XSS, CSRF y MiTM en router Movistar
Jun19

XSS, CSRF y MiTM en router Movistar

OFERTÓN 3×1: lleve un ROUTER MOVISTAR con XSS, CSRF y MITM incluido El título parece sacado de un comercial de multitienda con el cual intenta enganchar a sus clientes, pero la verdad es que no encontraba un título apropiado que describiera este articulo y al final he seleccionado este debido a que es algo un tanto cómico y en algo representa lo que quiero mostrar. y lo que deseo mostrar Se trata nada más y nada menos que de un simple XSS reflejado, en mis principios cuando me estaba iniciando en esto de la seguridad informática no me gustaba para nada ya que no comprendía su funcionamiento y potencial al 100%, en fin hace unos meses atrás me ha picado el bichito de estudiar a fondo los XSS y me he encontrado con tutoriales como el de Chema Alonso Owning bad guys & mafia with Javascript botnets, he revisado herramientas como beef y he encontrado otros tantos tutoriales los cuales me demuestran que el XSS pasó de ser el típico bug que solo se remitía a obtener la sesión de un usuario en un sistema X, por este y otros motivos he decidido crear este articulo para la Comunidad DragonJAR. El XSS en el Router Movistar Herramientas: live http headers Hace un tiempo atrás leí una entrada en SecurityByDefault, el cual mostraba el backdoor que contenía este router, debido a que se puede obtener la configuración completa a través de la web y sin tipear contraseña alguna, en esa entrada también se destaca que con la configuración que trae por defecto el router, no se puede obtener los datos de configuración remotamente, solo se puede a través de la red local, eso es bastante cierto hasta que nosotros cometamos el error de dejar nuestro router a merced de cualquier persona en internet, o que un delincuente nos envie un link el cual pinchamos, este tome el control de nuestro router, cambie los DNS, por ende reenvía el tráfico a su máquina(MITM) }:-) , como te habrás dado cuenta, a través de este tutorial veremos como un delincuente se puede aprovechar de este XSS y apropiarse de nuestro tráfico modificando los DNS y robarnos las cuentas del correo, del banco, o lo que se le plazca. El XSS que utilizaré se encuentra en la zona de configuración que movistar instala (queda claro que no solo afecta a un modelo X de router) a nuestros router el cual facilita que un usuario común y corriente pueda acceder a la configuración básica. Para los que no conozcan, se las presento. El xss se encuentra en la configuración de 3G, para revisar este...

Leer Más

¿Como se realiza el SMiShing?

Actualizo esta entrada con un nuevo video que nos muestra la forma de actuar de los delincuentes que realizan el SMiShing ya que los casos reportados en esta temporada navideña han crecido significativamente. El SMiShing es el término que se le ha dado a un tipo de “Phishing” que se realiza por medio de ingeniería social empleado mensajes de texto dirigidos a los usuarios de Telefonía móvil. El fraude es muy simple, una delincuente envía un mensaje de texto haciéndole creer al destinatario que ha sido el ganador de una buena suma de dinero o que ha realizado una compra costosa con la tarjeta de crédito (en realidad puede ser cualquier otra historia, pero estas son las más comunes) y le pide que se comunique con un teléfono que le proporciona, para hacer efectivo su premio. En esta comunicación, la víctima es guiada paso a paso por medio de engaños a realizar alguna acción definida por su atacante, que puede ir desde transferencia de dinero, a traspaso de minutos, o robo de información para suplantar su identidad, en el siguiente vídeo, escucharemos como un periodista de La W Radio, se hace pasar por una supuesta víctima de este fraude y nos muestran cómo actúan los delincuentes. Video enviado por @6a68 este SMS fué enviado. Otro audio gracias a juanalvarez9: Este audio ha sido tomado por @ocioweb para iniciar la campaña “Trollea por una Causa”, cuyo objetivo es hacer perderle el tiempo a los delincuentes, para que en ese tiempo no puedan engañar personas que aun desconocen de este tipo de fraudes y caen fácilmente en...

