BlogWonderHowTo

Cómo: Aprovechar credenciales recicladas con H8mail para ingresar en cuentas de usuario

A muchos usuarios en línea les preocupa que sus cuentas sean violadas por algún hacker experto, pero el escenario más probable es ser víctimas de un bot escrito para usar contraseñas filtradas en violaciones de datos de compañías como LinkedIn, MySpace y Tumblr. Por ejemplo, una herramienta llamada H8mail puede buscar entre más de mil millones de credenciales filtradas para descubrir contraseñas que podrían estar todavía en uso en la actualidad.

Cómo su contraseña termina en una violación de datos

Las filtraciones de datos suelen aparecer en los titulares, pero a los usuarios afectados a menudo no les resulta evidente cómo esto los pone en riesgo. Las infracciones no son todas iguales y pueden contener cualquier cosa, desde informes de crédito hasta una simple dirección de correo electrónico. La información en una infracción también se puede almacenar de diferentes maneras, y en el peor de los casos, las contraseñas se almacenan en Borrar texto.

La alternativa más común al texto sin formato es almacenar la información como texto sin formato en una forma más segura, como un hash. Desafortunadamente, un hash no resuelve el problema, porque muchos hash en sí mismos pueden ser de fuerza bruta. Las infracciones de contraseña que involucran contraseñas hash con SHA-1 aún pueden revelar contraseñas de texto sin formato si son contraseñas comunes o fáciles de adivinar.

Los piratas informáticos aprovechan estos problemas comprando y vendiendo listas de datos de usuario robados, con números de tarjetas de crédito y contraseñas en la parte superior de la lista. Con el tiempo, muchas de las listas más negociadas se hacen públicas.

En un caso, un archivo agregado colosal llamado “Compilación de incumplimiento“se descubrió que contenía 1.400 millones de credenciales de varias violaciones de datos de la empresa. Una vez que se filtró a Internet, su base de datos de credenciales agregada proporcionó la base para la explotación en pantalla ancha de las cuentas que pertenecen a las cuentas de los usuarios que reutilizan contraseñas entre cuentas.

Atacar credenciales recicladas con H8mail

H8mail es una herramienta para encontrar contraseñas de texto sin formato de esta violación masiva de datos utilizando solo el correo electrónico de una persona. Esto es más útil cuando se combina con tácticas de OSINT como encontrar todas las direcciones de correo electrónico en una organización usando herramientas como TheHarvester y luego introducir la lista resultante en H8mail. Encontré que esto era extremadamente efectivo para encontrar contraseñas de texto sin formato para al menos una persona en una organización grande, y las contraseñas tendían a ser terribles.

root@nickles:~/h8mail# python3 h8mail.py -t XXXXXXXXX@gmail.com -bc '/media/root/R3DL34D3R/BreachCompilation'  --local

        ._____. ._____.     ;___________;
        | ._. | | ._. |     ; h8mail.py ;
        | |_| |_|_|_| |     ;-----------;
        |___| |_______|  Heartfelt Email OSINT
        .___|_|_| |___.   Use responsibly etc
        | ._____| |_. | ;____________________;
        | |_| | | |_| | ; github.com/khast3x ;
        |_____| |_____| ;--------------------;

 Targets
----------

=> XXXXXXXXX@gmail.com

 Result XXXXXXXXX@gmail.com
-----------------------------

=> breached ✓
---
Breaches found HIBP: 0
Breaches found breachcompilation: 12
Target hostname: gmail.com

---
breachcompilation passwords: ssa123 123456789 18796-0em 1882564 3982262 6 6,91459E+11 asdf1234 jhedgeland kelly23 qwasqw12 rjyatnf777
-------------------------------

✓ Done

Las contraseñas almacenadas en la base de datos pueden estar algo sesgadas hacia contraseñas incorrectas porque es probable que los volcados de datos con contraseñas hash contengan muchas contraseñas demasiado fuertes para ser fácilmente forzadas. Debido a esto, la mayoría de los pares de correo electrónico y contraseña extraídos de violaciones de datos hash tienden a ser las peores contraseñas.

