Recibí un SMS con mensaje de Bancomer diciendo que mi cuenta fue desactivada (Obviiiiooooo era un intento de phishing, porque no estoy en ese banco). Miré mi consola de R y me pregunté si era posible hacer algo con #rstats para "regresarles" el favor. Tutorial / hilo ñoño 🧵🤓...

Abrí la liga. Le piden a la gente nombre, núm. de tarjeta, fecha de expiración, CVV y NIP. Básicamente, toda la info necesaria para vaciar sus tarjetas. 🤬 ¿Qué hacer? Bombardear con #R su formulario con info falsa para darle unos dolores de cabeza al que esté detrás de todo esto

Primero: hay que darse una idea de cómo se procesa el input del usuario en la página. Uno puede usar el panel de desarrollador de su explorador favorito para ver cómo se envía la info de regreso al servidor. En este caso, la info se envía en una petición POST a cp1.php

Además, el sitio NO valida la información ingresada. Podemos asumir que, tal y como se ingresó, se guarda en una base de datos. Esto hace nuestra tarea más fácil.

En R, usaremos el paquete {HTTR}. empezamos definiendo la URL donde está ese archivo cp1.php y la configuración de nuestras peticiones. Simularemos ingresar desde un iPhone.

Siempre que hagan estas cosas, usen algún tipo de proxy, amiwos. Uno nunca sabe quién o qué está del otro lado. En este caso, uso TOR (en.wikipedia.org/wiki/Tor_(anon…). {HTTR} permite definir una proxy con `use_proxy`.

La idea es llenar el formulario con datos basura, pero que parezcan creíbles para que sean más difíciles de limpiar. Generaremos nombres aleatorios con una lista de nombres y apellidos comunes en México.

Para los números de tarjeta, hay que seguir un patrón particular. Específicamente, los primeros 4 dígitos (prefixes) deben corresponder a identificadores válidos para tarjetas Visa en México. Creamos dos vectores con números de 4 dígitos para las tarjetas.

Para los números telefónicos, creamos un vector con números de 2 dígitos que van del 20 al 99.

Creamos un bucle. Cada iteración = un envío de datos falsos al formulario fraudulento. Generamos nombre, apellidos y número de tarjeta al azar..

Lo mismo con la fecha de vencimiento, el CVV, el NIP y el número de teléfono (Ojo, esto sigue dentro del bucle)

Para terminar el bucle, creamos una lista donde guardaremos nuestros datos aleatorios con el nombre del campo que el servidor está esperando recibir (lo vimos con la herramienta de desarrollo). Enviamos la petición POST e imprimimos un mensaje en pantalla para ver qué enviamos.

Tan tan, diría el Dr. Hugo. Espero que cuando la personita detrás de esto vea su base de datos, se emocione musho por la cantidad de datos que recabó, pero se emperre cuando se de cuenta que ninguno sirve😗

Un ejemplo más de cómo podemos usar #rstats para casi lo que sea :)

Postdata: si intentan abrir la liga del sms en su compu, los redireccionará a un video porno 🙃🙄. Tienen que usar el modo de diseño reactivo (Ctr + Shift + M en Firefox) para que su servidor crea que están accediendo desde un celular.