{"id":2251,"date":"2011-05-12T16:32:43","date_gmt":"2011-05-12T14:32:43","guid":{"rendered":"http:\/\/www.tiendadeultramarinos.es\/?p=2251"},"modified":"2011-11-10T21:51:52","modified_gmt":"2011-11-10T19:51:52","slug":"phishing-%c2%bfsabias-lo-facil-que-es-hacer-una-pagina-que-robe-tus-datos","status":"publish","type":"post","link":"https:\/\/www.tiendadeultramarinos.es\/?p=2251","title":{"rendered":"Phishing \u2013 \u00bfSab\u00edas lo f\u00e1cil que es hacer una p\u00e1gina que robe tus datos?"},"content":{"rendered":"

Anoche unos amigos me comentaron sus infructuosos intentos por conseguir la contrase\u00f1a del facebook de una amiga. Es una buena amiga, s\u00f3lo lo quieren por diversi\u00f3n (para enviar solicitudes de amistad a usuarios filipinos) y para retarse a s\u00ed mismos. Sin pensarlo demasiado, les suger\u00ed algo de phishing<\/a>.<\/p>\n

Entonces me dije \u00bfPor qu\u00e9 no intentar hacer mi propia p\u00e1gina<\/a>? (tranquilo, no hace nada malo, puedes acceder con datos falsos tambi\u00e9n) Es un tema interesante y, como todo, se aprende mucho cuando lo haces por ti mismo. Pens\u00e9 que ser\u00eda mucho m\u00e1s complicado, pero en una hora consegu\u00ed una p\u00e1gina falsa de login que reenviaba usuario y contrase\u00f1a a mi email, y redirig\u00eda a facebook.com<\/em>. Todo sin saber apenas nada de PHP (lo poco de modificar alguna cosilla del blog), que he tenido que buscar hasta como concatenar cadenas. Y sin mirar ning\u00fan tipo de gu\u00eda sobre c\u00f3mo hacer una p\u00e1gina de phishing. Una hora<\/strong> trabajando por mi cuenta.<\/strong><\/p><\/a>

\n

Aunque mucha gente pueda saber lo que es el phishing, no se le da una importancia real porque todos pensamos que es mucho m\u00e1s complicado; sin embargo quiero demostrar aqu\u00ed lo sencill\u00edsimo que es empezar a pescar datos, para concienciaros de que hay que tener un poco m\u00e1s de cuidado al introducir nuestras contrase\u00f1as en los links que seguimos. Lo he probado con \u00e9xito con algunos de mis amigos<\/strong>. Si no te interesan los detalles t\u00e9cnicos, s\u00e1ltatelos y aprende a defenderte<\/a>.<\/p>\n

\"Gone<\/a><\/center><\/p>\n

Primero – Enviar email con PHP<\/h3>\n

Supongamos que queremos recibir los datos que introduce el usuario por email. Tambi\u00e9n se podr\u00edan ir almacenando en un fichero en nuestro servidor y luego consultarlo, pero para este caso me prefer\u00ed utilizar el email. En PHP es sencill\u00edsimo, y en esta p\u00e1gina explican todo<\/a>. Con un fichero de seis l\u00edneas es suficiente, el primer ejemplo de todos.<\/p>\n

Pero nosotros no queremos enviar siempre el mismo mensaje, queremos el usuario y contrase\u00f1a, que en la p\u00e1gina de login de facebook se env\u00edan como par\u00e1metros mediante POST bajo las variables\u00a0email<\/em> y pass<\/em>. As\u00ed que escribimos:<\/p>\n

$message = \u00abOtro pardillo pone sus datos!:\\n\\n\u00bb. $_POST[\u00abemail\u00bb] . \u00bb – \u00bb . $_POST[\u00abpass\u00bb];<\/em><\/p><\/blockquote>\n

En lugar de escribir en la misma p\u00e1gina si el email fue enviado con \u00e9xito, lo que hacemos es redirigir a facebook.com<\/em> (el usuario normalmente est\u00e1 ya logueado, por lo que no se dar\u00e1 cuenta de nada), por lo que escribimos al final del archivo:<\/p>\n

header(\u00abLocation: http:\/\/www.facebook.com\/\u00bb);<\/em><\/p><\/blockquote>\n

