Foro de elhacker.net

Buenas tardes. En general uso Whatsapp poquísimo, y soy consciente de que un usuario o un hacker "normal" no tiene capacidad para hacer nada solo por escribirle un mensaje, pero tengo mis dudas en torno a las capacidades de las típicas mafias de ciberestafadores y etc que siempre están perfeccionando sus métodos...

¿El simple acto de enviar un mensaje de texto desde el teléfono móvil a la ventana de chat de un usuario de Whatsapp, es suficiente para que esa persona (suponiendo que sea un grupo de ciberestafadores) pueda causar un daño significativo a mi dispositivo o a mi directamente mediante el robo de información/contraseñas/cookies de mi teléfono?.

¿Ese tipo de mafias tienen la capacidad y los medios necesarios para poder acceder a mi teléfono solo por haberles enviado un mensaje de texto?.

Yo nunca respondo a mensajes sospechoso de scam, de esos que te piden o te ofrecen cosas absurdas (como premios y herencias xD) que claramente provienen de mafias de estafadores chinos, africanos o españoles, o mensajes en los que claramente se suplanta la identidad de otros servicios, como entidades bancarias y compañias. Directamente borro esos chats en cuanto los veo, y hago un bloqueo.

Pero hoy me ha llegado un mensaje que me ha hecho dudar un poco. La persona que me abrió chat me ha formulado una pregunta para saber si yo estaba interesado en una oferta de trabajo, y le he respondido de forma afirmativa, pero ya no me ha vuelto a responder esa persona. Y a los 10 minutos decidí borrar ese chat, pero no se si me habré puesto en riesgo solo por el acto de haber respondido.

Mi desconfianza y el hecho de que tras mi respuesta no me hayan respondido, me hace sospechar que a lo mejor solo buscaban eso, obtener un mensaje mío para poder hacer algo (algo perjudicial para mi) mediante ese mensaje.

¿Es eso posible para ese tipo de grupos organizados de hackers y estafadores, o no lo es?.

Aténtamente,
Elektro.

No, con un mensaje no pueden hacer nada. Pero sí que pasas el primer filtro del ataque. Si no les das bola, abandonan. Si respondes, entonces pueden seguir con los siguientes pasos.

Si no es por un 0-day, no debe haber peligro. Si tienes corriendo algún servicio vulnerable, entonces es posible que sin mensaje.

Voy a intentar hacer una lista de escenarios.

1. Vulnerabilidad activa. Si tienes un servicio vulnerable, todo puede ocurrir en silencio. Es el ataque más complicado.

2. Wifis externas, MITM. Conectado a una red ajena (o propia), un atacante puede descifrar tu tráfico y aislar las credenciales. Y todo puede ocurrir en silencio también.

3. Aplicaciones vulnerables. Esto es igual que el 1, la vulnerabilidad corre en una aplicación. Lo pongo para diferenciar de tener un socket abierto, que es vulnerable, a tener una aplicación funcionando y que, en algún punto, se vuelva vulnerable. Por ejemplo, un parámetro para leer un fichero, sin sanitizar, podría usarse por el atacante para obtener datos del dispositivo de la víctima.

4. Ejecución de descargas. Windows tenía una vosa fabulosa, que era la opción de ejecutar al descargar. No sé ahora. Pero es un grave peligro que te descargues sin querer un .exe o un .apk y se ejecute, es una pésima decisión de diseño. Ejecutar un .exe es el fin. Y un .apk igual. Y cualquier ejecutable puede serlo. Descargárselo solo, no.

5. Páginas web clonadas. Esto es ingeniería social. Te roban las credenciales fingiendo una página web (red social, banco). Requieren que te loguees en una aplicación (que parece oficial pero es suya). Y no, no porque sea HTTPS es segura. Eso es lo mínimo para dificultar ataques MITM solamente. Tiene que ser la URL del sitio oficial, y tienes que tener las DNS limpias para ese dominio. Y aún así, podrían estar engañándote si estás en una WIFI o red ajena. No voy a dar claves, porque me figuro que aquí vivís ciberdelincuentes. Pero tienen trucos muy buenos, casi imperceptibles.

Pero ni por abrir un correo, ni por abrir una web (en principio, puede haber excepciones en el tiempo por vulnerabilidades concretas y para eso es qur hay que irse actualizando), ni por enviar o recibir un Whatsapp, pueden llegar a vulnerarte. Pero si del correo o el mensaje saltas a una web y ahí pones tus credenciales, o te descargas y ejecutas un fichero, ahí sí que pueden.

Dicho esto, todos estamos hackeados por las empresas a las que "confiamos" nuestros datos. Así, si Google sabe que soy un agitador político, que fabrico protestware, y que tengo un proyecto de lenguaje natural-programático para despertar a yoda la gente en la lógica, ellos pueden hacer desaparecer los correos con ofertas de trabajo que me llegan, y poco a poco joderme la vida.

Pueden. Y es legal.

Supongo que tendrás razón. Y probablemente haya sido eso, una simple prueba para pasar al siguiente nivel del ataque.

Gracias por tu respuesta. ;D

---

Por cierto, ¿nunca van a quitar los smileys navideños en el foro? xD

Bueno, Elektro, ha sido leer tu tema y recordar las capacidades del software Pegasus.

Y, bueno, aunque es cierto que se ha comentado no se puede hacer nada con un simple mensaje, tambien es cierto que se ha omitido este programa, las vulnerabilidades que ha explotado y/o que puede explotar en la actualidad y que, segun cito de wikipedia:

No es necesario que el usuario haga clic en ningún enlace, Pegasus habilita secretamente un jailbreak explotando vulnerabilidades en el dispositivo y puede leer mensajes de texto, rastrear llamadas, recopilar contraseñas, rastrear la ubicación del teléfono,1​ así como recopilar información de aplicaciones que incluyen (entre otras) iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram y Skype.

Muchas gracias por vuestra atencion, y, bueno, saludos.

Yo he dicho eso, pero hay que tener en cuenta el punto 1. Y aplicaciones como Pegasus van a ir a buscar los punto 1. De los 0-day no se puede escapar. De que los ISP te puedan leer no se puede escapar (Hola, Movistar!). De que los MITM te pesquen credenciales tampoco.

Hay una exposición de serie. Y hackers que conozcan 0-days pueden hacer magia y entrar en ciertos sistemas.

Pero bueno. El universo es mucho más grande. Y está hackeado también. Dios tiene sus exploits a nivel atómico y biológico. Pero sobre todo sobre todo, semántico. A mí me orquestra ataques de desbordamiento de pila simbólico. Organiza ataques de símbolos. Y el payload es desencadenar tu ira, tu malestar, tu agobio.

Sé lo que digo. Sé que está ahí.

A ver, que yo me refiero a este tipo de mafias organizadas de estafadores / scammers que operan en "scam call centers", o su equivalente en África, o las que están menos organizadas y solo son un par de personas, pero ninguna de esa gente tiene mucha pinta de poder comprar y usar el software de inteligencia Israelí 'Pegasus' :xD...

UdEELggaY5Q

Hola, Elektro.

Soy consciente de eso; no obstante, solo lo he comentado a modo de ejemplo y a raiz del tema que has abierto, ya que me ha recordado las capacidades de dicho software.

De cualquier forma, dicho software sigue siendo otro ejemplo mas para realizar ciberataques.

Muchas gracias por vuestra atencion, y, bueno, saludos.

Dios, 1 hora, no tengo tanto aguante. Dice que no hay castigo, que los liberan al día.

Yo me apunto. Al menos para unos porrillos. Sé plagiar webs a mano y js jquery. No... me hace gran gracia. Pero llegados a este punto, en el que cualquiera tiene más pasta que yo, si me decís de ir a por policías o políticos, también me apunto.

La licencia de Pegasus vale mucho dinero xD

No creo que se hayan tomado tantas molestias en el teléfono de un particular, si fueras político o activista entonces sería otro tema.

Aquí hay un fallo en la matrix, porque el Elektro está deshabitado desde hace muchos años...

Este que postea debe ser su gata o algún otro ente que tomó posesión de esa cuenta... se han visto casos...

 :rolleyes: :o :rolleyes:

Hola!


No hay error. Se quitó el ban de la cuenta de Elektro.

Saludos!

PD: Por favor, no seguir desviando el tema con este otro.

Hola Elektro, un gusto leerte compañero!

No, no pueden tener acceso a tu móvil con sólo enviarles un mensaje, en todo caso quizás podrían hacer algo si tendrías WhatsApp Plus y éste tiene alguna vulnerabilidad, de hecho en WhatsApp Plus los mensajes no son seguros porque no están cifrados de extremo a extremo.

Tampoco pueden acceder a tu dispositivo ni robar ninguna cookie, sólo se manejan por medio de redes sociales y aplicaciones de mensajería como WhatsApp tratando de engañar a sus víctimas con ingeniería social.
Con enviar un mensaje no podrán hacer nada, quizás te dejaron de responder por la respuesta que diste y porque no te vieron una víctima segura por tu misma desconfianza y han preferido pasar de ti o incluso la respuesta que le has dado no es la que esperaban.

Como dijo un compañero más arriba, si para ellos no sos una persona "importante", simplemente fuiste una posible víctima más de alguna estafa.

Yo creo que el peor error que has cometido es justamente lo que no hay que hacer en éstos casos, y es que cuando te envían un mensaje con alguna super oferta absurda o exagerada, algún bono, premios, dinero, herencia, etc., es responder, cuando te enviaron un mensaje con esa supuesta oferta de trabajo no se porque has respondido y le has llevado el apunte, lo que tenías que haber hecho es bloquear el contacto y reportarlo en WhatsApp o simplemente bloquearlo, ¿que fue lo que te interesó de esa oferta de trabajo para que respondas? obviamente eso era un -como dicen los hermanos españoles- timo/engaño, porque nadie sin conocerte le va a enviar una oferta de trabajo a un desconocido así de la nada.


Saludos

A diferencia de otras veces, le atribuí cierta verosimilitud por dos motivos. El primero es que la persona que me habló se hizo pasar por el CEO de una empresa relacionada con el desarrollo de software (no daré nombres, pero una empresa pequeña en Francia; tuve que buscarla en Google por que no la conocía), y el segundo motivo es que últimamente me estoy esforzando en intentar aumentar mi visibilidad para captar ese tipo de ofertas de trabajo.

Al parecer estas mafias saben demasiados datos sobre los intereses de sus potenciales víctimas.

Quiero decir, si una persona no tiene una cuenta en el banco "X", probablemente estas mafias lo sabrán y no te enviarán un mensaje suplantando a ese banco, sino que te investigarán más a fondo para saber exactamente que banco utilizas y así hacer mejor ingenieria social contigo. Es solo un ejemplo, y supongo que será algo obvio.

---

En fin.

Yo también me alegro de volver a intercambiar unas palabras con todos los que hayan participado y participen en este hilo ya sea con la intención de hacer un comentario amistoso de bienvenida y reencuentro a mi vuelta al foro, y/o de contribuir y enriquecer el debate hablando del asunto en cuestión del que hay que hablar, que no soy yo ni los conflictos que haya tenido en el foro ni las sanciones, sino los estafadores, Pegasus y demás cosas relacionadas.

Aténtamente,
Elektro.

Hasta hace un año , si que podian
https://www.proandroid.com/vulnerabilidad-whatsapp-podido-comprometer-seguridad-privacidad/ (https://www.proandroid.com/vulnerabilidad-whatsapp-podido-comprometer-seguridad-privacidad/)

Hola, veo que fuiste bastante "odiado" en este foro hace tiempo y estas experimentando las secuelas.
En fin, gente odiosa hay en todas partes. La gente odiada normalmente es mas extraordinaria a su manera.

Respecto a tu pregunta, es interesante de hecho porque muchas plataformas de mensajeria preprocesan el mensaje bastante antes de que lo abras.

Voy a dar un ejemplo, hace poco me querian estafar y eso me puso de mal humor, asi que me puse a investigar y me di cuenta de que cierta plataforma procesa los enlaces a Internet antes de que tu los abras, es decir, al momento de que te llega un mensaje, la aplicacion realiza la peticion HTTP/S y procesa el recurso hasta cierto punto.

Con otra herramienta (de aplicacion mas o menos obvia dado el contexto) les saque la IP, el tipo de dispositivo, el sistema operativo, entre otras cosas que puedes encontrar en el user agent... Entre otras cosas.

Si te preocupa mucho la privacidad, mejor vete por alternativas mas de "texto plano".

¡Espero haberte ayudado en algo!

Saludos.