Engañando a Facebook: Phishing básico

Lo probé hace un tiempo, no por nada, solo por probar. Vi que era posible y casi no daba crédito “se puede montar un lío importante con pocos recursos y en poco tiempo” pensé, pienso y seguiré pensando.

Quizás la compañía de Zuckerberg lo sepa y le de igual, quizás lo sabe y no le da igual, quizás ni lo sabe ni le importa, el caso es que es posible jugar con el Open Graph de Facebook y hacer pasar un enlace por otro, por la cara, sin demasiada complicación, de hecho con complicación nula.

Para este ejemplo he escogido una noticia de portalgeek (edición de Europa Press) sobre una tortuga, un viajero, un avión y una hamburguesa. La idea es que la noticia sea curiosa, para que la gente pique, es decir,que haga clic en el enlace, si bien es cierto que se puede modificar la noticia para que sea más “atractiva” y llame más la atención, hacerlo requiere hace más pruebas y, tal y como es la realidad, es más sencillo encontrar una noticia real y no modificarla.

Así las cosas, con un simple copiar/pegar de algunas líneas de código de la noticia clonada, un archivo html o php  obtenemos este resultado:

Facebook lee los meta datos, pero no los valida.

 

Podemos observar como la url es, en realidad, la de este blog, aunque la previa que muestra Facebook hace referencia a EuropaPress, si eliminamos la url de la ventana de texto y ponemos cualquier otro texto, queda realmente aparente:
Facebook lee los meta datos, pero no los valida.

Es cierto que para [email protected] que se fijan en los “detalles” hay uno que destapa el fallo una vez el enlace está publicado y es que, al pasar el puntero del ratón por encima de la noticia en la barra inferior del navegador aparece la dirección de destino, la real:

El enlace real solo aparece en navegadores.

Aunque más cierto aún es que en las aplicaciones móviles de Facebook (probadas las versiones Android) El enlace no se muestra, con lo cual es indetectable a priori.

Vale, Facebook no valida los meta datos de las webs ¿y?

Es el principio fundamental del Phishing hacer creer a la victima que está navegando por una web en la que en realidad NO está navegando. En el caso del ejemplo es muy evidente que europapress.com y noslan.com solo tienen en común el .com, pero imaginemos que el dominio del enlace falso fuese europress.com o en lugar de un nombre de dominio fuese una IP. Tendríamos una web clonada en un entorno que haría creer al usuario estar en un sitio de confianza, pongamos que la noticia fuese una viral, como por ejemplo el Ice Bucket Challenge y que al final de la noticia pidiese una donación, ya tendríamos un caso paradigmático de phishing, basado, esta vez, en un fallo, bug, o como suelen llamar en Microsoft a los errores de Internet Explorer, feature.

Si quieres hacer una prueba por ti [email protected], la url del test es prueba de concepto. (consultar)

 

PD: Esto no ocurre en Twitter y sus VCARD.

Disclaimer: Esta publicación está orientada a la formación y conocimiento. El mal uso que se le pueda dar a la información contenida en este artículo queda bajo la responsabilidad de cada [email protected] Para cualquier aclaración o duda, contacta.

Te puede interesar

Dilo, no te cortes: