Facebook Hacking Tool es una herramienta desarrollada en Python por un muy buen amigo Chino Ogawa, la cual explota diversas “Features” o «Funcionalidades» de Facebook.com.
Lo de «Funcionalidades» es una palabra que los del grupo de atención en temas de seguridad de Facebook, han decidido usar en vez de vulnerabilidades, ya que cada que reportas una vulnerabilidad ellos te dicen que es una funcionalidad. 😛
Bueno, para empezar, FBHT permite al pentester llevar a cabo ataques de ingeniería social avanzados utilizando la plataforma de Facebook como punto de partida para lograr infectar a las víctimas.
¿Cómo podemos lograr esto?
Existen diferentes formas, entre estas se pueden generar objetos (Comentarios) que simulen dirigir hacia una página determinada con una redirección alterada, mediante la manipulación de parámetros a la hora de generar el mensaje.
De esta misma forma la herramienta nos permite enviar mensajes privados a distintos usuarios solamente otorgando el UserId o el Username. También implementa un ataque en el cual podemos publicar en nombre de una aplicación y nos permite controlar el link de redirección del post, lo que nos facilita bastante las tareas de ataques de ingeniería social durante los pentestings:
Una de las funcionalidades más interesantes, es el bypass de privacidad de amistades. Suponiendo que un contacto no muestra sus amistades al público en general por privacidad, FBHT te permite ver un gran porcentaje de esas amistades, obteniendo como resultado:
- Links de amistades en formato TXT
- Links de amistades con avatares en formato HTML
- Archivos .dot (Gephi) de grafos para análisis avanzado
- Archivos PNG, PDF con el modelo de grafo de la red social de la victima
- Archivos PNG, PDF, .DOT de los grafos de las comunidades de la victima
Toda esta información puede llevar a un atacante a realizar ataques de ingeniería social dirigida que aumentarían las chances de éxito sobre sus víctimas.
Actualmente se encuentra disponible en las distribuciones “ArchAssault” y “BlackArch” de Linux, distribuciones dedicadas a pentetration testers, sobre las que publicaré mis comentarios una vez que termine de hacer pruebas y comparaciones con Kali.
De momento les puedo decir que uno de los grandes aportes de estas dos distribuciones es FBHT que ya viene incorporada.
Para los que deseen probarlas por su cuenta, los repositorios GIT los pueden encontrar en:
Windows = github.com/chinoogawa/fbht
Linux = github.com/chinoogawa/fbht-linux
¿Qué tan sencillo es utilizar la herramienta?
Solo se necesita saber ejecutar programas con Python e instalar dependencias ya que no posee un instalador al puro estilo Microsoft. Tanto el menú como los módulos, no son “user friendly” ya que trae una consola negra con letras verdes, pero al no recibir parámetros la herramienta se encarga de guiar al usuario sobre los datos requeridos para realizar el ataque.
Date unos minutos para probar y evaluar esta excelente herramienta y déjanos tus comentarios en la web o en nuestra Fanpage de Facebook para colaborar con el autor
Happy Hacking…