Aqui os enumeramos las precauciones de
seguridad minimas que un usuario deberia seguir para
prevenir el robo de cuentas en Hotmail - Messenger,
consejos, que hacer y que NO hacer, no caigamos en las
astucias de ciertas personas mal intencionadas.
1 - Básico: Lo primero: Venga, ponerse un
antivirus y un firewall y configurarlos para que inicien
junto al Windows, pero eso YA. Es inexcusable hoy en día
funcionar de otra forma.
Lo segundo: El Messenger, Hotmail, I.E. y Outlook Express
no ofrecen un buen nivel de seguridad, al ser tan
populares, sus fallos (que son muchos) son muy
aprovechados. Es importante mantener dichos programas
parcheados y actualizados.
Lo tercero: En Internet muchos no son quien dicen ser.
Ojo avizor.
2 - Contraseña:
· No decir la contraseña A NADIE. Parece una estupidez,
y desde luego lo es, pero sucede con frecuencia. En este
sentido la ingeniería social se encarga de sonsacar las
contraseñas mediante el engaño. Nunca ninguna
organización nos pedirá por correo nuestros passwords,
ni debemos introducirlos en otros lugares que no sean las
casillas de identificación destinadas a ello, y aun en
ese caso puede ser un documento html fraudulento (o un
enlace al mismo) recibido por correo y construido con el
único propósito de obtener nuestro password, como este.
Abajo detallamos ejemplos que se pueden encontrar
circulando por Internet, ejemplos de correos que utilizan
la ingeniería social.
· Elegir una contraseña lo suficientemente larga, que
combine mayúsculas, minúsculas números y signos. Ej.
de contraseña razonablemente segura:
9ForoKrackman88#
De esta forma combinamos algo fácil de recordar con una
contraseña segura. Esto es válido para todo tipo de
contraseñas, no sólo para el correo. Previene de
ataques de diccionario y fuerza bruta. (Programas que
prueban miles de combinaciones de letras)
 Más
sobre contraseñas
· La respuesta a la pregunta secreta no ha de ser
evidente para quien nos conozca. Muchas cuentas robadas
lo son por personas con relación con el afectado, que
pueden deducir sin mucha dificultad la respuesta. Por
otro lado, no tiene sentido poner una contraseña segura
y una respuesta secreta sencilla y relacionada
directamente con la pregunta... la cadena es tan fuerte
como el eslabón más débil.
Si quiero robar una cuenta de algún conocido, sabiendo
su nombre de usuario puedo saber la pregunta de la
respuesta secreta. Si es del tipo "El mejor coche"
pues... sólo hay que provocar una conversación sobre
coches... las posibilidades de dar con ello no son
despreciables.
· Dejar que Windows recuerde las contraseñas implica
que las estamos archivando en nuestro sistema, todo lo
que se archiva puede ser robado...
· Es conveniente en Hotmail activar en el apartado
"Opciones" la finalización de la sesión. Como
más adelante veremos, mediante el robo de las cookies de
nuestro sistema desde un site creado al efecto (Y
circulan algunos scripts por la red, que aprovechan las
vulnerabilidades de... I.E. como no...) u otros métodos
es posible acceder a las contraseñas, que Hotmail
descarga en nuestro disco. de esta forma minimizamos en
lo posible este riesgo.
3 - IP.
· Cuando establecemos un contacto en el MSN, la otra
persona puede averiguar nuestra IP actual. Ojo ante
signos de avidez por establecer contacto a través del
MSN, pueden ocultar otras intenciones.
Ejecutar en MS DOS el comando Nestat durante la
transferencia de cualquier archivo en una sesión de MSN
es una forma de obtener la IP del contacto, quizás esto
explique la poco justificada insistencia de algunos en
dichas trasmisiones...
· Cuando mandamos un correo, revelamos nuestra IP. Ya
sabéis, el encabezado del mensaje... ahí figura la IP
del remitente.
· Postear en un foro o visitar una página, puede
revelar nuestra IP. Algunas incorporan scripts al efecto,
o incluso algunos contadores de visitas las registran...
Si el site es de confianza, esto no supone un problema.
Pero hay páginas de no tanta confianza.
Averiguar nuestra IP es un primer paso para muchas
acciones posteriores de hackeo, mediante las cuales un
atacante puede desde escanear nuestros puertos o entrar
en nuestra máquina, hasta hacerse con información
nuestra, como los passwords. Tengamos esto en cuenta.
Esto, para las IPs fijas o estáticas es peor si cabe,
pues son más vulnerables.
4 - Troyanos.
· La introducción de un troyano posibilita al atacante
efectos a distancia para divertirse a nuestra costa como
la apertura de la bandeja de nuestro lector de CDs etc...
pero si no es tan tonto como eso, procurará pasar
desapercibido. Muchos troyanos permiten la manipulación
casi total del sistema atacado, la transferencia de
archivos, el loggeo de las teclas pulsadas, obtención de
contraseñas almacenadas... Muchas cuentas se roban
mediante troyanos.
· No aceptemos archivos que no nos aporten garantías y
que no hayamos solicitado.
Chequeemoslos con nuestro antivirus, aunque muchos
troyanos no son detectados, esto es importante, así que
lo repito más alto: muchos troyanos no son detectados
sobre todo si vienen comprimidos, empaquetados o
acoplados a otro programa o archivo mediante un Joiner (digamos
un juntador de archivos) por tanto, el riesgo es elevado.