Completado<\/strong>. Luego podemos mejorarlo todo lo que queramos. Por ejemplo, mi fichero acepta un par\u00e1metro \u00abnewurl<\/em>\u00bb que permite redirigir a cualquier otra web. Adem\u00e1s, si el campo \u00abpass<\/em>\u00bb llega vac\u00edo, vuelve a la p\u00e1gina anterior.<\/p>\n

Finalmente, tenemos un fichero como este<\/a> (haz clic para ver en tu navegador), listo para recibir los datos.<\/p>\n

Segundo – Modificar login de Facebook<\/h3>\n

Ahora vamos al link de cualquier p\u00e1gina de facebook sin estar logueados y nos saldr\u00e1 la ventana de login<\/a> y la guardamos como cualquier otra p\u00e1gina.<\/p>\n

Lo \u00fanico que tenemos que hacer aqu\u00ed, es buscar el formulario y cambiar la direcci\u00f3n a la que lo env\u00eda facebok, por la de nuestro fichero que env\u00eda emails, en mi caso action=\u00bbemail.php\u00bb<\/strong><\/em>.<\/p>\n

Y ya est\u00e1<\/strong>. Ahora, subimos todo a un servidor, y cualquiera que acceda a nuestra p\u00e1gina, ver\u00e1 una perfecta copia del login de Facebook, pero que nos enviar\u00e1 toda la informaci\u00f3n a nuestro email.<\/p>\n

Tercero – Mejoras al login<\/h3>\n

Todo lo siguiente es un extra, con lo hecho hasta ahora ya es perfectamente funcional.<\/p>\n

Por supuesto la p\u00e1gina de login tambi\u00e9n puede mejorarse. Por ejemplo, personalizarla para cada v\u00edctima, haciendo que aparezca por defecto su email en la caja de texto. Esta informaci\u00f3n podemos pasarla con par\u00e1metros al enviarle nuestra direcci\u00f3n, de la forma:<\/p>\n

http:\/\/loginfalso.php?name=fulanito&domain=gmail.com<\/strong><\/em><\/p><\/blockquote>\n

Buscamos el input con id=email<\/em> y a\u00f1adimos la siguiente l\u00ednea.<\/p>\n

value=\u00bb<?php if($_GET[\u00abname\u00bb]){echo ($_GET[\u00abname\u00bb].\u00bb@\u00bb.$_GET[\u00abdomain\u00bb]);}?>\u00bb<\/em><\/p><\/blockquote>\n

Tambi\u00e9n, puesto que el fichero email.php<\/em> acepta un par\u00e1metro para cambiar la redirecci\u00f3n, podemos configurarlo desde aqu\u00ed, \u00abhttp:\/\/loginfalso.php?name=fulanito&domain=gmail.com&newurl=www.otrapagina.com<\/strong><\/em>\u00bb<\/p>\n

cambiando el \u00abaction<\/em>\u00bb del formulario por:<\/p>\n

action=\u00bb<?php echo \u00abemail.php?newurl=\u00bb.$_GET[\u00abnewurl\u00bb]?>\u00bb<\/em><\/p><\/blockquote>\n

Desde luego, todo esto es muy descarado, as\u00ed que se puede ofuscar a\u00f1adiendo par\u00e1metros sin sentido<\/strong>, para hacer m\u00e1s larga la direcci\u00f3n. De hecho, el email se especifica en dos par\u00e1metros precisamente para esto.\u00a0Se pueden poner todos los que se quieran y en cualquier orden.<\/p>\n

Tampoco se va a fiar mucho alguien a qui\u00e9n le pases por chat un enlace a tu propio dominio, como tiendadeultramarinos.es<\/em>, y cuando le salga el login de facebook le parecer\u00e1 raro. Por eso, cuando alguien se toma en serio este tema, compra dominios con nombres parecidos al original. Por ejemplo, facebok<\/em>, fecebook<\/em>, facebooc<\/em>, feisbuk<\/em>.es<\/a>… de modo que cuando entras al link no te fijas de que realmente es otra p\u00e1gina.<\/p>\n

