Buenas tardes. En general uso Whatsapp poquísimo, y soy consciente de que un usuario o un hacker "normal" no tiene capacidad para hacer nada solo por escribirle un mensaje, pero tengo mis dudas en torno a las capacidades de las típicas mafias de ciberestafadores y etc que siempre están perfeccionando sus métodos...
¿El simple acto de enviar un mensaje de texto desde el teléfono móvil a la ventana de chat de un usuario de Whatsapp, es suficiente para que esa persona (suponiendo que sea un grupo de ciberestafadores) pueda causar un daño significativo a mi dispositivo o a mi directamente mediante el robo de información/contraseñas/cookies de mi teléfono?.
¿Ese tipo de mafias tienen la capacidad y los medios necesarios para poder acceder a mi teléfono solo por haberles enviado un mensaje de texto?.
Yo nunca respondo a mensajes sospechoso de scam, de esos que te piden o te ofrecen cosas absurdas (como premios y herencias xD) que claramente provienen de mafias de estafadores chinos, africanos o españoles, o mensajes en los que claramente se suplanta la identidad de otros servicios, como entidades bancarias y compañias. Directamente borro esos chats en cuanto los veo, y hago un bloqueo.
Pero hoy me ha llegado un mensaje que me ha hecho dudar un poco. La persona que me abrió chat me ha formulado una pregunta para saber si yo estaba interesado en una oferta de trabajo, y le he respondido de forma afirmativa, pero ya no me ha vuelto a responder esa persona. Y a los 10 minutos decidí borrar ese chat, pero no se si me habré puesto en riesgo solo por el acto de haber respondido.
Mi desconfianza y el hecho de que tras mi respuesta no me hayan respondido, me hace sospechar que a lo mejor solo buscaban eso, obtener un mensaje mío para poder hacer algo (algo perjudicial para mi) mediante ese mensaje.
¿Es eso posible para ese tipo de grupos organizados de hackers y estafadores, o no lo es?.
Aténtamente, Elektro.
« Última modificación: 28 Febrero 2024, 16:15 pm por Eleкtro »
No, con un mensaje no pueden hacer nada. Pero sí que pasas el primer filtro del ataque. Si no les das bola, abandonan. Si respondes, entonces pueden seguir con los siguientes pasos.
Si no es por un 0-day, no debe haber peligro. Si tienes corriendo algún servicio vulnerable, entonces es posible que sin mensaje.
Voy a intentar hacer una lista de escenarios.
1. Vulnerabilidad activa. Si tienes un servicio vulnerable, todo puede ocurrir en silencio. Es el ataque más complicado.
2. Wifis externas, MITM. Conectado a una red ajena (o propia), un atacante puede descifrar tu tráfico y aislar las credenciales. Y todo puede ocurrir en silencio también.
3. Aplicaciones vulnerables. Esto es igual que el 1, la vulnerabilidad corre en una aplicación. Lo pongo para diferenciar de tener un socket abierto, que es vulnerable, a tener una aplicación funcionando y que, en algún punto, se vuelva vulnerable. Por ejemplo, un parámetro para leer un fichero, sin sanitizar, podría usarse por el atacante para obtener datos del dispositivo de la víctima.
4. Ejecución de descargas. Windows tenía una vosa fabulosa, que era la opción de ejecutar al descargar. No sé ahora. Pero es un grave peligro que te descargues sin querer un .exe o un .apk y se ejecute, es una pésima decisión de diseño. Ejecutar un .exe es el fin. Y un .apk igual. Y cualquier ejecutable puede serlo. Descargárselo solo, no.
5. Páginas web clonadas. Esto es ingeniería social. Te roban las credenciales fingiendo una página web (red social, banco). Requieren que te loguees en una aplicación (que parece oficial pero es suya). Y no, no porque sea HTTPS es segura. Eso es lo mínimo para dificultar ataques MITM solamente. Tiene que ser la URL del sitio oficial, y tienes que tener las DNS limpias para ese dominio. Y aún así, podrían estar engañándote si estás en una WIFI o red ajena. No voy a dar claves, porque me figuro que aquí vivís ciberdelincuentes. Pero tienen trucos muy buenos, casi imperceptibles.
Pero ni por abrir un correo, ni por abrir una web (en principio, puede haber excepciones en el tiempo por vulnerabilidades concretas y para eso es qur hay que irse actualizando), ni por enviar o recibir un Whatsapp, pueden llegar a vulnerarte. Pero si del correo o el mensaje saltas a una web y ahí pones tus credenciales, o te descargas y ejecutas un fichero, ahí sí que pueden.
