11 agosto, 2020 Alberto

Cómo hackear cuentas de Twitter, Instagram o Facebook: La amenaza de la verificación de cuenta y el guión bajo

Phishing con Evilginx2

Introducción

Durante el Verano de 2019, aunque ya venía incrementándose desde 2018, empezaron a publicarse muchas noticias de compromisos de cuentas de Twitter de ayuntamientos, universidades, partidos políticos como VOX, empresas como Correos, etc.  El fin no era otro más que difamar las propias entidades comprometidas pero tuvo bastante repercusión mediática.  En los compromisos de redes sociales normalmente no hay mucho misterio, ataques de phishing, vulnerabilidades en software de terceros de gestión de redes sociales y cómo veremos al final sorprendentemente a veces hasta puedes engañar o comprar a un empleado dentro de la red social.  También veremos otras cosas más interesantes que se pueden hacer con una cuenta de Twitter comprometida además de difamar.

Noticias de compromisos de cuentas de Twitter

Noticias de compromisos de cuentas de Twitter

El guión bajo

La mayoría de los compromisos de este Verano de 2019 tenían una cosa en común.  La cuenta comprometida automáticamente era renombrada añadiendo un guión bajo («_») al final de su nombre.  Así que la primera idea para monitorizar cuentas que nos pueden interesar saber si habían sido comprometidas por esta campaña fue hacer un pequeño script en Python que fuera comprobando periódicamente si la cuenta había sido renombrada con este «guión bajo».

Script para detectar cuentas comprometidas

Script para detectar cuentas comprometidas

Esto permitía seguir identificando cuentas comprometidas sin tener que depender de noticias o avisos de terceros.  Y en tiempo real identificamos algunos compromisos.  Por ejemplo, el que sufrió el ayuntamiento de Berga.

Cuenta de Twitter del ayuntamiento de Berga comprometida

Cuenta de Twitter del ayuntamiento de Berga comprometida

La Kill Chain o fases de ataque

Poco a poco gracias a esta monitorización y la información difundida por alguna de las víctimas permitiría averiguar los pasos del atacante para comprometer las cuentas.

La verificación de cuentas

El compromiso consistía en un phishing tradicional a través de los mensajes directos para conseguir el código de verificación que se envía vía SMS, una de las formas de autenticación cuando olvidas la contraseña.  Y para que fuese creíble suplantaban la cuenta de verificación de cuentas de Twitter.  El famoso tick azul que se entrega a cuentas oficiales o de gente importante.

De la siguiente manera:

  1. El atacante solicita el reinicio de contraseña a través de SMS de la cuenta de la víctima.
  2. A su vez el atacante envía un mensaje directo a la víctima haciéndose pasar por Tick Verified de Twitter solicitando el código de reinicio de contraseña que acaba de recibir en el SMS.  Engañando a la víctima para hacerla creer que ese código de reinicio es para recibir el famoso tick azul.
  3. La víctima entrega a través de mensaje directo el código de reinicio de la contraseña.
  4. La cuenta es automáticamente comprometida.
Fases del ataque

Fases del ataque

La automatización

Una cosa muy importante es el punto 4 pues la cuenta es comprometida automáticamente, en sí que se entrega el código de reinicio de la contraseña.  Perdiendo de forma inmediata el control sobre la misma y produciéndose el renombrado de la cuenta con el guión bajo.

Para esta fase de automatización existen algunos frameworks, uno de ellos se llama Evilginx.

Evilginx framework para bypasear 2FA

Evilginx framework para bypasear 2FA

 

La investigación

Monitorizando Twitter entero

Anteriormente comentábamos que con un simple script podíamos monitorizar cuentas que nos interesaban para saber si habían sido comprometidas gracias al renombrado del guión bajo.  Pero la solución se nos queda corta si queremos ser un poco más ambiciosos y descubrir cuál era la afectación en todo Twitter.

 

TWINT – Twitter Intelligence Tool

Para este supuesto podemos hacer uso de herramientas como TWINT – Twitter Intelligence Tool.  Un scraper de Twitter que utiliza Tor como proxy y que nos permite buscar por palabras clave, en este caso «Corrupción», «corrupto», «Hackeado», etc.  Palabras que estaban siendo utilizadas en esta campaña.  El único inconveniente de TWINT es que Tor va realmente lento.

 

Pantalla de TWINT - Twitter Intelligence Tool

Pantalla de TWINT – Twitter Intelligence Tool

 

Desarrollos propios

El problema de la velocidad de Tor con el volumen de cuentas que hay en la actualidad en Twitter era demasiado importante, así que buscando otra solución descubrí que Twitter tiene un directorio de cuentas.

