Oct 26

Recientemente un amigo me animó a probar la popular plataforma BlaBlaCar. No viajar solo, ser más ecológico y pensar en el medio ambiente, así como ser moderno fueron varios de los argumentos esgrimidos en contra de mis reticencias al uso de dicha plataforma de viajes de bajo coste. Me di de alta en la plataforma en unos sencillos pasos y no pude más que quedar asombrado de lo fácil que resultaría cometer un delito usando esta plataforma. Si se ha dejado la práctica del autoestop de lado por su inseguridad ¿Por qué suponemos que el autostop virtual es más seguro? Sé que mi punto de vista es un poco peculiar, siendo perito informático ya me he acostumbrado a pensar de la peor forma posible. Pero les puedo asegurar que casi cualquier delincuente al uso está al tanto de las técnicas y métodos que permiten realizar esta sencilla y delictiva tarea. A penas se requieren conocimientos técnicos, y la ingeniería social ha sido mi lanza en esta batalla. Así que tras darle una pequeña vuelta a la plataforma se me ocurre que esta puede ser usada para delinquir desde el punto de vista de los 2 tipos base de usuarios de la plataforma que son:

  1. Como pasajero
  2. Como conductor
Maleta con contenidos ilegales

Maleta con contenidos ilegales

Cometiendo delitos como pasajero:
Poniéndome en la piel de un pequeño camello, o de un traficante que quiere llevar discretamente, por ejemplo 5 kg de cocaína, armas o simplemente transportar disimuladamente una cierta cantidad de dinero negro la idea de ejecución es sencilla. El primer paso es configurar un proxy seguro y alguna que otra pequeña artimaña para evitar que posteriormente se me localice, o simplemente usar una wifi pública. Luego basta con crear una pequeña cuenta de correo electrónico en cualquier servicio disponible: Gmail, Hotmal, Yahoo… yo por comodidad usaré los servicios de 10minutemail.com. Bien ya tenemos una cuenta de correo.

hacking_BlaBlaCar_Usuario_001

Registro de un usuario falso en la web BlaBlaCar

Como primer paso nos registramos en la plataforma de BlaBlaCar. No es muy complicado, es suficiente con una simple dirección de correo electrónico. Y no es necesario ni un número de teléfono para proceder al registro. Cierto es que la obtención de un número de teléfono no rastreable en nuestro país, o en un país vecino no es muy complicada y lo veremos en el siguiente caso. En este caso, siendo el más sencillo y como pasajero no entraré en la verificación a través de Facebook, pero como muchos niños de 12 años ya saben, mentirle a Facebook no es muy complicado.

Email de confirmación del registro de usuario de BlaBlaCar

Email de confirmación del registro de usuario de BlaBlaCar

Finalizado el proceso de registro en el sistema BlaBlaCar envía un amable Email que permite verificar la cuenta, como se puede apreciar en la imagen de la izquierda.  El delincuente, con el falso nombre de Manuel , ya tiene su cuenta creada. Ahora se abren dos posibilidades bien distintas:

  1. Hacer un único viaje largo.
  2. Dividir nuestro viaje en tramos.

Si se opta por la opción de realizar un único viaje largo ( de más de 100 km) el tema se complica, BlaBlaCar obliga a registrar un

Reservando un viaje en BlaBlaCar

Reservando un viaje en BlaBlaCar

método de pago como paypal o facilitar un número de IBAN para poder realizar los pagos. Evidentemente esto es falsificable, pero ya requiere de conocimientos mayores que un delincuente de poca monta no tendrá. Pero ¿Qué  sucede si se reserva plaza en un viaje de menos de 100km? Pues como se puede ver en la imagen siguiente BlaBlaCar establece que dichos viajes, debido a su bajo coste, serán abonados en metálico y esto supone un difícil rastreo de quién se montó en ese coche.

Pero pongámonos en el peor de los casos, en uno de nuestros trayectos, unos dedicados agentes de seguridad realizan un control aleatorio sobre el vehículo en el que nos desplazamos… ¿De quién es la maleta del maletero? Si Manuel ha sido convenientemente precavido a la hora de cargar la maleta y el conductor, “como soy pequeño/ mujer/ tengo una lesión” o simplemente debido a su amabilidad ayuda a subir la maleta al coche, serán sus trazas biológicas y biométricas las que estarán en la maleta y no las nuestras. A parte de ello no viajamos normalmente solos en el coche, sino con una o dos personas más.