Dicho esto, todos estamos hackeados por las empresas a las que "confiamos" nuestros datos. Así, si Google sabe que soy un agitador político, que fabrico protestware, y que tengo un proyecto de lenguaje natural-programático para despertar a yoda la gente en la lógica, ellos pueden hacer desaparecer los correos con ofertas de trabajo que me llegan, y poco a poco joderme la vida.
No, con un mensaje no pueden hacer nada. Pero sí que pasas el primer filtro del ataque. (...) ni por enviar o recibir un Whatsapp, pueden llegar a vulnerarte.
Supongo que tendrás razón. Y probablemente haya sido eso, una simple prueba para pasar al siguiente nivel del ataque.
Gracias por tu respuesta.
Por cierto, ¿nunca van a quitar los smileys navideños en el foro? xD
Bueno, Elektro, ha sido leer tu tema y recordar las capacidades del software Pegasus.
Y, bueno, aunque es cierto que se ha comentado no se puede hacer nada con un simple mensaje, tambien es cierto que se ha omitido este programa, las vulnerabilidades que ha explotado y/o que puede explotar en la actualidad y que, segun cito de wikipedia:
No es necesario que el usuario haga clic en ningún enlace, Pegasus habilita secretamente un jailbreak explotando vulnerabilidades en el dispositivo y puede leer mensajes de texto, rastrear llamadas, recopilar contraseñas, rastrear la ubicación del teléfono,1 así como recopilar información de aplicaciones que incluyen (entre otras) iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram y Skype.
Muchas gracias por vuestra atencion, y, bueno, saludos.
En línea
A nivel personal, lo que me da mas miedo no son los planteamientos y acciones individuales, sino las realizadas en grupo, ya que estas ultimas pueden acabar con consecuencias especialmente nefastas para todos. Se responsable, consecuente y da ejemplo. https://informaticayotrostemas.blogspot.com/
Yo he dicho eso, pero hay que tener en cuenta el punto 1. Y aplicaciones como Pegasus van a ir a buscar los punto 1. De los 0-day no se puede escapar. De que los ISP te puedan leer no se puede escapar (Hola, Movistar!). De que los MITM te pesquen credenciales tampoco.
Hay una exposición de serie. Y hackers que conozcan 0-days pueden hacer magia y entrar en ciertos sistemas.
Pero bueno. El universo es mucho más grande. Y está hackeado también. Dios tiene sus exploits a nivel atómico y biológico. Pero sobre todo sobre todo, semántico. A mí me orquestra ataques de desbordamiento de pila simbólico. Organiza ataques de símbolos. Y el payload es desencadenar tu ira, tu malestar, tu agobio.
A ver, que yo me refiero a este tipo de mafias organizadas de estafadores / scammers que operan en "scam call centers", o su equivalente en África, o las que están menos organizadas y solo son un par de personas, pero ninguna de esa gente tiene mucha pinta de poder comprar y usar el software de inteligencia Israelí 'Pegasus' ...
« Última modificación: 28 Febrero 2024, 17:58 pm por Eleкtro »
A ver, que yo me refiero a este tipo de mafias organizadas de estafadores / scammers que operan en "scam call centers", o su equivalente en África, o las que están menos organizadas y solo son un par de personas, pero ninguna de esa gente tiene mucha pinta de poder comprar y usar el software Pegasus ...
Hola, Elektro.
Soy consciente de eso; no obstante, solo lo he comentado a modo de ejemplo y a raiz del tema que has abierto, ya que me ha recordado las capacidades de dicho software.
De cualquier forma, dicho software sigue siendo otro ejemplo mas para realizar ciberataques.
Muchas gracias por vuestra atencion, y, bueno, saludos.
En línea
A nivel personal, lo que me da mas miedo no son los planteamientos y acciones individuales, sino las realizadas en grupo, ya que estas ultimas pueden acabar con consecuencias especialmente nefastas para todos. Se responsable, consecuente y da ejemplo. https://informaticayotrostemas.blogspot.com/
Dios, 1 hora, no tengo tanto aguante. Dice que no hay castigo, que los liberan al día.
Yo me apunto. Al menos para unos porrillos. Sé plagiar webs a mano y js jquery. No... me hace gran gracia. Pero llegados a este punto, en el que cualquiera tiene más pasta que yo, si me decís de ir a por policías o políticos, también me apunto.
Autor
En línea
...
