Este es el mejor método para hackear cuentas de redes sociales

Las personas suelen hablar de que sus cuentas de Instagram, Twitter  o TikTok han sido hackeadas, pero ¿qué hay realmente detrás de esto? ¿Por qué ocurrió? La mayoría de las veces, en realidad es culpa del usuario.

Introducción

Hackear las redes sociales se ha vuelto cada vez más popular a medida que las propias redes sociales han ganado una atracción significativa. Niños, adultos e incluso algunos abuelos del siglo XXI se han visto arrastrados al suministro interminable de funciones de Internet. La comunicación entre amigos y familiares nunca había sido tan fácil de realizar, y todo gracias a un par de aplicaciones que reducen lentamente las interacciones en persona.

Entonces, ¿cómo es que todas estas personas son vulneradas, aparentemente de la nada, todos los días? Instagram no filtra su base de datos de usuarios todo el tiempo en la web oscura ni nada por el estilo, entonces, ¿Qué hacen exactamente los hackers? Vamos a hacer un recorrido completo sobre lo que hacen la mayoría de los hackers cuando roban las cuentas de los usuarios. Y, es sorprendentemente efectivo.

La respuesta rápida:

No es la aplicación. Eres tú.

La respuesta más completa:

Resulta que los usuarios son los responsables cuando son hackeados. Hacer clic en un enlace malicioso puede generar que las cuentas de las redes sociales sean hackeadas. Esto dependerá de las medidas de seguridad implementadas en la cuenta, como 2FA y una contraseña segura. No obstante, esas medidas de seguridad también pueden ser evadidas. Aunque definitivamente es una tarea más difícil que, por ejemplo, forzar el inicio de sesión de un usuario cuando su contraseña en su cuenta de Facebook es ‘contraseña’. 

La explicación:

Si alguna vez has oído hablar de ‘phishing’, es genial. Seguramente tienes conocimientos básicos  sobre la herramienta que vamos a utilizar.

Si no sabes que es el phishing, déjame decirte que consiste esencialmente en engañar a un usuario para que piense que está accediendo a un sitio o una página de inicio de sesión legítimos. Posteriormente, el usuario enviará sus credenciales, como su nombre de usuario y contraseña al hacker. De esa manera, el hacker puede iniciar sesión como ese usuario y tomar el control de la cuenta.

Usaremos un poco de programación y PyPhisher para mostrarte cómo suelen actuar los hacker. PyPhisher es una herramienta de phishing de código abierto que puedes encontrar en Github y una de las mejores herramientas para este tipo de acciones.

Usando PyPhisher para realizar un ataque de phishing a usuarios de Twitter

Debido a que PyPhisher usa Python, es mucho más versátil en diferentes plataformas como MacOS y Linux (ambas basadas en Unix) e incluso Windows.

Debes ejecutar los siguientes comandos en un terminal (basado en Unix) o línea de comando (Windows 10/11).

~$ git clone https://github.com/KasRoudra/PyPhisher
~$ cd PyPhisher
~$ pip3 install -r files/requirements.txt
~$ python3 pyphisher.py

Después de ejecutar python3 pyphisher.py, deberías obtener algo como esto:

A modo de demostración, diremos que el hacker quiere hacer phishing en una cuenta de Twitter. Seleccionamos el número correspondiente para Twitter – 16 – y presionamos ‘n‘ para rechazar la generación de páginas OTP por simplicidad.

Debes ingresar cualquier URL regular aquí, generalmente puede ser la página de error de la plataforma. Presiona Enter y se te mostrarán muchas URLs para hacer phishing a los usuarios. Bastante útil, teniendo en cuenta que algunas herramientas de phishing solo te brindan una o dos, y no muy buenas.

Estos enlaces tienen enmascaramiento de URL, que es muy útil para el phishing. El comienzo de un enlace es lo que se muestra en muchas plataformas, y el usuario podría pensar que es un sitio legítimo con insignia azul si ve el comienzo de estas URLs.

Una vez que hagas clic en uno de estos enlaces (o, preferiblemente, una víctima haga clic en un enlace a través de algo como ingeniería social), se  te mostrará esta página.

Si es una página diferente, mejor. Casi siempre muestra la página de inicio de sesión actualizada para el servicio y, si no es así, puedes enviar una solicitud en Github para obtener una actualización.

Una vez que la víctima ingresa su nombre de usuario y contraseña, la información se envía directamente a través de nuestra terminal, o donde sea que estemos ejecutando PyPhisher. Es necesario e indispensable un poco de ingeniería social para que el usuario haga clic en el enlace. Por ejemplo, puedes hacerte pasar por un amigo y presentarle algo interesante que supuestamente has encontrado. Sin embargo, no es el único método, hay un millón de métodos diferentes. 

Espero que te haya gustado esta publicación sobre la técnica más común utilizada por los hackers para vulnerar a los usuarios de las redes sociales.