Se armó un revuelo bastante grande por la publicación anónima de miles de usuarios y contraseñas pertenecientes a Hotmail, Gmail, Yahoo y otros webmails. En realidad el revuelo lo armaron los propios portales de noticias, algunos blogs y medios… desde el primer momento Microsoft descartó una filtración en sus sistemas y dejó sobre la mesa al phishing, incluso en la publicación daban consejos para evitarlo.
Sin embargo, en más de un sitio llegué a leer cosas como que ahora todos los usuarios debíamos cambiar nuestras contraseñas lo antes posible…
10 o 20 mil cuentas robadas no es gran cosa:
La siguiente imagen pertenece a una página que permite robar contraseñas mediante técnicas de phishing:
Si observas el menú de la izquierda notarás que incluso hay instrucciones para utilizar el sitio, cualquiera lo puede hacer, hasta el usuario con menos conocimientos, de hecho cuando se captura una víctima su contraseña nos llega por correo. También hay un menú con los que «Ya Cayeron» y las «Víctimas Pendientes»… más intuitivo no lo podían hacer.
En las instrucciones se explica el funcionamiento de todo el mecanismo, por ejemplo para robar cuentas de Facebook se pueden enviar mensajes que simulan ser invitaciones de amigos, la víctima cuando abre el correo y pincha en el enlace recibido accede a una web falsa que, si bien en apariencia es similar a Facebook, en realidad es la web de los atacantes (basta con chequear la URL para notar que se está en otro sitio):
Y la página a la cual te lleva (notar la URL falsa):
Como vemos, robar contraseñas de esta forma es muy sencillo, no tenemos que tener muchos conocimientos -ni para evitar ser víctimas- y además, no sólo nosotros las podemos ver, también los administradores del sitio ;)
La web del ejemplo está actualmente operativa y es muy conocida, de hecho está en el Top 100 mil de Alexa, lo que se traduce en un tráfico diario de visitas bastante interesante (2 o 3 mil por día aproximadamente).
¿Cuántas contraseñas almacenadas tendrán en su base de datos?, dado el perfil de muchos internautas que desconocen los métodos de phishing y suelen introducir su contraseña en cualquier sitio, yo apostaría seguro a más de 10 mil.
Ver también:
3 amigos pueden cambiar tu contraseña en Facebook.
Como un amigo te puede robar la contraseña almacenada del Messenger.
Es cierto lo que comentas Jorge, las URLs a veces son demasiado complicadas y confunden. Eso es aprovechado por los atacantes.
Yo siempre observo la barra de direccion de mi navegador. Pero desafortunadamente muchas no he logrado entender.
Tengo que investigar mas acerca de cuando está mostarndo una encrypted page.
La direccion es larga como:
https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=11&ct=1305885459&rver=6.1.6206.0&wp=MBI&wreply=http:%2F%2Fmail.live.com%2Fdefault.aspx&lc=1033&id=64855&mkt=en-us&cbcxt=mai&snsc=1
se puede ver que dice https
y que domain live.com
pero hasta ahi entiendo. Esto lo hace dificil aveces para mi
Lean "Dont feed the troll" jejeje es bueno, no aburre y dice como es un troll jajaja http://dontfeedthetroll.com/
tambien vean esto amigos http://es.wikipedia.org/wiki/Troll_de_Internet
XD no habia leido los otrso comentarios, yo trate de saber como se robaban las contraseñas (para hacer una broma nada mas) pero es caro, ademas dejenme decirles una cosa, desde el poco tiempo que conozco a spamloco, se que no les va a dar la pagina, primero no se acuerda, y spamloco.net es para seguridad web, no para destruir la seguridad de alguien, y si alguine no ha leido lo que spamloco le escribio a muchos en los comentarios anteriores yo si les doy una pagina, pero leanla bn http://es.wikipedia.org/wiki/Lamer_(inform%C3%A1tica)
esta bueno pero ¿quien se fija en la direccion de una pag que te pide tu contrasdeña? es decir jejeje a veces somos descuidados
yo quiero robar la contraseña de mis amigos p aserles una pequeña broma pero a otros no pero yo casi caigo pero xq ya me avian dicho
AAAAH PERO QUÉ NECEDAD!!!
El Post se trata que te protejas de ese tipo de trampa, simplemente…
¿A qué cerebro de mosca se le ocurre preguntar "cómo se llama el sitio", "como descargo ese Phishing (ni siquiera sabe de que habla)" "cómo puedo robarme la contraseña de (x)…"…???
De verdad que en el ciberespacio hay de todo, y los pretextos para querer irse por el camino chueco abundan… así se empieza… ¡qué bárbaros! Perdónalos, SpamLoco… 8P
Y a vos pues gracias por el gran consejo para la comunidad… pero ya ves… nomás ven burro y se les antoja viaje…
@54, en ese caso mejor que no te enteres :P
oye pueden decir como de llama la pagina para robar las contraseñas porfavor..
q necesito espiar a mi polola por que me mostraron un mensaje de facebook donde decia que ella me era infiel..
Todo esto tendria facil solucion si el propio messenger tuviese una opcion de escanear a quienes nos han borrado.Que si bein lo podemos hacer nosotros mismos en la lista de privacidad (si aparece habilitado "eliminar" es que te han borrado) para la mayoria de la gente resulta incomodo y poco intuitivo ¿que les cuesta poner una funcion a mano que haga eso por el usuario y entre otras cosas,estos ya no tienen donde rascar?
@Eli, excelente es lo mejor… entrar directamente a la página, si te agregaron allí va salir la información también.