Directorio de cuentas de Twitter

Directorio de cuentas de Twitter

 

Programé un scraper utilizando Python, la librería scrapy, escondiéndome detrás de un pool de VPNs y guardando los resultados en una base de datos MongoDB.  Si te quieres dejar algo dinero es más fino hacerlo utilizando un pool de IPs residenciales.

Scrapeando el Directorio de Twitter

Scrapeando el Directorio de Twitter

Impacto de la campaña

La investigación anterior permitió averiguar que las principales cuentas comprometidas utilizando este renombrado se encontraban en España y México.

Impacto de la campaña

Impacto de la campaña

Identificando víctimas de los siguientes ámbitos:

  • Ayuntamientos en España
  • Partidos políticos en España
  • Universidades en España
  • Empresas privadas en España
  • Ayuntamientos de México
  • Otras entidades de la administración pública de México

 

Protección

¿Cómo nos podemos proteger si tenemos unos Community Managers con poco sentido común y totalmente descentralizadas las cuentas corporativas en redes sociales?

Filtrado de contenidos para mensajes directos en RRSS

Una idea podría ser crear un filtrado de contenidos para los mensajes directos en RRSS.  A través de las Twitter developer apps podríamos filtrar ataques como éste utilizando expresiones regulares para detectar URLs maliciosas.  Muchas veces, por ejemplo, se utilizan URLs con redirecciones abiertas en aplicaciones como Hangouts que aparentemente parecen legítimas al verse sólo el principio de la URL y pertenecer a Google.

Filtrar por palabras clave estos mensajes bloqueándolo cuando veamos un «Tick verify» o «Verifica tu cuenta de Twitter» o utilizar técnicas más avanzadas de heurística, por ejemplo si el remitente es desconocido y el mensaje contiene la palabra «código».

Twitter Developer Apps

Twitter Developer Apps

Prevención

¿Qué podemos hacer para evitar caer en este tipo de ataques?

Concienciación

Concienciar a nuestros community managers del mismo modo que lo hacemos con los usuarios a través del correo electrónico.  En este caso podríamos optar por desarrollar un módulo para terceros en frameworks como Social Engineering Toolkit que permita hacer estas campañas de phishing en mensajes directos de redes sociales.

Social Engineering Toolkit

Social Engineering Toolkit

Otras Redes sociales

Tanto Instagram como Facebook también disponen de estos Directorios de cuentas que nos permitirían investigar compromisos de cuentas de la misma manera.  La verificación de cuentas también existe en estas redes sociales, los mecanismos de autenticación son iguales y existen los mensajes directos por lo que el ataque es totalmente válido también en estos entornos.

Otras redes sociales como Facebook o Instagram tienen Directorios

Otras redes sociales como Facebook o Instagram tienen Directorios

 

Cómo cogieron a uno de los atacantes

Casualmente viendo videos por youtube descubrí como cogieron a uno de estos atacantes.  Simplemente alardeó de sus acciones por algunos grupos de Telegram públicos y lo descubrieron.

Otras técnicas y fines

Como comentaba al principio de la publicación esta campaña únicamente se utilizó con fines difamatorios.  Pero este pasado mes de Julio hubo otra oleada de compromisos de cuentas de gente muy importante en Twitter como Bill Gates, Obama, Musk, Apple, etc. y en este caso se utilizó para hacer un scam de Bitcoin.  Las cuentas comprometidas publicaron un mensaje que decía pagarían el doble del dinero recibido en una cuenta de Bitcoin.  Y de hecho bastante gente cayó.  En este caso parece que se debió a un insider, un propio empleado de Twitter fue comprado o colaboró con los cibercriminales para realizar la acción.

https://www.theverge.com/2020/7/15/21326200/elon-musk-bill-gates-twitter-hack-bitcoin-scam-compromised

Años atrás también estuvo de moda el grupo Ourmine que estaba especializado en comprometer cuentas de redes sociales de gente famosa.  La cuenta oficial del FC Barcelona ha sido comprometida un par de veces por ellos pero este caso daría para otra publicación.

https://www.welivesecurity.com/2020/02/17/fcbarcelona-twitter-account-hacked-again/

En estos casos muchas veces en vez de utilizar un ataque de ingeniería social o phishing como el descrito en esta publicación se explotan vulnerabilidades en software de terceros utilizados para gestionar redes sociales de forma centralizada.  Cuando las cuentas no son personales o son gestionadas por un tercero normalmente se recurren a este tipo de solución que a veces no son las más seguras.

 
, , , , , , , , , ,

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies