jueves, 17 de noviembre de 2011

Técnica de phishing en Facebook

Una vez más, vamos a presentar un 0-day en técnicas de phishing de facebook. Afortunadamente todavía no hemos visto la técnica en funcionamiento. Mediante una continua investigación de la plataforma, logramos deducir ciertos vectores de ataque para prevenir a los especialistas en seguridad y desarrolladores, antes de que los vectores sean explotados de forma masiva, reduciendo de esta forma su futura efectividad.

Cada vez que publicamos un Link, ya sea en nuestro muro o en el muro de alguien más, se genera un contenido al cual Facebook llama “Vista Previa”.

Una vez copiado el link en el sector para hacer la publicación, la vista previa se genera sola y da información sobre la pagina a la cual redirecciona el link, léase Nombre de link + Dominio De Redirección.

Si quisiésemos, podríamos borrar el link del sector de publicación y que se vea solamente la vista previa. De esta forma solo bastaría con hacer un click en la Imagen o Link de vista previa para ser redirigidos.


De esta misma forma, podríamos publicar contenido Malicioso ya que Facebook nos permite “Linkear” más de 1 contenido por post, pero solo permite 1 vista previa.


Como vemos en la imagen, aparece tanto el link + vista previa de Hotmail, y ademas aparece en el Comment el link para acceder al sitio de Gmail.

Ahora, aprovechando dichas facilidades otorgadas por la aplicación y haciéndose de los acortadores de URL, un atacante sería capaz de aumentar su probabilidad de infección mediante una UNICA publicación que contenga 3 direcciones:

Link Malicioso

Nombre del supuesto link al que se va a redirigir

Link Original


Si observamos con detalle la imagen con redirección verdadera podemos distinguir lo siguiente:

1- Texto de Comment de FB.
2- Nombre de hipervinculo (Sign In)
3- Link en texto plano (login.live.com)
4- Comentario de la página

Si observamos con detalle la imagen con redirección falsa dennotamos:

1- Texto de Comment FB + Short URL (A modo de PoC, redirige a gmail.com) —> Se incita al usuario a iniciar sesión desde el link
2- Nombre de Hipervínculo (Sign UP) —> Si se apretara Sign Up, la redirección sería hacia el sitio Origianal , por eso su modificación para EVITAR de alguna forma que el usuario haga Click.
3- Comentario de la página :

Si desea iniciar sesion, siga el LINK DE ARRIBA o el siguiente LINK: http://goo.gl/93aP6 . Para Crear una cuenta, aprete SIGN UP

Otro Ejemplo:



Si utilizamos algun servicio para “Descomprimir” el link recortado nos arroja el siguiente resultado:


Sitio Utilizado: http://longurl.org/


Como vemos en el resultado, la redirección se hace hacia http://login.liveS.com/ que no es lo mismo que https://login.live.com/, dando lugar a un ataque de Phishing.

Hay 4 factores clave en el ataque:

1- Facebook nos permite escribir mas de 1 hipervínculo por publicación
2- Facebook crea una “Vista previa” de la página
3- Facebook dentro de la vista previa, hace un detalle del “Nombre de link” (Manipulable)
4- Facebook nos permite la modificación del contenido de la publicación.

Hay 1 factor negativo en el ataque:

1- El Hipervínculo de redirección original en vista previa, NO SE PUEDE MODIFICAR. Ergo, por más que el atacante cambie el nombre del link de redirección, si el usuario presiona sobre ese link va a ser redireccionado al original de todas formas.

Del factor negativo, deducimos (Muy fácilmente), que las probabilidades de efectividad, se reducen al 50%, ya que de 2 link con redirección 1 nos guía hacia un Sitio Atacante, y 1 nos guía a el Sitio Autentico. Sin embargo, como demostramos en el caso de Sign In/Sign Up, lograríamos una desviación “Semántica” de dicha redirección.

De los factores clave del ataque, podemos deducir:

* Facilmente un usuario caería en la trampa por ser un phishing 0-day.
* La Vista Previa aumenta la confiabilidad de la redirección
* Facebook mismo aumenta la confiabilidad de la publicación
* El “Nombre de Link” es la segunda clave del phishing ya que podemos modificarlo a nuestro antojo, aumentando así la confiabilidad por parte del usuario dispuesto a hacer Click.

Para evitar ser víctima de un phishing de esta índole, recomendamos un uso consciente de las redes sociales. No hay que confiar de todo lo que aparenta ser.

- Leer atentamente la barra de estado posando el mouse sobre el hipervínculo para ver la dirección a la que apunta.
- Si es una “Short URL” ingresar a algun sitio de expansión de links para ver la redirección original.


Gustavo Nicolas Ogawa

Fuente: MKIT

No hay comentarios: