a un servidor que previamente hemos configurado para recibirla y así poder extraerla. En este caso, el ejemplo que vamos a dar lo haremos con el programa SEToolkit, el cual podremos conseguir gratuitamente en https://github.com/trustedsec/social-engineer-toolkit. Se instala descargando el programa e instalando los requerimientos desde consola en la carpeta descargada con:
pip install -r requirements.txt
A continuación dejo el video muy corto de como es que un hacker hace el engaño y les recuerdo que hacer este tipo de actividades es ilegal y en ningún caso deberían realizarse más que para realizar ethical hacking.
Un keylogger es un programa diseñado para capturar las pulsaciones del teclado, con el fin de obtener el usuario y posibles contraseñas que el mismo objetivo proporcione a través de su teclado. Existen múltiples keyloggers, y para este ejemplo utilizaremos el keylogger llamado Python simple keylogger que puedes enncontrar gratuitamente en github en https://github.com/Seancarpenter/Python-Keylogger. A continuación dejo un video de como funciona un keylogger y como nos pueden robar nuestro usuario y contraseña en un sitio si nos lo instalan:
3) payload
No voy a volver a mandar el tutorial aquí de payload, así que te dejo el link a la entrada principal que describe cómo realizar este procedimiento que consiste básicamente en inyectar un .exe con un payload maligno que luego nuestro objetivo ejecutará en su máquina y con el cual tendremos pleno control de la misma.
y eso es todo! si te gusto la entrada y te gustaría que hiciera entradas relacionadas a este tema, por favor deja tu opinión en la caja de comentarios y nos veremos en una proxima ocasion para mas información relevante sobre el hacking y las noticias de la seguridad informática. Hasta luego.
Comments
Post a Comment