viernes, 27 de febrero de 2015

Vamos de pesca con Google Groups

Antes de empezar

Antes de continuar con la lectura de este post es necesario leer el siguiente hilo de mensajes en Google Groups a fin de contextualizar y comprender el resto de la entrada:

De pesca con Google Groups (primera parte)

Empecemos...

Hace algunos días le reporte a Google un vector de ataque que desde mi perspectiva puede ser explotado perfectamente y con un alto grado de efectividad. Sin embargo, por lo evidente que resultaba, ya tenía mis dudas de que fueran a aceptarlo como una vulnerabilidad y menos aún que calificara para su programa de recompensas. En cualquier caso cumplí con reportarlo antes de publicar este post.

Fig. 1 - Respuesta de Google.


El vector

Si no hiciste trampa y visitaste el link que puse al inicio seguramente ya sabes cual es el vector de ataque y de que va el resto de la entrada xD Si no, continua leyendo... (¡tramposo! :P).

El vector de ataque consiste en utilizar los archivos adjuntos en mensajes de Google Groups para alojar páginas de phishing a cuentas de Google aprovechando la pre-visualización de archivos adjuntos. Los ataques de phishing realizados de esta manera son mucho más efectivos puesto que el phishing está alojado en un dominio de Google e incluso si se observa el certificado de la web se puede constatar que le pertenece a Google lo cual hace más creíble el engaño que si se emplearan dominios de terceros para alojar el phishing.

En cualquier caso, si es convincente o no, lo puedes juzgar tu mismo y comentarlo más abajo... ¿Te convenció el link que puse al inicio? ;)

Preparando el ataque, step by step...

Primero hay que crear un archivo "login.htm" con el formulario de login falso (el phishing). Esto es realmente muy sencillo. Basta con acceder al login real, copiar el codigo fuente a un archivo de texto y corregir algunas rutas a recursos (css, scripts, imágenes, fonts, etc.) Luego modifica el "action" del formulario para que te envíe las credenciales a un servidor y ya... Pero eso se hace para cualquier ataque de phishing y por eso no entraré en más detalles.

Luego accedes a Google Groups y creas un nuevo grupo con algún nombre que no levante sospechas como por ejemplo: "googleaccounts". Y en la opción de permisos configura acceso público para "Ver temas".

Fig. 2 - Acceso público en "Ver temas".

Ahora crea un nuevo mensaje al grupo y le adjuntas el "login.htm". Luego de enviar el mensaje, notarás que junto al archivo "login.htm" hay un link para pre-visualizarlo.

Fig. 3 - "Ver" el archivo adjunto.

Dale clic derecho y copiar la dirección del enlace. Abre el enlace en una nueva pestaña y verás tu página de phishing a todo color y en HD xD

Fig. 4 - Phishing en Google Groups.

El resto es enviar esa URL por email o redes sociales a la víctima. Claro está, acompañada de alguna excusa que insinúe que para acceder al contenido primero debe ingresar su correo y contraseña }:))

Nota: La prueba de concepto al inicio de esta entrada se limita a mostrar las credenciales (correo y contraseña) en un mensaje de alerta. No se envían las credenciales a un servidor ni se almacenan de ninguna manera.

Happy Hacking };))

Un saludo.

1 comentario:

  1. Por poco y me lo creo. Si no fuera por la url me salia la alerta.

    Con ese error puede capturase el user agent y la ip sin que nadie se de cuenta...

    ResponderEliminar