45 - Hackean Yahoo! y Hotmail - 22/07/2006
Autor: Lic. Cristian F. Borghello
http://www.segu-info.com.ar
¡Patrañas!
Es la única forma que puede definirse el título de este artículo. Ninguna de las dos empresas
ha sido "hackeadas", ninguno de los "periodistas" que han publicado la noticia conoce lo que es un
hacker y las noticias publicadas no hacen más que asustar al público y a los usuarios. Un diario de
México, y diarios de Argentina y Perú que se hicieron eco del mismo, no han hecho más que confundir
a sus lectores infundiendo un miedo innecesario al precio de desmerecer empresas que brindan servicios gratuitos como lo
son Hotmail, Yahoo! y DineroMail.
Ahora Uds. deben estar pensando que mis palabras son infundadas y que por supuesto esta noticia tiene como respaldo
que realmente se habían conseguido las claves pagando al "hacker", lo que prueba sin atisbo de duda que
realmente los sistemas de las empresas mencionadas habían sido vulnerados.
Aunque no me gustaría colaborar sumando visitas a una "noticia" que nunca debió ser publicada,
los enlaces quedan al pie del presente.
Lo que sucedió y aún sucede es Ingeniería Social, de la que ya hemos hablado en boletines
anteriores.
El funcionamiento es el siguiente:
- Imagen 01: se recibe un correo
(SPAM) con el anuncio de que "pueden obtenerse" claves de usuarios de Yahoo! y Hotmail. Cabe aclarar
que esta técnica puede usarse en cualquier correo y de cualquier forma por lo que la empresa involucrada es
una anécdota. Gracias Martín por esta imagen. Por supuesto puse manos a la obra y repliqué la
"complicada" investigación que mencionan las noticias. Para ello no tuve más que crear
dos cuentas de correo en Yahoo. Uno de los usuarios sería el espiado y el otro el que solicita el servicio al
"hacker".
- Imagen 02: envié un
e-mail solicitando la contraseña a la dirección que aparece en el SPAM recibio. Actualmente, el sitio
del "hacker" donde podían leerse los términos y condiciones ha sido dado de baja.
- Imagen 03: al cabo de unos
minutos recibo un correo del "hacker" comunicándome que mi pedido había sido
registrado y que sólo debía esperar.
- Imagen 04: Ahora, consulto
la cuenta de la persona a la que estaba espiando y encuentro un mensaje de una persona desconocida invitándome
a ver una tarjeta virtual. Recordar que acababa de crear esa cuenta de correo y que por lo tanto nadie me podía
enviar tarjeta alguna. Además puede apreciarse que la dirección mostrada no coincide con la real.
- Imagen 05: al hacer click en
el enlace, Yahoo! misteriosamente nos solicita el usuario y la contraseña para ver la tarjeta. Como podemos
apreciar la dirección superior no apunta a Yahoo! sino a la dirección falsa ya vista en la imagen
anterior. Aquí es donde está el engaño y esto no es más que una técnica de
Ingeniería Social. El usuario intenta ver la tarjeta pero se le solicita sus datos en una página falsa
que simula ser de Yahoo!. Al ingresar el usuario y contraseña se están enviando los datos al
ladrón (ahora sí podemos decirlo: no es un hacker, es un ladrón con conocimientos mínimos
de informática o cualquier tema relacionado). Luego de robados nuestros datos, sí podemos ver nuestra
tarjeta.
De esta historia podemos concluir:
- Las empresas mencionadas no han sido vulneradas.
- Los anuncios de hacking a este tipo de servicios de webmail son falsos y los sitios que utilizan ese título para hacer publicidad son poco confiables.
- No existen hackers en la historia sino simples delincuentes engañando a los usuarios.
- Cualquier persona inescrupulosa puede realizar este tipo de acciones.
- Los medios no contrastan la información y cualquier excusa es buena para vender aún a costa de la reputación de otras organizaciones.
- Esta forma de delinquir existe porque existen clientes dispuestos a pagar por la información brindada.
- Existen varias formas de robar una contraseña de este tipo pero todas tienen formas de prevención:
- Variaciones de Ingeniería Social. Son engaños como los descriptos. La forma de prevención es no confiar en correos de desconocidos y verificar los sitios donde se ingresan datos personales.
- Violación de la pregunta secreta. La forma de prevención es poner preguntas difíciles y respuestas sin sentido.
- Robo de cookies y datos de caché para aprovecharse de sesiones iniciadas o no cerradas. La forma de prevención es cerrar todas las sesiones iniciadas, eliminar datos de caché, cookies y archivos temporales al finalizar la navegación.
- Escucha de mensajes en la red a través de sniffing. Un usuario final no debería preocuparse por este tipo de ataques en su hogar.
- Ningún sistema es 100% seguro pero actualmente no se conocen vulnerabilidades y ataques que permitan ingresar a los sistemas de los webmail más conocidos como Yahoo!, Hotmail y Gmail.
Las "noticias" mencionadas en este artículo son:
http://www.nuevoexcelsior.com.mx/Excelsior/macros/GenericNewsWithPhoto.jsp?contentid=5058&version=1
http://www.nuevoexcelsior.com.mx/Excelsior/macros/GenericNewsWithPhoto.jsp?contentid=5350&version=1
http://www.clarin.com/diario/2006/06/26/sociedad/s-02901.htm
Buenos Aires, 22 de julio de 2006