Sin embargo, en más de un sitio llegué a leer cosas como que ahora todos los usuarios debíamos cambiar nuestras contraseñas lo antes posible...
10, 20 mil cuentas... no son nada:
La siguiente imagen pertenece a una página que permite robar contraseñas de Hotmail, Gmail, Yahoo, Facebook y MySpace.
Si observas el menú de la izquierda notarás que incluso hay instrucciones para utilizar el sitio, cualquiera lo puede hacer, hasta el usuario con menos conocimientos, de hecho cuando se captura una víctima su contraseña nos llega por correo. También hay un menú con los que "Ya Cayeron" y las "Víctimas Pendientes"... más intuitivo no lo podían hacer.
En las instrucciones se explica el funcionamiento de todo el mecanismo, por ejemplo para robar cuentas de Facebook se pueden enviar mensajes que simulan ser invitaciones de amigos, la víctima cuando abre el correo y pincha en el enlace recibido accede a una web falsa que, si bien en apariencia es similar a Facebook, en realidad es la web de los atacantes (basta con chequear la URL para notar que se está en otro sitio).
Parece Facebook, pero en realidad es otro sitio -ver URL-, al introducir la contraseña se envía a los atacantes.Como vemos, robar contraseñas de esta forma es muy sencillo, no tenemos que tener muchos conocimientos -ni para evitar ser víctimas- y además, no sólo nosotros las podemos ver, también los administradores del sitio ;)
La web del ejemplo está actualmente operativa y es muy conocida, de hecho está en el Top 100 mil de Alexa, lo que se traduce en un tráfico diario de visitas bastante interesante (2 o 3 mil por día aproximadamente).
¿Cuántas contraseñas almacenadas tendrán en su base de datos?, dado el perfil de muchos internautas que desconocen los métodos de phishing y suelen introducir su contraseña en cualquier sitio, yo apostaría seguro a más de 10 mil.
Ver también:
Phishing de Hotmail (ejemplo).
Test sobre phishing para aprender.
Phishing de AdWords, ejemplo clásico.
Phishing de Gmail, Andreita me envió una postal.
Phishing para jugadores de World of Warcraft.
Ellos dicen que no es Phishing... (phishing MSN)
Denunciar phishing desde Gmail, Hotmail y el navegador.
38 comentarios:
Top 100.000 de alexa con 2 mil visitas? Un poco mas diria yo..
Tengo una web con 10k diarias que todavia no entra en el top.. y otras webs que se cumple la misma regla..
Está 98K, y sí, son más... no tenía ninguna referencia cerca, tiré el número más bajo :)
El problema esta en que los usuarios de las contraseñas caen en ataques de Phishing y/o son muy descuidados con sus contraseñas... Saludos
No entiendo, ¿no se le puede recomendar a los usuarios que cambien sus contraseñas lo antes posible sólo porque es relativamente sencillo robarlas con este tipo de herramientas?
Es evidente que 10 mil cuentas no son nada para un servicio como Hotmail, pero eso no está en discusión. Sean 10 mil o menos, lo recomendable es que los usuarios cambien sus contraseñas cuanto antes en un caso como estos, donde una lista con miles de datos fue hecha publica.
Vaya listo el que haya hecho caso omiso de la recomendación y sus datos estaban en esa lista.
Igualmente y penosamente, no hay que dar tanta vuelta, es una locura como a diario me llegan email de varios amigos que me invitan a probar si alguien me admite o no en MSN !!
@Christian, si por cada lista que se publique todos vamos a cambiar las contraseñas "por las dudas de que estemos", entonces estamos todos locos.
¿Hace cuánto tiempo exíste esa lista? ¿cuántas listas como esas hay?... los que estaban en esa lista seguramente estaban en varias más y es muy probable que terminen de nuevo en alguna.
Lo recomendable es que se les explique bien lo que está pasando y que entiendan por qué es bueno cambiarlas periódicamente.
No decirles que cambien su contraseña cuanto antes por esta lista publicada... porque con ese razonamiento, cada vez que circule un nuevo correo falso de phishing o troyano indetectable que roba contraseñas... también la tendrían que cambiar y no es tan así. Y esos circulan todos los días.
