María del Socorro Arvizu - Estas "técnicas" se aprovechan de los xploits de
sistemas como MSN -un verdadero ecosistema de bugs-, Internet Explorer, Outlook
y otros programas, en su mayoría muy populares para secuestrar las cuentas.
Un día cualquiera, usted se dispone a revisar su correo y oh sorpresa, su
cuenta no funciona. El intruso cambió el password.
O peor aún, no cambió nada y sólo se está dedicando a espiar sus correos
electrónicos, y usted ni en cuenta.
El caso más patético es el del "lamer" que roba cuentas al azar para probar
un troyano de cuarta que bajó de la red.
ARTIMAÑAS
Una de las artimañas de ingeniería social más comunes para obtener cuentas
ajenas -está en cientos de páginas-, es la que ofrece enseñar a "hackear" una
cuenta de hotmail:
--------------------------
Como hackear una cuenta Hotmail:
1.Abres tu cuenta y le mandas un mail a la dirección [email protected] que es
un bot autómata de envío de passwords.
2.En el asunto (subjet) debes poner el correo (hotmail)de tu victima.
3.Ahora en el campo del mensaje escribir esto:
Forgot password_auto_bot
form_pwd; login= ESCRIBIR AQUÍ EL LOGIN DE LA VICTIMA
form.login.focus( ); form.passwd.gets=?;
sendto=ESCRIBE AQUÍ TU LOGIN; form.passwd=ESCRIBE AQUÍ TU PASSWORD
form_pwd; value= “adm”;
4.Incluir el usuario y contraseña propios tiene como objeto que el autobot
identifique a un usuario real.
Al enviar el mail directamente a esa dirección, estructurado de esa forma, los
servidores de hotmail procesan erróneamente los datos subjet - /form.passwd y
reenvían en un correo el password de la víctima, en un plazo de horas.
----------------------------
Está claro, ¿no? De cualquier forma, a quien le roben la cuenta mediante este
truco lo tiene bien merecido por intentar hacer lo mismo.
Otra técnica es la de ofrecer una "nueva clave generada automáticamente por
nuestro sistema generador de passwords de seguridad" supuestamente enviada por "The
Hotmail Team". La clave llega por correo, el usuario cambia el password de su
cuenta por el nuevo y voilá, ya le robaron su cuenta.
Es perfecta para inocentes. Y como estas, decenas de troyanos, hoaxes y toda
clase de artimañas son utilizadas todos los días para tratar de violar cuentas
de correo electrónico. ¿Qué tan segura es la suya?
QUE NO LE CUENTEN
*Las siguientes son algunas de las precauciones de seguridad mínimas que un
usuario debe seguir para prevenir el robo de cuentas.
Lo básico
Instale un antivirus, un firewall y mantenga sus sistemas actualizados, sobre
todo los más populares -Messenger, Explorer, Outlook- ya que sus fallas son
frecuentemente aprovechadas.
Ingeniería social
No repita su contraseña a nadie. Suena tonto -y lo es-, pero sucede con
frecuencia. En este sentido la ingeniería social se encarga de conseguir las
contraseñas mediante un engaño, ya sea haciendose pasar por la compañía de
e-mail o a través de un documento html fraudulento.
Un buen password
Seleccione una contraseña lo suficientemente larga, que combine mayúsculas,
minúsculas, número y signos. No utilice palabras de diccionario y procure no
repetir caracteres.
El siguiente es un ejemplo de una contraseña razonablemente segura, que previene
los ataques de diccionario y fuerza bruta (programas que prueban miles de
combinaciones de letras):
9ForoKrackman88#
La pregunta "secreta"
La respuesta a la pregunta secreta no debe ser evidente para las personas que le
conozcan.
Muchas cuentas robadas lo son por personas con relación con el afectado -un ex
despechado, una ex sicópata- que pueden deducir sin mucha dificultad la
respuesta.
Recuérdame...
Dejar que Windows recuerde las contraseñas implica que se archiven en el
sistema. Y todo lo que se archiva puede ser robado. Tampoco lo deje cerca de la
computadora en un post-it. Memorize su password, y cámbielo de forma regular.
Cookies
Por la red circulan demasiados scripts que aprovechan las vulnerabilidades de
Internet Explorer para acceder a las contraseñas, por lo que en hotmail siempre
debe activarse en el apartado opciones la finalización de la sesión.
IP
Al activar un contacto en MSN la otra persona puede averiguar su IP actual, lo
mismo al enviar un correo, postear en un foro o visitar una página. Tenga esto
en mente, pues averiguar la IP es uno de los primeros pasos para muchas accioons
posteriores, desde escaneo de puertos hasta robo de passwords.
Troyanos
Muchos troyanos permiten la manipulación casi total del sistema atacado, y por
supuesto la obtención de contraseñas almacenadas...Le sorprendería saber cuántas
son robadas con este metodo. Para prevenirlo mantenga su antivirus, lo mismo que
el firewall, actualizado, activado y nunca, pero nunca, acepte archivos no
solicitados.
En boca cerrada...
El último consejo, pero no menos importante, es no utilizar las cuentas de
correo tipo hotmail para nada que sea personal.
Como regla general, procure no escribir cualquier tipo de correo que resultaría
embarazoso si es publicado.
LOS PEORES PASSWORDS
*Las contraseñas más fáciles de conseguir son los nombres propios, las fechas de
nacimiento y la peor, que aunque no lo crea mucha gente usa, es la palabra "password".
¿Que porqué son malos? Son obvios, fáciles de adivinar y ...¿mencionamos obvios?
Fuente: Zonavirus
www.zonavirus.com