Robo de Contraseñas de Hotmail



Desde hace varios años he recibido correos que buscan obtener la contraseña de mi cuenta en hotmail. He tenido cuidado en el manejo de esos correos y despues de 10 años con esa cuenta, nunca han logrado robarla.

Navegando en Intenet encontré una nota del 2005 en VSAntivirus donde se habla de un caso en Barcelona de robo de constraseñas, lo que vale rescatar es el método, que sigue siendo vigente hoy día. Y las recomendaciones que nunca sobran.

Pirata informático vendía contraseñas de Hotmail
http://www.vsantivirus.com/03-02-05.htm

Por Angela Ruiz
angela@videosoft.net.uy


Un joven español de 23 años, identificado como Daniel C. E., fue detenido este martes en España, acusado de la venta de contraseñas de cuentas de correo electrónico de Hotmail.

El pirata, utilizaba una página en Internet (aún activa), para brindar lo que él llamaba, un "Servicio de Contraseñas".

Según todavía se puede leer en su página, el joven ofrecía de forma directa "un servicio con el cual podrá averiguar el password de cualquier cuenta de Hotmail."

"Le garantizamos que trataremos su caso con la máxima discreción posible.", dice el texto de presentación. El costo era de 30 euros. "No siempre conseguimos averiguar el password. El 75% de los casos conseguimos la clave pero no podemos garantizarle que lo lograremos."

Además, el pirata garantizaba "que el dueño de la casilla de correo nunca se dará cuenta de que le hemos averiguado el password, y mucho menos relacionarlo con UD."

El clásico "no nos hacemos responsables del uso fraudulento del password. Cualquier acción ilegal realizada con la información que nosotros le facilitamos será de su responsabilidad.", no salvó al joven de la justicia, quien fue arrestado por agentes del Grupo de Delitos Tecnológicos de Barcelona del Cuerpo Nacional de Policía en la propia empresa de informática en la que trabajaba.

Fueron registrados al menos dos domicilios relacionados con el detenido, en Huesca y Lleida, y se incautó todo el material informático allí encontrado.

La policía denominó "Hackwebmail" a esta operación, la que fue iniciada en abril del año pasado. La información brindada, habla de más de 400 contraseñas ofrecidas exitosamente a "clientes" de España y de otras partes del mundo.

En el sitio, que aunque tiene un dominio .TK está hospedado en Lycos Tripod, puede leerse lo siguiente:

Total Clientes: 974
Total pedidos: 136
Pedidos cumplidos: 67
Visitas: 48031

Sin embargo, el joven ha estado haciendo este trabajo desde por lo menos tres años atrás. El arrestado ofrecía sus servicios en conocidos foros de Internet, poniendo como contacto su página web.

La forma de capturar las contraseñas de los usuarios de Hotmail, siempre fue mediante el engaño, suplantando la personalidad de un sitio o persona, técnica denominada "phishing".

Una vez que el cliente le pedía una contraseña, el pirata enviaba a la víctima un mensaje del tipo "un amigo le envía una tarjeta". Si la víctima caía en el engaño, era llevada a una página falsa de MSN Messenger, en donde se le pedía nombre de usuario y contraseña. Esta era la forma más "fácil" de conseguir su objetivo.

Si esta técnica fallaba, aún quedaban otras, como las de enviar otros falsos mensajes que simulaban ser del propio Hotmail, solicitando "acceder a una dirección de Hotmail para comprobar usuario y contraseña", con excusas como las de "proteger a nuestros usuarios del correo electrónico no solicitado".

Por supuesto, al hacer clic en el enlace mencionado, se enviaba al usuario a una página falsa, donde usuario y contraseña eran capturados por el delincuente.

De todos modos, esto no es nada nuevo. Existen muchas técnicas similares, utilizadas incluso con otros cometidos (obtener cuentas de otros servicios de correo, o incluso información de cuentas bancarias o tarjetas de crédito, por ejemplo).

En ningún momento se explotaron fallos del sistema, solo se empleó una simple y directa "ingeniería social", para engañar a usuarios incautos. Relacionado también con Hotmail, en 2003 el FBI detuvo en Estados Unidos a otro individuo por un caso muy similar.

Microsoft, a quien pertenece Hotmail, dijo que ha estado colaborando con las autoridades desde el comienzo de la operación, e informó que no se usaron ataques ni existen fallos de seguridad en Hotmail, solo se emplearon las técnicas de engaño mencionadas, y se abusó de la inocencia de usuarios incautos.

La empresa recomienda "no facilitar nunca las contraseñas en sitios no oficiales". Existen más de 187 millones de usuarios con cuentas de correo en Hotmail, al menos 7 de ellos en España. En http://www.msn.es/informatica/antispam/prevencion/ se dan algunos consejos para el manejo de las cuentas de Hotmail, y para no caer en algunas de estas trampas.

Aunque en las últimas horas el joven fue dejado "en libertad con cargos", y deberá presentarse a la justicia cada 15 días, las investigaciones continúan, y no se descarta que se tomen acciones contra quienes pagaron por obtener las contraseñas de terceros, acusados de participar en un presunto delito de descubrimiento y revelación de secretos. Entre ellos, se encuentran varios detectives privados, según informan las fuentes.

En todos los casos, las penas estipuladas, van de cuatro a siete años de prisión para todos los inculpados.

Si usted recibió en algún momento una tarjeta electrónica, o un mensaje no solicitado, donde para comprobar su identidad se le pedía ingresar a un sitio web similar al de Hotmail o MSN, es conveniente que cambie a la brevedad posible su contraseña.

Y por supuesto, jamás debería seguir enlaces a sitios en donde se le pida ingresar datos personales de este tipo, y mucho menos cuando se le "invita" a hacerlo desde un correo electrónico no solicitado.

Comentarios

Entradas más populares de este blog

Franklin EVDO USB Modem Review - CDU 680

Blog Action Day