La tienen que cambiar si tienen dudas de haber caído o no en estas trampas, de introducirla en un equipo "no confiable", de tener la PC infectada, etc.
No por una listita, cuando podría aparecer una todos los días :S
En realidad, una práctica de seguridad adecuada sería cambiar las contraseñas cada cierto periodo de tiempo (1 mes, 3 meses..) y, muy importante, no utilizar la misma contraseña para acceder a distintos servicios, práctica muy común.
Existen excelentes adminsitradores de contraseñas como Roboform o 1Password para facilitar esta tarea.
Esta claro que es muy facil caer en esos engaños y tambien esta claro que es muy facil engañar a cualquiera con eso.. robar contraseñas es muy facil viendolo asi, solo hay que saber un poco de programacion web y con eso basta.
y claro.. depende del usuario! yo "casi" siempre reviso los links antes de pincharlos en mi correo
"Lo recomendable es que se les explique bien lo que está pasando y que entiendan por qué es bueno cambiarlas periódicamente"
Exacto! Muchas personas ignoran completamente la existencia de estos métodos de engaño. Digamos que son cibernautas o usuarios no educados, lo bueno es difundir estos temas.
La cifra de contraseñas robadas creo que hoy en día debe ser innumerable, más aun teniendo en cuenta esos servicios de estafadores que dicen permitir si te admiten o no en el MSN etc.. Son una plaga estos delincuentes.
el metodo de robar las contraseñas por medio de phishing cada vez aumenta mas, y son mas ingenisos envian mails masivos y pues hay mucha gente que cae, es mejor ver bien la url aveces estamos de afan y hacemos todo rapido y por eso podemos perder nuestra contraseña ultimamente se estan utilizando dominios muy parecidos a los reales por ejemplo cambian la letra i por el numero 1 o el 0 por la letra o
l0g1nlive.com? muy parecido
saludos!
si es pishin, me han llegado varios mails asi pero no caigo en sus trampas,
Este tipo de ataques viene desde hace facil 10 años, me acuerd que habia una pagina que te daba un txt con el "exploit" (como se lo llamaba antes de que apareciera phishing, o asi lo conocia yo) y cuyo txt decia PONE TU MAIL ACA o cosas asi.. lo mandabas y listo, capas caia capas no...
Solo han cambiado las imagenes para que sga pareciendo el original, y capas algunos metodos.
No hay nada como el Scav (http://alt-tab.com.ar/el-mejor-antivirus-del-mundo/) para combatir estos ataques.
Estamos mal, deberiamos ser mas cuidadosos con nuestras cuentas, sobre todo cuando a traves de ellas tenemos informacion importante.
Estoy en contra de las paginas que piden contraseñas de tus cuentas para acceder a servicios. Aunque parezca exagerado no las uso.
Hacía tiempo no cambiaba las contraseñas y esto me vino bien para ponerme las pilas je
Hola Spamloco.net, oye se me hace mala onda pero parace que te roban los post, aquí te dejo la prueba http://edderblogger.wordpress.com/2009/10/11/%C2%BFcomo-roban-las-contrasenas-de-hotmail-gmail-yahoo-y-facebook/
SPAM LOCO!!
ME ROBARON HAKEARON LA CUENTA DEL MSN Y DEL FACEBOOK NESESITO AYUDA SI AVER SI LA PUEDO RECUPERAR POR Q TENGO ALGUNOS CONTACTOS DE TRABAJO Y LOS NESESITO!!!TE AGRADECERIA SI ME AYUDARAS
Selecciona las opciones de Recuperar contraseña en ambos sitios y sigue los pasos que te indiquen :)
Haber...
para el amigo que escribio esto: "Hola Spamloco.net, oye se me hace mala onda pero parace que te roban los post, aquí te dejo la prueba "
Mete este titulo en google: "¿Cómo roban las contraseñas de Hotmail, Gmail, Yahoo y Facebook?" y checa cuantos resultados te da, tampoco estoy insinuando que Spamloco.net robe post.