Lo que necesitarás

Para usar una herramienta como H8mail, necesitaremos la herramienta en sí y una fuente de datos. Una forma perfectamente aceptable de usar H8mail es conectarlo a una API, pero otra es descargar todo el archivo de compilación de la infracción y configurar H8mail para buscarlo localmente.

Como mencioné anteriormente, la base de datos de compilación de brechas consta de 1.400 millones de credenciales organizadas en una lista sin contraseñas duplicadas y divididas en carpetas que facilitan y agilizan la búsqueda. Esta base de datos también forma el núcleo de la ¿Me han engañado? base de datos, aunque ese servicio simplemente le permite saber que se ha producido una infracción en esa dirección de correo electrónico y cuál es la fuente de la infracción.

Antes de comenzar, necesitaremos tener Python3 instalado y estar listos para instalar algunos requisitos previos. Recomiendo usar Kali Linux y asegúrese de ejecutar apto para actualizar para actualizar su sistema antes de comenzar. Si no lo hace, podría causar problemas más adelante en la instalación.

Paso 1: descargue H8mail y fuentes de datos

Después de navegar a el repositorio de GitHub, clona el repositorio con el siguiente comando.

git clone https://github.com/khast3x/h8mail.git

Necesitará NodeJS instalado para que H8mail funcione correctamente, así que instálelo escribiendo lo siguiente en una ventana de terminal.

apt-get install nodejs

A continuación, deberá cambiar el directorio al que acaba de descargar y luego instalar los requisitos con pip. Recomiendo usar pip3, ya que pip3 funcionó para mí mientras que pip no. Para hacerlo, escriba lo siguiente en una ventana de terminal y espere a que los requisitos terminen de instalarse.

cd h8mail
pip3 install -r requirements.txt

Una vez que se cumpla con los requisitos previos, puede ejecutar h8mail.py para ver las opciones disponibles. Desde el interior de la carpeta h8mail descargada, ejecute el script de Python con el siguiente comando, que abrirá el menú de ayuda. Aquí verá las opciones disponibles en H8mail.

python3 ./h8mail.py -h

python3 h8mail.py -h
usage: h8mail.py -h -t TARGET_EMAILS -c CONFIG_FILE -o OUTPUT_FILE
-bc BC_PATH -v -l -k CLI_APIKEYS

Email information and password finding tool

optional arguments:
-h, --help show this help message and exit
-t TARGET_EMAILS, --targets TARGET_EMAILS
Either single email, or file (one email per line).
REGEXP
-c CONFIG_FILE, --config CONFIG_FILE
Configuration file for API keys
-o OUTPUT_FILE, --output OUTPUT_FILE
File to write output
-bc BC_PATH, --breachcomp BC_PATH
Path to the breachcompilation Torrent.
[https://ghostbin.com/paste/2cbdn ]
-v, --verbose Show debug information
-l, --local Run local actions only
-k CLI_APIKEYS, --apikey CLI_APIKEYS
Pass config options. Format is "K:V,K:V"

Paso 2: use H8mail con un solo correo electrónico

Usaremos la opción local, lo que significa descargar la compilación de violaciones para esta demostración. Si prefiere utilizar la opción API, deberá seguir las instrucciones en GitHub para agregar las claves API para cualquier servicio que desee utilizar.

Descargar la compilación de la infracción es relativamente fácil de hacer y solo tomó una búsqueda en Google y descargar un archivo magnet de 44 GB. No vincularé el archivo directamente, pero cualquier pirata informático que se precie puede encontrar la compilación de la infracción disponible en fuentes públicas. Una vez que tenga el archivo de compilación de la infracción, se puede realizar una búsqueda básica utilizando la siguiente cadena.

python3 h8mail.py -t email@tosearch.com -bc 'location_of_your_file/BreachCompilation' --local

Esto llama a Python3 para ejecutar h8mail.py, con los argumentos establecidos para la orientación. email@tosearch.com como correo electrónico para la búsqueda, antes de Cristo para la compilación de la infracción, y luego la ubicación de la carpeta de compilación de la infracción en su computadora con –local al final para indicar que los archivos se guardan localmente. Con este comando, puede verificar cualquier dirección de correo electrónico que desee. Si recibe un acierto, se verá así:

Targets
----------

=> aquaunitpatrolsquad@gmail.com

Result aquaunitpatrolsquad@gmail.com
---------------------------

=> breached ✓
---
Breaches found HIBP: 0
Breaches found breachcompilation: 1
Target hostname: gmail.com

---
breachcompilation passwords: handbanana tonight...you
-------------------------------

✓ Done

Paso 3: busque contraseñas de grupos de cuentas de correo electrónico

Ahora que puede buscar cuentas individuales, combinemos lo que ha aprendido en guías anteriores para buscar todos los correos electrónicos que puede encontrar para una organización. Para mi ejemplo, estoy usando priceline.com. Primero, usaremos TheHarvester para recopilar direcciones de correo electrónico del dominio priceline.com.

