¿Cómo robar Whatsapp sin tener que hackerlo? Muy sencillo, utilizando el eslabón más débil de la cadena.
El eslabón más débil de la cadena
Tal y como ya os he hablado varias veces en este blog, una de las herramientas de hacking más potentes que ahí es la ingenieria social porque hace uso del que puede ser considerado como el eslabón más débil de la cadena, el usuario.
Éste ha sido el conocido recientemente, como el caso del robo del Whatsapp de Alber Ribera.
El procedimiento es bastante sencillo y más que un profundo conocimiento de técnicas hacking, lo que hace falta es entender el funcionamiento de la aplicación en cuestión (cómo se activa, métodos de comprobación de identidad, etc) y un poco de ingeniería social para conseguir los únicos dos datos que a priori debemos conocer.
Ingeniería social
Aunque en este caso no sería ni necesario aplicar grandes conocimientos de ingenieria social porque los dos datos que se necesitan son bastante comunes y, dependiendo del perfil de la persona, incluso bastante públicos.
Los datos que necesitamos son:
- Número de móvil
- Dirección de email
Lo único un poco más elaborado técnicamente (y donde va a estar el éxito del robo) es, preparar un phishing (mail haciendonos pasar por Whatsapp solícitando a la víctima el código de activación que acaba de recibir).
Robo del Whatsapp
Ahora que ya tenemos estos datos éste es el procedimiento que debemos realizar:
- Instalamos Whatsapp en el móvil donde queramos tener el Whatsapp «robado». Le llamaremos móvil atacante.
- Al instalar la aplicación, nos solicita el número de teléfono que queremos utilizar para Whatsapp. Aquí le daremos el número de la víctima. Pero antes le mandamos el mail.
- Le enviamos un mail a la víctima, haciéndonos pasar por Whatsapp de la manera más creíble que se os ocurra y solicitándole que a través del enlace introduzca el código de activación que le va a llegar.
- En ese momento a la víctima le ha llegado un código de activación de whatsapp y si nuestro phishing ha sido creíble en unos minutos tendremos el código de activación y podremos finalizar la instalación.
Como hemos visto, son cuatro sencillos pasos que, haciendo uso de procedimiento de activación y sobretodo, del eslabón más débil de la cadena de seguridad nos permite hacernos con el control del Whatsapp de una posible víctima.
Si quieres saber más en detalle como realizar esta técnica, o quieres concienciar a tus empleados, alumnos, amigos, etc. en breve pondré en marcha un taller donde realizaré un caso práctico reproduciendo en detalle lo que acabamos de ver en este post.
Ponte en contacto conmigo y te informaré.
Photo by Christian Wiediger on Unsplash
Photo by Rachit Tank on Unsplash