Tuesday, 12 July 2016

Cómo "robar" una cuenta de Steam que ya es de "todos" @steamesp @Steam_Support @steam_games #Steam

Con el Jet Lag de mi viaje a Miami me levante pronto para aprovechar el tiempo y trabajar antes de comenzar las actividades planificadas para el día. De hecho, madrugué tanto que me dio tiempo hasta escribir este artículo durante el desayuno y dejarlo listo antes de comenzar el día, que todo es planificarse. La historia comenzó cuando me quité el grueso de los correos electrónicos y las acciones más importantes. Como siempre, decidí echarle un ojo a mi pasión, la seguridad informática. Esto es algo que realizo sistemáticamente todos los días. Leo, pruebo o compruebo algo que tiene que ver con Seguridad Informática, Hacking, y desde hace unos meses Big Data antes de comenzar o terminar el día. Obligatorio.

Figura 1: Cómo "robar" una cuenta de Steam que ya es de todo Internet

En este caso me puse a revisar un correo de mi amigo rootkit (que sigue aceptando la invitación que os hice en Mayo a todos para publicar vuestros artículos en el lado del mal) que me hablaba de un buzón temporal de esos que se usan para registrarse en sitios en los que no deseas dejar ningún rastro. Normalmente se utilizan en procesos de descarga que solicitan una dirección de contacto o para darse de alta en servicios que no quieres que sepan quién eres realmente. En este caso se trata del buzón de YOPMail.

Buzones de usar y tirar

La gracia de estos buzones es que normalmente se crea un alias, y durante un tiempo concreto se mantiene vivo. Una vez que se acaba el tiempo, generalmente asociado a una sesión, el buzón se elimina y con él todos los mensajes de correo electrónico que se hayan podido recibir hasta ese momento. Sin embargo, si se recrea ese buzón con el mismo alias, o si realmente el buzón no se elimina, entonces cualquiera podría investigar y saber qué está pasando por ahí y, tal vez en tiempo real, conseguir sacar alguna información jugosa. Esto es algo que Alejandro Ramos (@aramosf), en una de sus múltiples investigaciones que le llevarían más tarde a escribir con esas ideas el libro Hacker Épico, realizó hace mucho tiempo y publicó en un artículo titulado: "En lo qué pierdo el tiempo: Mailinator".

Figura 2: Estudio sobre los mensajes que se reciben en los buzones de Mailinator

El caso del buzón de YOPMail es de esos que no solo reutilizan los buzones, sino que los alias son totalmente públicos y cualquiera puede conectarse a lo que está recibiendo ese buzón en todo momento, así que hay que tener mucho cuidado con lo que conectas allí. Quiero decir, cualquier alias de YOPMail es de todos. En mi caso, en una primera aproximación, me conecté a un buzón para ver qué llegaba.

Una cuenta de Steam asociada a un alias de YOPMail

Como podéis ver, lo que suele llegar casi siempre es SPAM, newsletters, etcétera, uno de los motivos por los que proliferaron este tipo de servicios. Pero, entre la lista de esos mensajes, encontré uno que me llamó la atención. Era un mensaje de Steam para recuperar la contraseña de una cuenta. 

Figura 3: El buzón de YOPMail con el mensaje de STEAM

No tiene mucho sentido que alguien ponga una cuenta de un servicio como Steam asociado a un mensaje de correo electrónico de un servicio como YOPMail, a menos que no conozca como funciona este servicio o que la cuenta que se esté asociando haya sido robada previamente, y el atacante no quiere dejar ningún rastro de ella. 

Figura 4: Solicitud de recuperar cuenta asociada a esta dirección de e-mail de YOPMail

Lo cierto es que quería saber si esto era cierto o se trataba de un ataque de Phishing a uno de los usuarios de Steam, así que tras revisar el mensaje y ver que no parecía tener trampa ni cartón, me conecté y solicité la recuperación de contraseña para esa cuenta y me llegó, de nuevo al buzón de YOPMail, el One-Time Password para recuperar la cuenta.

Figura 5: La cuenta existe y el sistema envía el mensaje al buzón de YOPMail

Una vez introducido el sistema Steam te deja ver todos los usuarios y cuentas conectadas a esa dirección de correo electrónico para que se pueda cambiar, una a una, la contraseña de todas ellas. Como podéis ver, la lista es bastante grande.

Figura 6: Lista de cuentas asociadas a esa dirección de YOPMail

No cambié la contraseña de ninguna de las cuentas, e hice un reporte a Steam porque quizá era una cuenta robada, o una cuenta que funciona con tarjetas de crédito robadas, o similar. Si no, si es de un usuario legítimo, usar YOPMail para recuperar la cuenta no parece lo más inteligente, así que Steam podrá decidir qué debe hacerse en cada caso.

Saludos Malignos!

No comments:

Post a Comment