· Mantengamos el monitor antivirus siempre activado, en
ese caso al ejecutar el archivo sería detectado, si el
antivirus lo reconoce.
· Mantengamos activado el Firewall siempre, si
ejecutamos un server troyano nos avisará del intento de
conexión... Respecto a esto, si estamos con un contacto
malicioso en el MSN que nos ha colado un troyano, puede
querer saltarse el firewall intentando establecer la
conexión del troyano al tiempo que nos envía un archivo,
con lo que pensaremos que la alarma del firewall se debe
a la acción del envío del archivo... ojo con estos
trucos.
· Cuando un programa que nos envíen no funcione al
ejecutarlo... seguramente tenga gato encerrado (O troyano)
no vale suponer que el archivo está mal etc... pensemos
que es un troyano, nos saldrá más a cuenta.
· Últimamente se está extendiendo el uso, para robar
cuentas de hotmail, del troyano PTKKS de autores
españoles, bastante efectivo y que no es detectado por
algunos antivirus... comprobemos la existencia del
archivo Winzipv.32 en Windows\System ó System32 según
sea nuestro sistema, es el archivo del troyano, aunque
este nombre es configurable... mirar en el registro
HKEY_LOCAL_MACHINE --- Software --- Microsoft --- Windows
--- CurrentVersion --- Run
A ver si veis algo raro, o con el nombre Winzipv.32 y lo
borráis. Mirar lo que puede hacer este troyano:
http://www.terra.es/personal7/ltaberna/Troyano/PTKKAS.html
· En definitiva... Por la red circulan multitud de
formas de hackear cuentas de Hotmail... aún en el caso
de que tan sólo funcionaran el uno por cien... ya serian
demasiadas... Unos ejemplos de bugs del MSN que pueden
provocar la pérdida de la cuenta:
http://www.geocities.com/hollowissues/linkstextos/hotmail-cookies.htm
http://www.webpanto1.com.ar/article.php?sid=328 http://bulmalug.net/body.phtml?nIdNoticia=1236
Aun siguiendo estas precauciones nos pueden robar la
cuenta... o lo que puede ser peor, acceder a la misma sin
que tengamos constancia... pero al menos que nos la tenga
que robar alguien que sepa de que va el asunto, lo que es
bastante improbable que nos suceda porque son elementos
más listos que todo eso... y que no sea un triste
lamercillo con un troyanete o alguien al que le demos
nuestro pasword porque nos engañe.
· Ejemplos de artimañas utilizadas en ingeniería
social para obtener contraseñas de cuentas ajenas:
· Este timo se ha visto con frecuencia en un millón de
sitios... y sigue activo:
Como hackear una cuenta Hotmail: 1.Abres tu cuenta y le
mandas un mail a la dirección userpass@hotmail.com que
es un bot autómata de envío de passwords. 2.En el
asunto (subjet) debes poner el correo (hotmail)de tu
victima. 3.Ahora en el campo del mensaje escribir esto:
Forgot password_auto_bot form_pwd; login= ESCRIBIR AQUÍ
EL LOGIN DE LA VICTIMA form.login.focus( ); form.passwd.gets=?;
sendto=ESCRIBE AQUÍ TU LOGIN; form.passwd=ESCRIBE AQUÍ
TU PASSWORD form_pwd; value= “adm”;
4.Incluir el usuario y contraseña propios tiene
como objeto que el autobot identifique a un usuario real.
Al enviar el mail directamente a esa dirección,
estructurado de esa forma, los servidores de hotmail
procesan erróneamente los datos subjet - /form.passwd y
reenvían en un correo el password de la víctima, en un
plazo de horas.
Está claro ¿No? aunque al que le roben la cuenta
mediante este truco lo tiene bien merecido por intentar
hacer lo mismo al prójimo...
· Este no solicita el password... te lo ofrece:
Estimado usuario de Hotmail XXXX@hotmail.com
Ponemos en su conocimiento que hemos detectado un
preocupante incremento en los ataques a sufridos por
cuentas que, al igual que la suya, cuentan con claves de
acceso formadas por palabras pronunciables fonéticamente
.
Este tipo de password se muestra especialmente vulnerable
ante los mecanismos de obtención maliciosa de
contraseñas.
Por este motivo le instamos con carácter urgente a que
solicite una nueva clave generada automáticamente por
nuestro sistema generador de passwords de seguridad.
Para asegurar que únicamente el usuario original obtiene
la nueva clave es necesario enviar un mensaje sin texto a
la dirección securitykey@hotmail.com desde su cuenta
hotmail.
En breves minutos recibirá la nueva clave, que por
motivos de seguridad deberá cambiar dentro de las
siguientes 48 horas.
Lamentamos los inconvenientes que pueda ocasionarle esta
medida de seguridad adicional, y nos despedimos de usted
con la intención de conseguir un servicio de correo y
mensajes cómodo y seguro.
Atentamente The Hotmail Team
XXX, entonces envía su mail a securitykey@hotmail.com y
al poco tiempo recibe esta respuesta:
Gracias por colaborar con nuestro sistema de seguridad.
La clave que nuestro Keybot ha generado automáticamente
es:
4ky32zq1wp
Por razones de seguridad, la clave caducará en un plazo
de 48 horas.
Usted deberá acceder a su correo Hotmail antes del plazo
estipulado y cambiar la clave desde el menú Opciones.
Gracias por hacer de Hotmail un lugar más seguro.
The Hotmail Team.
Con lo cual, alguien le ha dicho a XXX la clave que debe
poner en su cuenta
|