El otro día estaba tomando algo con unos amigos en una cafetería de mi ciudad. Estábamos tan tranquilos charlando hasta que, de pronto, vi que en mi silla había un código QR pegado, obviamente el código era de la cafetería pero no sé adonde llevaba exactamente, soy muy reacio a acceder a los QR que desconozco…
El caso es que le dije a un amigo: “Tío, esto es muy hackeable, puedes pegar un código QR encima de este, que lleve al lugar que quieras y ya está”.
Como era de esperar mi amigo directamente me respondió: “Pero tu chaval, qué te crees, un hacker por sacar buenas notas?”.
Ahí empezó todo.
Los días siguientes estuve pensando qué podría hacer exactamente con ese código QR, no quería pagar ningún dominio o servidor que simulase ser Facebook (un phishing en toda regla) o algo del estilo. Sabía que sólo tenía dos limitaciones principales: el dinero y usar el QR.
Rebuscando por casa encontré una nodemcu que quería usar desde hace tiempo en algún proyectillo, así que ni lo dudé, me puse manos a la obra.
La idea principal…
Finalmente, me decanté por el siguiente procedimiento: El usuario se sienta en la cafetería y se conecta al Wi-Fi de la misma. Está tan tranquilo con su vida hasta que ve el código QR en la silla, el cual hemos pegado previamente nosotros. Lo escanea debido a su gran curiosidad y porque, quizá, se espere encontrar algún descuento increíble que no puede dejar escapar.
El QR le redirecciona directamente a una web alojada en un servidor creado dentro de la nodemcu y que está en local, es decir, en nuestra red privada (la de la cafetería). Si tenemos la suerte de que el usuario llega hasta aquí, sólo falta la parte fácil, que introduzca sus datos… Puede iniciar sesión con su correo y contraseña pero también, y esto es lo potencia principal, con Facebook y Twitter.
Nota: Si la cafetería tiene portal cautivo todo este proyecto no tendría sentido, porque no podríamos conectar la nodemcu a la red de la cafetería.
Tras iniciar sesión en el user-side no ocurre absolutamente nada pero, en la nodemcu, se guardan el email y la contraseña introducidos en cualquiera de los casos.
Por si alguien le interesa, los datos se guardan en la memoria EEPROM de la nodemcu. Decidí escribir los datos en esta memoria debido a que no es volátil, es decir, no se pierden los datos tras perder la fuente de alimentación.
Tras esto, el atacante coge la nodemcu, se va a su casa, ejecuta un script en la placa y lee todos los datos almacenados en ella. Y si tenemos buena suerte no sólo tendremos las credenciales de Facebook sino también las de otras muchas RRSS, gmail, etc… ya que es de sobra bien conocido que casi todo usuario normal pone la misma contraseña en todas partes, y qué bonita noticia es esta para un atacante ¿Verdad?.
Al final, lo que empezó siendo un “no quiero hacer un phishing” acabó en “vamos a hacer un phishing amigos!”.
La hora de la verdad…
Ahora vamos a hacer una pequeña prueba de concepto en casa usando las 3 maneras de conseguir las credenciales, obviamente todo esto se puede extrapolar al caso de la cafetería (tan sólo necesitas tener acceso a su Wi-Fi).
Para empezar, hay que dejar claro que hemos configurado la nodemcu para que cree el servidor en la dirección 192.168.1.184, por lo que si la cafetería tiene una subnet diferente o algo por el estilo deberíamos modificarlo en el código.
Para empezar vamos a generar un código QR que nos lleve a http://192.168.1.184 y vamos a escanearlo con nuestro móvil. Con esto se nos abrirá la interfaz principal, momento en el cual es usuario tendrá que introducir sus maravillosos datos.
En el siguiente gif se puede observar la introducción de los datos:
En el vídeo se aprecia como se introducen 2 veces las credenciales, una directamente y otra vía Facebook, ambas se han almacenado de forma instantánea en la nodemcu y el usuario víctima no es consciente de ello.
Ahora lo único que hay que hacer para leerlas sería ejecutar el script de lectura de la memoria EEPROM y listo.
Dándonos el siguiente resultado:
Resultado de lectura de la placa
Y con esto ya estaría hecho, como se puede observar el formato de las credenciales es [email:password].
Para todo aquel que esté interesado en usarlo y cacharrear, puede encontrar el código fuente usado en mi Github.
