Ingeniería social y hackear gmail

por:

Hoy traemos un método de ingeniería social que, dada la facilidad de explotarlo y por lo extendido de este sistema de correo electrónico gratuito, debe ser conocido y bien propagado.

El caso es que cuando tuve noticias del mismo, no me lo podía creer. Era realmente sencillo por la escasísima ingeniería social necesaria para llevarlo a cabo y lo simple de su ejecución, dejando al descubierto para cualquiera el acceso a nuestras cuentas de correo electrónico de Gmail y, por si todo esto fuera poco, facilitándose el acceso de intruso por la propia Google.

Empecemos a exponerlo:

gmail-descargar-correos1

Recuperar y explotar una contraseña ajena en Gmail

Todos sabemos que los sistemas de recuperación de las contraseñas son el gran talón de Aquiles de los sistemas de email generales (Outlook, Yahoo, Gmail, etc…). Estos procesos de recuperación de contraseñas y acceso son un verdadero coladero para intrusos que han dedicado el suficiente tiempo a buscar sus agujeros.

El caso es que Gmail tiene uno y bien grande.

El intruso únicamente necesita conocer dos cosas del usuario cuya cuenta de email vaya a ser atacada: Su dirección de email y su número de teléfono móvil.

El intruso procederá a acceder a la cuenta de email del usuario legítimo poniendo en marcha el proceso de recuperación de la contraseña. Es decir, activará el protocolo por el cual Gmail enviará el recordatorio de la contraseña, al teléfono del usuario legítimo (que por supuesto no la ha solicitado).

Hasta aquí todo perfecto y cualquiera que lea estas líneas se preguntará ¿Y qué tiene de malo el hecho de que Gmail remita la contraseña al usuario legítimo y a su propio teléfono móvil?. Pues bien, tiene de malo que aquí empieza el proceso de hackeo.

El intruso, que conoce el número de móvil del usuario legítimo, procede a enviarle un SMS paralelo, como si también procediera de Gmail, en el que le informa que su cuenta de email está siendo atacada y que en otro SMS por motivos de seguridad y privacidad, se le ha enviado su código de recuperación o contraseña legítima, y que para paralizar el ataque descubierto y mantener su cuenta a salvo, debe contestar a este SMS (el enviado por el hacker) con la contraseña que se le remite en el otro SMS paralelo (enviado por la verdadera Gmail).

Pensemos en el impacto en el usuario medio y desconocedor de todo tipo de peligros o actividades hacker hoy en día. Recibe dos SMS en su teléfono móvil. Ambos proceden de Gmail (en realidad sólo uno, el otro procede del hacker que sabe exactamente cuándo enviarlo dado que es él quien ha activado todo el protocolo de recuperación de la contraseña) y se le pide que devuelva un SMS con la información de su cuenta para mantenerla a salvo de dicho ataque detectado por Gmail y para demostrar que es el verdadero y legítimo usuario de su cuenta de correo.

gmail_hacker_png_CROP_promovar-mediumlarge

De hecho, incluso en un alarde de originalidad, se puede instar al usuario legítimo a cambiar su contraseña por seguridad y que devuelva el SMS con la nueva contraseña para confirmárselo a Gmail, lo que dará como resultado que sea el hacker quien reciba la información directamente del usuario hackeado.

En suma, un método simple que, bien implementado y dotado de los correspondientes y realistas mensajes de SMS coordinados con los que verdaderamente va a enviar la propia Gmail, pueden confundir sobradamente al usuario no técnico y robarle sus credenciales de acceso a su cuenta de correo.

Pero, sobre todo, un método que (por descuido de Google en la implementación de sus medidas de seguridad) no requiere ingeniería social en absoluto. Sólo hay que saber la dirección de email que se quiere explotar y el número de teléfono móvil del usuario. Nada más.

Nos ha parecido interesante dar publicidad a este agujero de seguridad que ya se está comentando en la Red y que, desde luego, debe ser conocido. Porque toda protección procede de la información.

Saludos.

Deja una Respuesta