Por alguna razón, una cantidad considerable de empleados de Priceline usa PGP, por lo que ejecutar TheHarvester contra el servidor de claves PGP me dio suficientes direcciones de correo electrónico para crear una lista considerable de direcciones de correo electrónico de la empresa.

theharvester -d priceline.com -l 1000 -b pgp

Después de copiar la lista que se devuelve, puede crear un archivo de destino escribiendo lo siguiente y luego pegando los correos electrónicos encontrados en el editor de texto que se abre.

nano targets.txt

Una vez que haya hecho esto, escriba Ctrl-X y seleccione Y para guardar los cambios, puede ejecutar H8mail en todos los correos electrónicos de su lista de objetivos a la vez. Para hacerlo, use el siguiente comando.

python3 h8mail.py -t '/root/h8mail/targets.txt' -bc '~/BreachCompilation' --local

El comando puede tardar algún tiempo en completarse. Cuando haya terminado, es probable que encuentre al menos algunas contraseñas violadas en la lista de correos electrónicos de los empleados. Sorprendentemente, no encontramos ninguno de la lista de Priceline, pero si lo hiciera, probablemente no podría publicar los resultados de todos modos.

Estos ejemplos son solo el comienzo de lo que puede hacer con H8mail, y puede usar su imaginación para pensar en cómo podría ser útil poder buscar contraseñas que pertenecen a largas listas de direcciones de correo electrónico de personas.

El reciclaje de contraseñas es la mayor amenaza para el usuario medio

Ahora que hemos demostrado lo fácil que es utilizar una lista de direcciones de correo electrónico de la organización para buscar infracciones de contraseña, es fácil ver lo importante que es no reutilizar las contraseñas entre sitios web. El mayor motivo de preocupación es que algunas de sus cuentas en línea pueden usar las mismas contraseñas antiguas que ya han sido violadas, lo que lo expone al riesgo de que los bots armados con su dirección de correo electrónico y una contraseña anterior tomen el control de sus cuentas en línea.

La mejor forma de protegerse contra esta vulnerabilidad es utilizar contraseñas únicas y seguras para cada sitio web. Esto también significa no utilizar patrones que sean predecibles, porque a menudo hay varias contraseñas violadas para una sola dirección de correo electrónico, lo que significa que un pirata informático sabrá si hay un patrón obvio en sus contraseñas.

A los administradores de contraseñas les gusta Ultimo pase puede ayudar a crear y almacenar contraseñas seguras, y la mejor forma de defenderse contra estos ataques es la autenticación de dos factores, preferiblemente con una clave de hardware. Usando un Llave de seguridad FIDO, cualquier dispositivo que desee iniciar sesión en su cuenta y conozca su contraseña seguirá necesitando la clave física para iniciar sesión, lo que hace que la contraseña que tiene el atacante sea mucho menos útil.

Puede configurar la autenticación de dos factores en la mayoría de las cuentas en línea, y recomiendo encarecidamente que lo haga si ha sido culpable del mal hábito de reutilizar las contraseñas. Entre la autenticación de dos factores y el uso de administradores de contraseñas para mantener y recordar contraseñas únicas y seguras, el usuario medio puede reducir sustancialmente su riesgo frente a este tipo de ataque.

Espero que haya disfrutado de esta guía sobre el uso de H8mail para encontrar contraseñas violadas que pertenecen a un correo electrónico específico. Si tiene alguna pregunta sobre este tutorial en H8mail o tiene un comentario, no dude en comunicarse conmigo en los comentarios a continuación o en Twitter. @KodyKinzie.

Imagen de portada de Kody / Null Byte

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar