martes, 4 de agosto de 2015

Conociéndote a partir de tu número de teléfono fijo (y crackeando tu pass)



Hola a todos. Voy a cortar por ahora las Android Hacking Series. En esta entrada vamos a ver lo fácil (y tenebroso) que puede ser, en algunos casos, encontrar información de una persona a partir de su número de teléfono fijo. Utilizaremos servicios de guías telefónicas, padrones, redes sociales, un poco de Google y astucia para ver todo lo que hay sobre X ser humano. Teniendo toda esa información luego podremos utilizar alguna herramienta para generar posibles claves de ese usuario y, finalmente lograr el tan deseado acceso.

Para comenzar, buscaremos en el sitio www.telexplorer.com.ar un número cualquiera. Para realizar esto, ingresamos al recuadro que dice "Búsqueda Residencial" en la página principal:



Colocamos un número de telefono cualquiera y esperamos el resultado:

Bueno, ya tenemos algo por donde empezar. Ahora ingresamos a Buscardatos.com y colocamos el nombre obtenido junto al rango posible de años. Buscamos, buscamos y...bingo, aparece nuestra persona:


 Figura otro domicilio pero vemos que coinciden los apellidos (si si, tiene dos apellidos) y los nombres así que tendremos fé y seguiremos. Clickeamos en "ver más" y tenemos lo siguiente:


Podemos ver que obtuvimos dirección, fecha de nacimiento, edad (por si no queremos hacer la cuenta jeje) y a que se dedica la persona.

Ahora realizamos una busqueda en Google, incorporando como parámetros algunos  de los datos obtenidos y encontramos por ejemplo un sitio en el que nos podemos asegurar que la actividad encontrada antes era correcta:


 Un poco más...

Seguimos conociendo a que se dedica

 Seguimos buscando y encontramos otro teléfono (quizas el primero estaba desactualizado), un correo y hasta una foto!

Tenemos una foto y el correo de la persona

Recapitulando, tenemos los siguientes datos de la persona:

  •  Nombre y Apellido
  • Dirección
  • Números de teléfono
  • Email
  • DNI
  • Edad
  • Fecha de nacimiento
  • Actividad

Con toda esta información, estamos listos para crear un diccionario para un ataque de fuerza bruta. Esto podemos verlo en la entrada: 

http://mamaquieroserpentester.blogspot.com.ar/2014/08/password-101-parte-iv-creando.html

Podríamos continuar la búsqueda en las redes sociales para ver cuales son sus amigos, gustos de la persona, etc. Igualmente con lo que conseguimos ya tenemos bastante como para ir probando. Hay que tener en cuenta que tenemos un correo electrónico y con esto podemos verificar si la persona lo utiliza para su cuenta de Facebook. Por si alguno no lo sabía, cuando ingresamos nuestro usuario (nuestro mail) en Facebook y colocamos mal la contraseña, muy amablemente nos dice que la contraseña no es válida, con lo cual nos está diciendo que el correo ingresado (por ende el usuario) existe. Además, si colocamos un correo que no está registrado en Facebook veremos que nos muestra un mensaje que informa que ese correo no está asociado a ninguna cuenta. Pueden probarlo ustedes mismos con un correo que tengan y no usen para Facebook. Así podemos jugar y verificar lo siguiente:

Nuestra persona utiliza el correo que encontramos para su cuenta de Facebook


Este es tan solo un ejemplo de como, a partir de un solo dato, se nos pueden abrir infinitas posibilidades para ganar acceso a un servicio o comprometer un sistema entero.

Espero que sea de utilidad. Como recomendación, tengamos cuidado con la información que publicamos en internet y con las configuraciones de seguridad de las redes sociales. Estemos atentos también, a sitios que publican nuestra información sin nuestro consentimiento.

Saludos y..

HAPPY HACKING!

1 comentario:

  1. hola, estoy entrando al mundo del hacking y quisiera saber si todo esto se puede hacer pero con un numero de telefono, agradeceria si me pueden dirigir por un buen camino, gracias !!!

    ResponderEliminar