Cometiendo delitos como conductor:

Supongamos que el Sr. Manuel, recientemente registrado en la plataforma no busca a un mulero involuntario que lleve sus mercancías peligrosas, supongamos que tiene ciertas tendencias que pueden dar lugar a que cometa violaciones, secuestros o simplemente tiene tendencias homicidas.  En ese caso es conveniente generar un clima de confianza con las posibles víctimas y/o pasajeros de nuestro coche. Para ello se han de cumplir las siguientes condiciones:

  1. Certificar un teléfono móvil.
  2. Tener un e-mail válido.
  3. Conectar nuestra cuenta con Facebook
  4. Aceptar las normas de BlaBlaCar
Teléfono prepago BIC

Teléfono prepago BIC

Bueno, al menos va a dar un poco de trabajo. El primer paso es sumamente sencillo, Manuel necesita una SIM anónima. Para ello hay varias opciones, pero la más vaga, canalla y efectiva que se le ocurre a Manuel en este momento es cruzar la ciudad y acercarse a uno de los inmigrantes que pide limosna en el supermercado del barrio. No hay cámaras, es discreto … y con una simple frase Manuel consigue su teléfono: “Mira perdona, estoy muy ocupado y tengo que entrar a hacer la compra ¿Te importaría hacerme un favor? Toma 50€ y acércate a la gasolinera, me coges un móvil de esos de 29€ que el mío se acaba de quedar sin batería y puedes quedarte con la vuelta”. Et voilà. Manuel ya tiene la compra hecha y un teléfono libre de rastreo. Como bien dice el eslogan “¡Enciende y llama!” Manuel ya tiene una tarjeta SIM que es lo único que se necesita para, a través de un teléfono virtual o uno convenientemente comprado de forma dudosa, tener línea e instalar la APP de whatsapp y la de BlaBlaCar.

Perfil delictvo configurado en BlaBlaCar

Perfil delictvo configurado en BlaBlaCar

El punto 2 sería tener un email convenientemente configurado, pero eso ya se ha hecho en el caso inicial y se procede a su reutilización Ahora conviene crear un prefil falso de Facebook ¿Por qué ? porque tener nuestra cuenta de Facebook vinculada a BlaBlaCar dará confianza a las posibles víctimas y es el tercer requerimiento de BlaBlaCar.

Con el perfil de Manuel creado es suficiente con enviar unas cuantas invitaciones a diferentes personas que por sus perfiles son bastante dadas a “añadir como amigo” a cualquier persona, y Manuel se acaba de descargar unas fotos para sus perfiles sociales de Google que van a facilitar las cosas. Finalmente, solo queda unir las cuentas en unos sencillos pasos. Con 188 amigos en Facebook y con menos de 2 horas de actividad de preparación del delito ya solo queda publicar los futuros viajes. Vamos a ello y ahora a pescar ¿Cuánto tardará Manuel en recibir contestación? pues como se puede ver en la imagen inferior no se tarda ni un día en recibir 3 solicitudes de acompañamiento de 3 jovenes que rondando la veintena están interesadas en el viaje. Por suerte para ellas, esto no es más que un experimento y tras haber concretado el viaje con elegancia, Manuel se ha excusado con un imprevisto. Si se ha dejado la práctica del autoestop de lado por su inseguridad ¿Por qué suponemos que el autostop virtual es más seguro? Las aplicaciones y medios digitales no hacen nada más que facilitar nuestros comportamientos y actitudes clásicos, dulcificándolos y aportándoles un toque moderno. Es por ello un error común pensar que por ser digital, moderno y novedoso es más seguro. Pero no es conveniente dejar de lado las precauciones que abuelos y padres nos inculcaron en nuestra niñez para mantener unos comportamientos seguros y precavidos. Una app o una empresa de por medio no convierten a un acto en algo más seguro per se. A pesar de que BlaBlaCar cuenta con un seguro de responsabilidad civil para posibles sucesos de esta índole. Ningún seguro nos devolverá la vida o nos borrará experiencias traumáticas.

Chats de usuarios de BlaBlaCar

Chats de usuarios de BlaBlaCar

 

Share

Tagged with:
Abr 27

Aún no hace un mes desde que impartí la última charla formativa sobre seguridad en la red, sobre todo orientada a menores y las redes sociales. Pero lo cierto es que los peligros en las “redes de adultos” y elementos más clásicos como el correo electrónico no han bajado en absoluto. Sin ir más lejos, como ejemplo, tengo este es un email que como  intento de Phishing se hace pasar por La Caixa que me llegó hace un par de días y que decidí analizar para mostrar los peligros que acechan al usuario corriente en el día a día del uso de su PC.