Leer Más

Phishing a Movistar Colombia

Actualizado: Acabo de recibir otro fraude al parecer de esta misma persona utilizando la misma técnica (del día Movistar), ya que los nombres de todos los archivos son idénticos, como siempre lo he reportado y les dejo de nuevo las recomendaciones para evitar este tipo de fraudes. Constantemente me llegan a mi casilla de correo, mensajes suplantando diferentes entidades para obtener mis datos personales y bancarios, estos mensajes llegan diariamente a millones de correos electrónicos y son un tipo de fraude llamado Phishing (¿Que es el Phishing?, si no sabes click aquí) normalmente lo que hago con estos mensajes son reportarlos como spam en mi casilla de correo y denunciarlos en portales especializados como phishtank o WOT, para que queden en las listas negras y no afecten mas usuarios. He recibido un nuevo phishing en el que se hacen pasar por Movistar Colombia invitando a sus usuarios a recargar su saldo; Anteriormente había reportado este mismo fraude y la pagina donde estaba alojada fue desmantelada, pero caí en cuenta que no importa cuantas paginas reporte y den de baja, si no hay educación en las personas respecto a este tipo de fraudes siempre habrá quien suba nuevas estafas en diferentes servidores. Es por eso que hoy, y a partir de ahora empezare a publicar los fraudes de los que tenga conocimiento y enseñaré de forma practica a todos los visitantes, como identificarlos para que no sean victimas de phishing. El mensaje que recibí fue este, en donde aprovechando que hoy es día movistar, invitan a recargar el teléfono para obtener el triple de carga. La persona que envió el correo electrónico, utilizó varios recursos para hacer mas creíble su mensaje: Se Inventó un correo electrónico de para el servicio Triplicargas de Movistar [email protected] Utilizó un banner que utiliza oficialmente el sitio de Movistar Colombia para darle mas credibilidad al mensaje Se limitó a dar instrucciones de hacer click en la imagen, para no “confundir” a los usuarios o no inventarse una escusa para realizar esta acción. Después de recibido el mensaje y sabiendo que se trataba de un correo fraudulento, abrí una sección limpia en otro navegador para entrar al enlace de la imagen,”http://moviistar.xx.xx” claramente no es la pagina de Movistar Colombia (http://www.movistar.com.co), pero por el nombre posiblemente muchas personas se dejen engañar, al ingresar al portal me encontré con el siguiente mensaje: Una copia del sitio de Movistar donde solicitan información para recargar el numero celular, le di recargar sin llenar ningún dato y paso al siguiente pantallazo, sin realizar ningún tipo de validación (si fuera la pagina real, si se validarían estos datos). En la siguiente parte...

Leer Más

Libera de AT&T tu IPhone

Al menos eso es lo que asegura que hace la pagina UnlockIPhone.com, primero te piden un correo electrónico y después el IMEI de tu teléfono, si el IMEI para desbloquear el IPhone de AT&T y poder usar otro operador, en la pagina aseguran haber desbloqueado 6477 “iPhones Unlocked: 6477″ y dicen que el sistema funciona un 75% de las veces. Eso es lo que nos dice la pagina…. …. yo tengo mis dudas, me he puesto en la tarea de analizar este portal y he notado lo siguiente: Al ingresar el correo (creado especialmente para esta ocasión) esta envía los datos a http://iphoneunlocking.com/register.php a la cual se puede ingresar directamente sin ingresar los datos (mmm…), al ver el código fuente me encuentro con una validación de formulario en la cual si el imei no empieza por “011245″ (no he confirmado si así empiezan los imei de los iPhone) salta un mensaje de error en javascript y no envía los datos a ningún lado, ingreso un imei “valido” pero inventado y me aparece el siguiente mensaje: Thank you for you interest, we will contact you soon. Your reference number is: 6-07183-29XXX, for support please contact [email protected] Sinceramente no confió para nada en ese portal, me parece una web creada especialmente para obtener beneficio económico, o capturar correos electrónicos y usarlos para spam, o posiblemente para usar los imei de los teléfonos con algún fin malicioso. El correo ingresado ha sido creado especialmente para ver si efectivamente el portal es un fake, si llega algún correo no deseado los estaré informando. Algunos sitios como arstechnica.com dicen que cobran 29 dolares para un desbloqueo de “urgencia” y 19 si “no tienes afán”, a mi aun no me llega un correo pidiendo $ por el servicio, esperemos que pasa. En Gizmodo han puesto una entrada Unconfirmed: Activate the iPhone With Extra iPhone con un metodo que elimina la cuenta de AT&T del teléfono usando 2 iPhone y el iTunes, sin confirmar si funciona o no. Bueno solo queda esperar ya que aun son pocos los privilegiados en tener un iPhone. Actualización I: DVD Jon al rescate, hoy 4 de Julio de 2007 cuando se celebra la independencia de los estados unidos, también se celebra la independencia del iPhone ante AT&T. Normalmente para poder usar el iPhone tanto sus funciones de teléfono como sus funciones de navegador y iPod tenias que firmar un contrato de 2 años con la firma AT&T para contratar una linea telefónica, de lo contrario no era posible siquiera usar las funciones de navegador y iPod que tiene el iPhone. Ahora DVD Jon ha publicado en su blog el software...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES