Paranoia Hack Martes, 12 mayo 2015

¿Quieres que te preste mi USB? Está bien, ¡pero a cambio me llevo tus contraseñas!

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.

Esta semana he estado algo maquiavélico, más aún cuando las personas están mal acostumbradas a no proteger sus datos. Como el típico compañero que siempre pide prestado una memoria USB. Además de ser molesto, esto es un descuido tecnológico en estos tiempos. Por ello, previo aviso, quise darles una lección. Una demostración que al final funcionó.

Ahora ya no me piden una memoria, al menos a mí no. Sin embargo, les muestro por qué es peligroso usar memorias USB ajenas.

USB-contrasenas-keylogger

 

Como antes conté, esta técnica de extraer contraseñas con un USB puede suceder por disgusto, falta de ética o hasta para bromas. No obstante, puede que una persona tenga una memoria especial que preste a los compañeros descuidados, para que cuando conecten el USB, extraiga las contraseñas almacenadas en la computadora, y al mismo tiempo, capture todas las palabras que digite (Keylogger). Esto funcionará con más éxito si la víctima usa programas o Sistemas Operativos antiguos, algo muy frecuente en las empresas. ¿Me dirán que no?

Al insertar el USB, automáticamente se creará archivos de texto donde se guardarán las contraseñas. Así, cuando devuelvan el USB, entregarán un regalito extra. ¿Crees qué es complicado? Aquí te demuestro para que tengas cuidado con las memorias que recibes.

PASOS:

1) Descargar los archivos de Nirsoft.
2) Formartear un USB en NTFS o FAT32 (según funcion mejor).
3) Descomprimir los archivos y colocarlos en la raiz del USB.
4) Crear un archivo AUTORUN.inf y LAUNCH.BAT para que al insertar la memoria, se activen los programas ocultos que recuperan las claves, incluido el Keylogger. Todo se graba automáticamente en archivos .TXT.

VIDEO DEMOSTRACIÓN:

 

EL MUNDO SINIESTRO

Este método es y puede ser usado para muchos propósitos, no solo para quienes te colman la paciencia.

– Engañar a una persona para ingresar el USB a su máquina e intentar robar claves.
– Dejar el ordenar desprevenido para que alguien inserte un USB maligno.
– Olvidar a propósito el USB, y una vez conectado, ir a reclamarlo.
– Usar la ingeniería social para hacer que la víctima inserte el USB a su máquina.

 

RECOMENDACIONES:

Aquí algunos tips, aunque cabe señalar que las técnicas para crear un USB que extraiga información es variada, y algunas muy complejas.

– No almacenar contraseñas en sus máquinas. (El típico “Desea recordar la contraseña”)
– No ingresar memorias USB a su máquina.
– Tener sus navegadores actualizados.
– El Sistema Operativo debe estar actualizado.

 

 

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Disclaimer:
El autor no se responsabiliza de las opiniones vertidas en los comentarios. Este artículo no pretende ser un manual, ni vulnera la seguridad de ninguna persona, los usuarios asumirán su responsabilidad frente a cualquier daño o perjuicio que cometan.

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.