SPAM

Correo sospechoso en la bandeja de entrada

Spam_la_caixa_001

Contenido del correo sospechoso

Este es un método de phishing  que yo ya consideraba bastante cutre a día de hoy, pero que sigue funcionando perfectamente para pescar claves en la red. Se basa en crear falsos correos electrónicos simulando ser tu propio banco. En  este ejemplo es un  supuesto correo de “La Caixa”

No deja de ser curioso que un banco con el que no tengo relación de ningún tipo me envíe un correo electrónico, pero ciertamente de tener cuenta me resultaría sospechoso que me envíen un mensaje indicando que he intentado acceder a mi cuenta numerosas veces errando la clave. Teóricamente es un correo que me es enviado desde la dirección info@lacaixa.es y que google ya detecta como spam (Vale reconozco que no he elegido el ejemplo más elaborado de phishing ) Vamos a analizar detenidamente el correo. Para ello seguimos los siguientes pasos:

Spam_la_caixa_002

Acceso al contenido real del correo para analizarlo

Si vemos el correo electrónico original nos daremos cuenta de que el emisor real del correo no es la Caixa, sino que es perucata@almond.nocdirect.com . Según información de whois es un dominio registrado en 2002 en la ciudad de KIRKLAND en Whashington EEUU. Interesante ¿No?

Spam_la_caixa_004

Contenido real del correo electrónico

Si se indaga un poco más se puede comprobar otros datos que comentaremos en un futuro pero que ahora no resultan de especial interés. Así que continuemos con el correo. Como se puede ver en la parte superior el correo electrónico en cuestión tiene un enlace que aparentemente nos dirige a la web de La Caixa, pero que en realidad nos dirige a la siguiente dirección de internet:

http://perucatalogo.com/es/es/home/particulares_es/loc1.lacaixa.es/GPeticione…

Véase por donde se vea la dirección perucatalogo.com no parece una dirección legítima del supuesto banco al que nos dirige pero ¿Que muestra esa dirección?

Clon de la web LaCaixa.es

Clon de la web LaCaixa.es

La dirección en cuestión muestra aun clon de la web de LaCaixa.es. En mi opinión es un clon de la web poco logrado pero que servirá perfectamente para engañar a un usuario con conocimientos medios o bajos en informática.

Si se presta atención a la web, en la parte izquierda en un claro tono azul, que lo resalta sutilmente del resto de la web se muestra un formulario sencillo en el que se nos piden los datos de identificación de la cuenta electrónica de La Caixa. Parecería lógico intentar entrar en nuestra supuesta cuenta de La Caixa para verificar el motivo, causa o razón del bloqueo de la mima ¿No?

Datos ficticios en el formulario de robo de datos

Datos ficticios en el formulario de robo de datos

Para realizar una prueba de acceso introduzco unos datos ficticios para ver que sucede. EN este momento sucede el primer robo de datos de la cuenta que identifiquemos como cuenta de La Caixa, ya tienen nuestro teórico identificador de cuenta y la clave. El usuario atemorizado por el correo recibido ha facilitado sin darse cuenta el identificador de su cuenta y su clave.

Los datos facilitados ya son suficientemente sensibles como para comprometer la seguridad de la cuenta bancaria que el usuario de la Caixa acaba de exponer involuntariamente. Pero por si fuera poco y no contentos con ello tras hacer click en el botón de Entrar nos aparece la siguiente pantalla:

Continúa la estafa Ahora nos roban los datos de nuestra tarjeta de crédito

Continúa la estafa Ahora nos roban los datos de nuestra tarjeta de crédito

No contentos con todos los datos recabados hasta ahora, en este preciso momento intentan robar los datos de la tarjeta de crédito del incauto internauta. En esta ocasión y como excusa para recabar los datos de la tarjeta de Crédito/debilito que posee el usuario nos piden todos los datos de la tarjeta para proceder a un supuesto desbloqueo.

Ciertamente el desbloqueo no es tal y desde luego la tarjeta no está bloqueada, al menos por este motivo. Si procedemos a cubrir correctamente el formulario no solo estamos dando los datos identificativos de la tarjeta sino todos los datos necesarios para que puedan limpiarnos el saldo de la misma. Veamos en que desemboca esto.

Redirección a la web legítima de La Caixa

Redirección a la web legítima de La Caixa

Confirmados nuestros datos bancarios y de la tarjeta de crédito / débito se nos pide otro número de verificación y finalmente somos redirigidos a la web original de La Caixa tal y como muestra la imagen final. Un usuario inexperto no se dará cuenta de que, en este preciso momento va a comenzar un saqueo sucesivo y constante de su cuenta bancaria y del saldo de su tarjeta y, para cuando se haya dado cuenta, ya será demasiado tarde. Mucho ojo con dónde introducimos nuestros datos.

Share

preload preload preload