Las redes sociales son objetivo de muchos ciberdelincuentes, para poder obtener las credenciales de acceso y hacerse pasar por alguno de los perfiles. Por lo general, los ataques más prácticos son aprovechar vulnerabilidades de la propia plataforma o hacer phishing u otro tipo de ingeniería social para conseguir obtener las contraseñas. No obstante, también existen herramientas como SocialBox.
SocialBox es un framework con el que poder automatizar un ataque de fuerza bruta que irá probando varias contraseñas en redes sociales hasta conseguir la correcta. Es una herramienta de código abierto, gratis y creada por Belahsan Ouerghi. Aunque se pueda demorar bastante si la contraseña es robusta, pero podría funcionar con redes tan populares como Instagram, Twitter, Facebook, etc.
Recuerda que atacar cuentas de terceros puede ser un delito. Por tanto, desde esta web no fomentamos el uso de SocialBox para usarlo para el cibercrimen. Puedes usarlo para aprender de él o hacer auditorías de seguridad en redes sociales propias o en las que tengas autorización, y así determinar si son robustas o no…
Instalar SocialBox en Linux
Lo primero es instalar SocialBox en tu distro Linux. Si no tienes una instalada o en máquina virtual, también puedes descargar la ISO de alguna y usarla en modo Live para no tener que instalar nada. Así podrás ejecutarla desde un medio óptico (DVD) o desde una memoria USB. Una vez tengas el sistema, para instalar SocialBox bastaría con ejecutar los siguientes comandos (¡ojo! Con privilegios root o con sudo):
git clone https://github.com/TunisianEagles/SocialBox
cd SocialBox
./install-sb.sh
./SocialBox.sh
Ahora ya lo tienes listo y corriendo en tu distro. Verás que se muestra información del propio SocialBox en el terminal y un prompt interactivo en el que podrás ir introduciendo todas las opciones que tienes disponibles.
Realizar un ataque por fuerza bruta contra una red social
Ahora que ya lo tienes ejecutado, verás que se muestra un menú con las opciones a elegir en ese prompt que he comentado antes. Los pasos para ir manejando SocialBox son:
- En el menú principal se muestra la lista de redes sociales soportadas para hacer el ataque de fuerza bruta. Elige la que te interese. Por ejemplo, imagina que quieres atacar una cuenta de Facebook, entonces pulsa el número correspondiente a esa entrada, que en este casos sería 1 y pulsa INTRO.
- Ahora se abre la herramienta adecuada para la red que has elegido. En algunas tendrás que especificar un diccionario para que vaya probando las posibles contraseñas, en otras ocasiones lo hará automáticamente. Pero básicamente todas las opciones te piden el nombre de usuario (por lo general es el correo electrónico de la cuenta a la que quieres acceder) y la ruta donde se encuentra el diccionario o lista de contraseñas (wordlist) a probar. En algunos casos deja no introducir ninguno y usar el que tiene por defecto.
- Una vez introduces el correo y el diccionario a usar, pulsas INTRO y comenzará. Solo te queda tener paciencia y esperar a que la contraseña de la red social esté dentro del diccionario. De lo contrario no resultará exitoso. Ten en cuenta también que en función de la cantidad de palabras del diccionario, tardará más o menos…
Una vez obtenida, con la contraseña encontrada y el correo podrás entrar a la red social…