Vulnerabilidad en Outlook.com mediante Ingeniería social

Ayer por la tarde me dió por resetear la clave de mi correo electrónico y cuando me encuentro con la página de envió de información me pareció realmente curiosa la url e intente modificar y alterar la misma y tuve exíto.


El ataque es sencillo realmente, y es viable por medio de una variable (donde se especifica el correo al cual se envía la información cuando uno intenta resetear su clave).


La dirección es:
https://account.live.com/MessagePage.aspx?message=autocsrsuccess&param=carluisvip@hotmail.com
Texto donde figura el correo electronico que aparece en la dirección:
Enviaremos un mensaje de correo electrónico a carluisvip@hotmail.com para informarle si brindó suficiente información para recuperar su cuenta. Generalmente se necesitan alrededor de 24 horas para revisar la información enviada. Si ya envió una solicitud, la cerraremos y echaremos un vistazo en esta.

Alterar y facilitar Phishing


Si añadimos texto después del correo electrónico, podemos “alterar” el contenido de la web. Esto facilitaría a un atacante, que ingrese una url maliciosa para obtener un phishing (solo en texto plano, ya que la web no permite tags html) engañando a la victima para que le facilite datos sensibles para el posterior robo de credenciales.

Se podría realizar un ataque modificando la url y con un poco de ingenio dejarlo de la siguiente manera:


Bueno queda realmente a su imaginación todo lo demás, es un excelente método para realizar phishing vease allí que hasta Certificado de Seguridad HTTPS SSL tiene la página y será por siempre o al menos hasta que se corrija este bug.

También quisiera aclarar que eh reportado este bug al soporte de outlook.

Comenta con Facebook

No hay comentarios

                   

¿Quieres mantenerte informado sobre este artículo? Descarga nuestro Software en tu PC▼