Estando mas seguro en Facebook
Las redes sociales se han convertido en el uso diario por muchos usuarios, muchas veces los usuarios no se dan cuenta de la peligrosidad que a veces pueden tener estas redes sociales. Ya que, en ellas se puede distribuir malware, o se pueden robar cuentas y usar para hacer un mal uso de imagen.
Facebook es una de las redes sociales mas usadas, y no se libra de ser víctima de ataques por partes de los criminales.
Por ejemplo la noticia que salió hace tiempo de que los usuarios de Facebook, fueron víctimas de un ataque de SPAM
Una de las recomendaciones que se dan en seguridad, no solo en las redes sociales es elegir una buena contraseña
- Elegir una contraseña fuerte, que contenga letras, número y símbolos y si es posible mayúculas y minúculas.
- No la compartas con nadie
- No uses la misma contraseña para todas tus cuentas
- Cambia la contraseña regularmente
Si recordar una contraseña compleja nos cuesta, existen utilidades para recordar este tipo de cuentas. Una de las utilidades que mas me gustan es Keepass.
Realizar Logout de Facebook
Es muy importante coger la costumbre de realizar Logout en Facebook y en los demás servicios ya que, si cogemos esa costumbre cuando hagamos login fuera de nuestro entorno diario, que puede ser nuestro puesto de trabajo o nuestra casa nos recordaremos de desconectar ya que otro usuario podría entrar en nuestra cuenta si no hemos salido de manera correcta.
Scam en Facebook
El Scam es una de las armas que se usan en Internet para seguir consiguiendo que los usuarios caigan en este tipo de fraudes y sean, infectados por malware o bien sean conducidos a un phishing.
Código malicioso en Facebook
Existen ciertos códigos maliciosos que, mediante anuncios en ciertas páginas invitan al usuario, mediante ingeniería social a realizar ciertas acciones que por ejemplo mediante código malicioso recoger todas nuestras amistades y ponerles un video o el enlace a malware.
Clickjacking
Este tipo de amenaza es poco conocida y muy peligrosa para los usuarios finales.
En este tipo de amenazas, por ejemplo el usuario clica en un Me gusta y en realidad por debajo esta realizando otras acciones
Conectando a Facebook por HTTPS
Es muy importante conectarse por HTTPS, ya que ciframos nuestras conexiones y nuestros datos viajan seguros 
Estos son algunos de los consejos que podéis seguir.
Facebook como objetivo de phishing
Hol!
Muy buenas a todos/as!
“Que levanten la mano los lectores que NO tienen cuenta de Facebook” Seguro que son bien pocos y es que, en el auge de las redes sociales, nos gusta estar comunicados los unos con los otros, nos gusta estar en comunicación con nuestros amigos y familiares.
Los criminales invierten recursos en intentar robar credenciales de aquellos servicios que se sabe que los usuarios visitan mucho, y en este caso las redes sociales es el objetivo perfecto.
Si observamos la web del phishing:
A simple vista parece el sitio legítimo de Facebook. Podemos observar que peticiones se han realizando al cargar la página web:
La web esta cargando datos del dominio que se está usando como plataforma de phishing además de contenido estático de la web de Facebook.
Este método de cargar el contenido estático, como imágenes o CSS es muy habitual en los phishers así aprovechan lo que ya está hecho.
Si introduces tus datos en el formulario de login, hará el POST correspondiente
Y además como se envían los datos en texto plano… estoc on la web legítima de Facebook, no paswa. Aquí simplemente hay un formulario que envía luego tus datos al servidor destino.
Normalmente se suele hacer un hash MD5(inseguro)
Una vez te has hecho login en el supuesto Facebook, hace una serie de redirecciones, para al final acabar aquí:
Si haces click en Save/Share…
Lo último que nos quedaría es saber si pueden llegar a existir mas dominio con phishing. Esto es muy fácil, y podemos consultar robtex!
Por ejemplo los registros del phishing de Facebook.
Para evitar estos tipos de phishing es necesario el seguir con algunas buenas prácticas.
Por ejemplo y aunque no sea una panacea…
Si podemos observar ha cargado con certificado digital.
Saludos
Usar Facebook como proxy web
Hola!
Muy buenas a todos/as!
Es conocido el uso de diversas webs legítimas que se pueden usar como Proxy web, aunque el uso del sitio no esté pensando para eso. Siendo esto usado en los traductores, por ejemplo. ¿Que ganamos con esto? En muchos casos, que la petición como Referer la hace la web que ofrece el servicio de traducción, por lo tanto quedamos “anónimos” en la petición a dicho sitio web, si no es para navegar, también se puede usar para hacer ataques de SQL injection, o como Fuzzers.
Leyendo la lista de Full Disclousure me encuentro que es posible usar Facebook como proxy web.
La URL es esta:
developers.facebook.com/tools/debug/og/echo?q=
La salida de la página web la muestra en código HTML, sólo tendríamos que guardar el resultado de la web y abrirlo con el navegador para que se pudiera ver el contenido de la web.
Podemos ver un ejemplo aquí:
El equipo de IHteam ha desarrollado un script muy interesante para que lo podáis probar.
Aquí lo tenéis:
Si en alguna red tenéis bloqueada alguna web que queráis ver pero, os dejan usar Facebook, podremos hacer bypass con él
Saludos cordiales
Análisis de un video malicioso en Facebook II
Hola!
Muy buenas a todos/as!
Después de escribir la primera parte de Análisis de un video malicioso en Facebook, me quedé con las ganas de hacer una segunda entrega en la que poder jugar con ams cosas y entender la lógica de como usan los atacantes Facebook para infectar masivamente a los usuarios además de saltarse las protecciones de Facebook (Si las hay) XD
Para los que no han leído la primera parte, hago un poco de memoria, en el muro de Facebook aparece un mensaje como este:
La dirección web que aparecía referenciando el video era diferente a la del otro día, así que como es de sospechar existen muchísimos blogs alojados en Blogspot que contienen este tipo de engaños para el usuario.
Si recordamos la web era algo parecido a :
Esta es la imagen del otro día, pero es el mismo aspecto en todas igual ya que sigue obteniendo el CSS y la página del mismo servidor.
Aquí podemos ver la petición para el CSS, por ejemplo .
hoy también miraremos el host de vevideo
Tienen permitido que se pueda listar en el servidor, aquí podemos ver los scripts para Firefox y opara Google Chrome de los que hablábamos en la primera entrega de este artículo.
También podemos ver varios .php, .js, imágenes…
Primero miraremos el archivo mailing.php, al ejecutarlo si miramos el código fuente observamos que:
Podemos ver la redirección hacia otro servidor, de momento lo dejaremos ahí.
El siguiente archivo es pagina.php
Si cargamos la página nos aparece la misma web que nos aparecía cuando visitábamos una web de Blogspot, con el aspecto de Facebook y demás.
El siguiente archivo es plugin.html, el cual haciendo uso de GeoIP te geolozaliza, y según el navegador que uses Firefox o Chrome te ofrece el poder descargar uno de los dos.
El archivo plugin.php hace lo mismo que el anterior.
Luego tenemos el archivo script.js, aquí vemos el código:
Podemos ver el contenido del script en Pastebin aquí
A mi parecer ya que no soy muy ducho en Javascript es llamar al archivo extra.js
El archivo de extra.js, es bastante grande para ponerlo en una imagen, así que lo podéis encontrar en Pastebin aquí
El código estaba ofuscado para des-ofuscarlo he usado esta herramienta Jsbeautifier
Pego una imagen del código que ahora me interesa de extra.js
El código a mi parecer básicamente lo que hace es, comprobar si venimos del dominio de Facebook, leer nuestras cookies y compartir este video con nuestros amigos.
Luego tenemos el archivo extraenc.js este Javascript está totalmente ofuscado, volvemos a usar Jsbeautifier y extraemos el resultado que puede ser consultado aquí
Aquí vuelvo a pegar otra parte interesante del código:
Básicamente el código hace lo mismo… el mtivo de porque uno esté mas ofuscado que otro sea la protección por parte de los antivirus.
Por último nos queda el archivo unloked.php. Este archivo hacía referencia a:
Además de también cargar a otro tipo de páginas como estas:
Por lo que he podido ver es una manera de monetizar los clicks que hacen los usuarios.
Por último encontramos también el enlace a:
Esta es la web que nos pedía el número de móvil.
En la parte de ServidorYoutube lo analizaremos otro día.
Hemos visto como los criminales se lo montan bien para cometer fraude y poder además monetizar ese fraude.
Seguiremos en el siguiente capítulo
Saludos