Por eso no acepto solicitudes de amigo de desconocidos, y si no, las acepto directamente desde Facebook, nunca desde el mail
q pena pero como podria descargar eso
:):)…me interesa pa robar contraseñas de juegos si saben porfavor comunikenmen estare mirando la pagina cada minuti si es necesario….
kiero descargar ese programa llama la atencion muchisimo grasias ::P:P:P:P
me parece que cai de pollito con los pishings y me robaron las contraseñas pienso que entraron a mi correo y lo redireccionaron para que mandara los mensajes para otro lado sera cierto o estoy paranoico como me doy cuenta estoy en google responder porfa
yo creo que ay que ser muy tonto pa ingresar denuevo la clave cuando te llega una invitacion yo solo igreso la clave cuando entro a mi espacio ya sea en msn o en youtube o facebook cuando tienes que ingresar tu clave es solamente para ingresar a tu espacio y si por una razon tienes que ingresar tu clave denuevo es por que el sistema de internet de tu casa se cayo nada mas si abres una invitacion de alguien y te pide clave es 100 % seguro que se trata de una trampa
o no creen uds ? saludos de gaboxxx
pd colocolino de corazon
Va primero todos los LADRONES de contraseñas son unos ****** porque no tienen vida asi que mejor BUSQUEN TRABAJO oh otra cosa no caigan tan bajo!!!
Hacía tiempo no cambiaba las contraseñas y esto me vino bien para ponerme las pilas je
Estamos mal, deberiamos ser mas cuidadosos con nuestras cuentas, sobre todo cuando a traves de ellas tenemos informacion importante.
Estoy en contra de las paginas que piden contraseñas de tus cuentas para acceder a servicios. Aunque parezca exagerado no las uso.
Este tipo de ataques viene desde hace facil 10 años, me acuerd que habia una pagina que te daba un txt con el "exploit" (como se lo llamaba antes de que apareciera phishing, o asi lo conocia yo) y cuyo txt decia PONE TU MAIL ACA o cosas asi.. lo mandabas y listo, capas caia capas no…
Solo han cambiado las imagenes para que sga pareciendo el original, y capas algunos metodos.
No hay nada como el Scav (http://alt-tab.com.ar/el-mejor-antivirus-del-mundo/) para combatir estos ataques.
si es pishin, me han llegado varios mails asi pero no caigo en sus trampas,
el metodo de robar las contraseñas por medio de phishing cada vez aumenta mas, y son mas ingenisos envian mails masivos y pues hay mucha gente que cae, es mejor ver bien la url aveces estamos de afan y hacemos todo rapido y por eso podemos perder nuestra contraseña ultimamente se estan utilizando dominios muy parecidos a los reales por ejemplo cambian la letra i por el numero 1 o el 0 por la letra o
l0g1nlive.com? muy parecido
saludos!
"Lo recomendable es que se les explique bien lo que está pasando y que entiendan por qué es bueno cambiarlas periódicamente"
Exacto! Muchas personas ignoran completamente la existencia de estos métodos de engaño. Digamos que son cibernautas o usuarios no educados, lo bueno es difundir estos temas.
La cifra de contraseñas robadas creo que hoy en día debe ser innumerable, más aun teniendo en cuenta esos servicios de estafadores que dicen permitir si te admiten o no en el MSN etc.. Son una plaga estos delincuentes.
Esta claro que es muy facil caer en esos engaños y tambien esta claro que es muy facil engañar a cualquiera con eso.. robar contraseñas es muy facil viendolo asi, solo hay que saber un poco de programacion web y con eso basta.
y claro.. depende del usuario! yo "casi" siempre reviso los links antes de pincharlos en mi correo
En realidad, una práctica de seguridad adecuada sería cambiar las contraseñas cada cierto periodo de tiempo (1 mes, 3 meses..) y, muy importante, no utilizar la misma contraseña para acceder a distintos servicios, práctica muy común.
Existen excelentes adminsitradores de contraseñas como Roboform o 1Password para facilitar esta tarea.
@Christian, si por cada lista que se publique todos vamos a cambiar las contraseñas "por las dudas de que estemos", entonces estamos todos locos.
¿Hace cuánto tiempo exíste esa lista? ¿cuántas listas como esas hay?… los que estaban en esa lista seguramente estaban en varias más y es muy probable que terminen de nuevo en alguna.
Lo recomendable es que se les explique bien lo que está pasando y que entiendan por qué es bueno cambiarlas periódicamente.
No decirles que cambien su contraseña cuanto antes por esta lista publicada… porque con ese razonamiento, cada vez que circule un nuevo correo falso de phishing o troyano indetectable que roba contraseñas… también la tendrían que cambiar y no es tan así. Y esos circulan todos los días.
La tienen que cambiar si tienen dudas de haber caído o no en estas trampas, de introducirla en un equipo "no confiable", de tener la PC infectada, etc.
No por una listita, cuando podría aparecer una todos los días :S
Igualmente y penosamente, no hay que dar tanta vuelta, es una locura como a diario me llegan email de varios amigos que me invitan a probar si alguien me admite o no en MSN !!
No entiendo, ¿no se le puede recomendar a los usuarios que cambien sus contraseñas lo antes posible sólo porque es relativamente sencillo robarlas con este tipo de herramientas?
Es evidente que 10 mil cuentas no son nada para un servicio como Hotmail, pero eso no está en discusión. Sean 10 mil o menos, lo recomendable es que los usuarios cambien sus contraseñas cuanto antes en un caso como estos, donde una lista con miles de datos fue hecha publica.
Vaya listo el que haya hecho caso omiso de la recomendación y sus datos estaban en esa lista.
Está 98K, y sí, son más… no tenía ninguna referencia cerca, tiré el número más bajo :)
Top 100.000 de alexa con 2 mil visitas? Un poco mas diria yo..
Tengo una web con 10k diarias que todavia no entra en el top.. y otras webs que se cumple la misma regla..
Cual es la pagina de roibar contraseñas ??