Espero que hayas comprendido mi comentario y si no te dejo de tarea que investigues que quiere decir: "difusion de informacion".
Gracias Spamloco.net por aceptar el comment de arriba!!
Va primero todos los LADRONES de contraseñas son unos ****** porque no tienen vida asi que mejor BUSQUEN TRABAJO oh otra cosa no caigan tan bajo!!!
noo entiiendo yo ya vii esa pagiina pero tengo qe pagar para ver la contra!! no sabes como hackear, pero gratis?
hola me llamo kmilo y pues quiero hakear una contraseña en facebook y ps quiero q me den consejos de como hacerlo ok gracias
cual es el link de la pagina
Qué página? :)
yo creo que ay que ser muy tonto pa ingresar denuevo la clave cuando te llega una invitacion yo solo igreso la clave cuando entro a mi espacio ya sea en msn o en youtube o facebook cuando tienes que ingresar tu clave es solamente para ingresar a tu espacio y si por una razon tienes que ingresar tu clave denuevo es por que el sistema de internet de tu casa se cayo nada mas si abres una invitacion de alguien y te pide clave es 100 % seguro que se trata de una trampa
o no creen uds ? saludos de gaboxxx
pd colocolino de corazon
ciberzorro oye toda la informasion esta buena pero te falta algo el nombre de los programas asi nadie se dara cuenta de quien los ataca o algo asi no crees que estas mal ahi bueno açver si dices los nomvres de los programas esos
Holaa!!como te va?muy buena la tecnica la bamos a usar con una chica q me robo los objetos en un juego del facebook,pero solo tengo una duda,como le mando la invitacion falsa??
yo tamoco se como acer una invitacion falsa :/
cual es la pagina esa para entrar a a robar las contraseñas??q hay no dice jeje xD
La siguiente imagen pertenece (A UNA PAGINA) que permite robar contraseñas de Hotmail, Gmail, Yahoo, Facebook y MySpace.
Fuente: ¿Cómo roban las contraseñas de Hotmail, Gmail, Yahoo y Facebook? (q pagina entro q no dice??)
No dice ni nunca va a decir, la idea NO es enseñar a robar contraseñas, sino aprender a evitar que nosotros seamos las víctimas.
si pero seria bueno saber el nombre de las paginas asi mejor, se esta mas atento, no instalen nunca perfeckeilogger tal vez lo hagan para espiar a alguien, es bueno saber tb si te ponen los cuernos,quien es , pero al final los que espian resultan ser espiados por otros hacker que seguro la tienen mas clara por q pasan al pedo todo el dia en una compu
hola , yo me registre en esa pagina y todo bien pero te dicen la contraseña si compras un pack q es re caro esta como 100$ cada contraseña
me parece que cai de pollito con los pishings y me robaron las contraseñas pienso que entraron a mi correo y lo redireccionaron para que mandara los mensajes para otro lado sera cierto o estoy paranoico como me doy cuenta estoy en google responder porfa
q pena pero como podria descargar eso
:):)...me interesa pa robar contraseñas de juegos si saben porfavor comunikenmen estare mirando la pagina cada minuti si es necesario....
kiero descargar ese programa llama la atencion muchisimo grasias ::P:P:P:P
Por eso no acepto solicitudes de amigo de desconocidos, y si no, las acepto directamente desde Facebook, nunca desde el mail
@Eli, excelente es lo mejor... entrar directamente a la página, si te agregaron allí va salir la información también.
Todo esto tendria facil solucion si el propio messenger tuviese una opcion de escanear a quienes nos han borrado.Que si bein lo podemos hacer nosotros mismos en la lista de privacidad (si aparece habilitado "eliminar" es que te han borrado) para la mayoria de la gente resulta incomodo y poco intuitivo ¿que les cuesta poner una funcion a mano que haga eso por el usuario y entre otras cosas,estos ya no tienen donde rascar?
Publicar un comentario en la entrada
Si deseas hacer una consulta por favor visita el Foro para recibir ayuda: forospamloco.net