Fuente: David Alonso. > https://davidalonso1.medium.com/
¿Qué significa cada emoji? Vamos a explicar el significado de todos los emojis , pues actualmente son tantos y tan diversos que se complica saber qué significa cada emoji concreto. Nuestra lista incluye los 3.664 caracteres del estándar Emoji 15.0 (dentro de Unicode 15), y se actualiza con las últimas novedades según se aprueban. Apps de chat como WhatsApp, actualizadas frecuentemente con todo tipo de novedades, van incorporando nuevos emojis que muchas veces dejamos de lado porque desconocemos realmente qué quieren expresar . A veces, los emojis pueden transmitir emociones confusas, y causar malentendidos o enfados. Curiosidades Antes de nada debemos conocer bien las diferencias entre emojis y emoticonos para evitar errores. Los emojis son un estándar que sus creadores, la organización Unicode, decide qué representan, pero luego cada fabricante, sistema operativo o app crea una ilustración propia, a veces con diferentes considerables entre ellas. Claro que lo que significa cada
Este mapa contiene enlaces a todos los periódicos del mundo traducidos: una gran herramienta para estar informado La web se llama Newspaper Map, y con un par de clics podrás acceder a prácticamente cualquier periódico La herramienta es gratuita, y dispone de enlaces directos a periódicos traducidos Internet nos ha dado fantásticas herramientas para estar informado en todo momento. Hoy día podemos conocer multitud de detalles de cualquier suceso que ocurra en el mundo, aunque este exceso de medios pueda en ocasiones dar lugar también al aumento en desinformación . Sin embargo, escogiendo sabiamente nuestras herramientas, tendremos menos oportunidad de que esto último ocurra, y en este artículo te traemos una herramienta muy útil si te gusta estar informado . La web en cuestión se llama « Newspaper Map ,» y su nombre ya es bastante ilustrativo. Básicamente contamos con un mapamundi donde están organizados prácticamente todas las versiones online de todos los periódicos de
Quishing: Los Peligrosos Códigos QR de los Estafadores El quishing, una combinación de “código QR” y “phishing”, representa una creciente amenaza para la ciberseguridad que aprovecha los códigos QR para inducir a las personas a revelar información confidencial. Los ataques de phishing con códigos QR van en aumento y presentan una amenaza importante tanto para los usuarios como para las organizaciones. A continuación, te contamos más detalles. ¿Qué es el Quishing? Concepto de código QR siendo escaneado Quishing es el proceso de dirigir a un usuario final a un sitio web fraudulento a través de un código QR. El diseño de los códigos QR hace imposible que el usuario sepa hacia dónde lo dirigirá el código después de escanearlo. Los ciberdelincuentes crean un código QR que parece legítimo, como uno que parece ofrecer un descuento u oferta especial, pero que en realidad dirige a la víctima a un sitio web falso controlado por el atacante. ¿Cómo Funciona el Quishing? El quishing utiliza un c
4 cosas que podrías perder si Google elimina tu cuenta Google ha decidido eliminar todas las cuentas inactivas. ¿Te preocupa que eso pueda afectarte? Esto es lo que podrías perder si Google elimina tu cuenta. Google actualizó su política de cuentas inactivas en mayo de 2023 y comenzará a eliminar cuentas sin actividad en los últimos dos años. Si bien tiene sentido desde la perspectiva de Google, podría traer noticias preocupantes para el resto de internet. Eso se debe a que muchas personas usan sus cuentas de Google para acceder a varias cuentas, no solo a Google. Entonces, ¿qué datos podrías perder si Google elimina una cuenta inactiva? 1. Podrías perder tus fotos (Google Photos) Google Photos es una herramienta útil para muchos usuarios, especialmente porque realiza copias de seguridad automáticas de tus fotos y videos. Google incluso actualizó Google Photos para que sea más fácil organizar las imágenes. Sin embargo, si ese es el único lugar donde almacenas tus fotos, especialmente l
En este artículo te mostraré diversos métodos que ayudarán a reparar tu memoria USB o memoria SD dañada. Muy a menudo nos enfrentamos al problema de que un dispositivo de almacenamiento se daña, esta guía seguramente va a responder a todas tus preguntas acerca de este problema. Cuando se nos daña nuestra memoria USB o memoria SD, pasamos horas investigando como poder solucionar dicho problema. Este post esta compuesto de varios métodos para ayudarte a reparar tu amada memoria USB o memoria SD dañada. Métodos para reparar memorias USB y memorias SD Cambiar la letra de la unidad A veces, tu equipo no puede asignar letras de unidad (C, D, E) para dispositivos de almacenamiento. Debido a esta razón, no se puede acceder a los archivos que contienen. Para resolver este problema, puedes asignar la letra de la unidad en el dispositivo. Los pasos para reparar tu memoria USB o memoria SD dañada mediante la asignación de la letra a la unidad son simple: Conecta los medios de alm
Comentarios
Publicar un comentario