Desde hace tiempo en los test de intrusión de las empresas realizamos pruebas APT (Advanced Persistent Threats), o lo que es lo mismo, buscamos la forma de preparar ataques dirigidos contra empleados de la organización con esquemas adaptados a cada uno de ellos buscando robarles contraseñas de servicios que nos puedan ayudar a conseguir el éxito. Una de las formas más habituales para hacer es este trabajo consiste en localizar empleados de la empresa por medio de Linkedin, obtener sus cuentas de correo y buscar las cuentas de redes sociales asociadas a Facebook, Twitter, etcétera.
En Twitter en concreto, una de las cosas que aprovechamos es que los clientes Twitter se identifican, y podemos saber si el objetivo tiene un Mac OS X, un Windows, un iPhone o un Android, algo que nos ayuda a preparar atraques client-side más efectivamente.
Figura 1: El twitt patrocinado de David Ferrer enviado desde iPhone |
Esta característica parece que no es conocida por todos, y a veces puede jugar malas pasadas cuando te pagan por un tweet publicitario, como es el caso de nuestra estrella del deporte David Ferrer, que ha twitteado lo maravilloso que es y lo feliz que está con su Samsung Galaxy S4 desde un iPhone... para que veamos que lo de Siri y su preferencia por Windows Phone pasa en todas las casas.
No hay comentarios:
Publicar un comentario