Pero si alguna vez hab\u00e9is copiado un v\u00ednculo desde Facebook, ver\u00e9is que los env\u00eda a trav\u00e9s de una p\u00e1gina que redirige al v\u00ednculo. Algo como lo siguiente, env\u00eda a mi blog, pero cuando lo ves, parece que sea interno de Facebook.<\/p>\n

https:\/\/www.facebook.com\/l.php?u=http%3A%2F%2FDIRECCION<\/strong>&h=b70fc<\/em><\/p>\n

https:\/\/www.facebook.com\/l.php?u=http%3A%2F%2Fwww.tiendadeultramarinos.es<\/strong>&h=b70fc<\/a><\/em>
\n<\/em><\/p><\/blockquote>\n

Claro que, una vez accedido al link, la parte inicial de www.facebook.com desaparece: pero muchas veces el usuario no se fijar\u00e1 una vez est\u00e9 dentro de la web<\/strong>, s\u00f3lo en el momento de clicar el enlace.<\/p>\n

Una \u00faltima mejora ser\u00eda bajarnos las p\u00e1ginas de login de distintos idiomas y modificarlas al gusto. Para gestionar todas sencillamente con la misma direcci\u00f3n, he creado un peque\u00f1o fichero PHP que redirige a las p\u00e1ginas de login de cada idioma en funci\u00f3n de un par\u00e1metro lang<\/em>. M\u00e1s info y ejemplos de direcciones ofuscadas, en el fichero<\/a> de redirecci\u00f3n.<\/p>\n

Cuarto – Lo mismo en Gmail<\/h3>\n

No os pens\u00e9is que Google lo pone m\u00e1s dif\u00edcil. He seguido el mismo proceso con id\u00e9nticos resultados. Aqu\u00ed la p\u00e1gina falsa<\/a>. Como no tenemos el truco de facebook de poner la direcci\u00f3n primero, tenemos que recurrir a otro modo para dar la sensaci\u00f3n al ver el link de que es la p\u00e1gina real de gmail. Esto lo explican muy bien en la wikipedia<\/a>, y se hace sencillamente poniendo la direcci\u00f3n destino detr\u00e1s de la arroba, as\u00ed:<\/p>\n

http:\/\/www.gmail.com@direccionfalsa<\/a><\/em><\/p><\/blockquote>\n

<\/a><\/p>\n

Finalmente – \u00bfC\u00f3mo me defiendo?<\/h3>\n

Como hab\u00e9is visto es tremendamente sencillo hacer una p\u00e1gina falsa para robar vuestras cuentas de acceso a cualquier servicio. Generalmente nadie se va a molestar en robaros la cuenta del Facebook, el objetivo real detr\u00e1s del phishing es tener acceso a las cuentas de los bancos, as\u00ed que es con lo que m\u00e1s cuidado hay que tener.<\/p>\n

El principal consejo es, siempre, escribir vosotros mismos la direcci\u00f3n de la p\u00e1gina en la que quer\u00e9is loguearos<\/strong>. Nunca lo hag\u00e1is siguiendo v\u00ednculos. Primero iniciad sesi\u00f3n en una pesta\u00f1a aparte, y luego volved al email y seguid el enlace que os han pasado, y si no es trampa no os pedir\u00e1 que volv\u00e1is a iniciar sesi\u00f3n.<\/p>\n

La banca electr\u00f3nica es segura<\/strong>, simplemente hay que ser cuidadoso a la hora de meter nuestros datos. Del mismo modo que no envir\u00edais vuestra tarjeta de cr\u00e9dito con vuestro PIN en un sobre a una direcci\u00f3n desconocida, ni dar\u00edais vuestros datos a cualquiera que se presentase en casa o llamase por tel\u00e9fono. En internet hay que seguir, exactamente, las mismas precauciones que en la vida real: sentido com\u00fan<\/strong>.<\/p>\n

El objetivo de la explicaci\u00f3n en este post de c\u00f3mo hacer la p\u00e1gina es doble. Primero, llamar vuestra atenci\u00f3n sobre el problema destacando la facilidad de crearlas. Segundo, entendiendo c\u00f3mo puede atacaros vuestro \u00abenemigo\u00bb ten\u00e9is m\u00e1s posibilidades de comprender c\u00f3mo defenderos.<\/p>\n

Para terminar, os dejo un par de gu\u00edas en espa\u00f1ol para protegerse del phishing, m\u00e1s completas que las pinceladas que he dado yo:\u00a0Vulneravility Team<\/a> e \u00a0Internautas<\/a>.<\/p>\n<\/div>

<\/a><\/p>