Hotmail: 10.000 cuentas comprometidas mediante phishing tradicional

Hola,

Tranquilos los amantes de Hotmail, o mejor dicho, lo que últimamente se viene llamando Windows Live Mail, que este no es un post para aburrir a nadie con comparativas absurdas sobre si es mejor Hotmail que Yahoo!, AOL o Gmail.

La noticia que nos ocupa tiene que ver con el robo de credenciales. En este ocasión los afectados no son usuarios de instituciones financieras, sino que las víctimas del ataque original, que después ha ido ampliando su ámbito a otros proveedores de correo, han sido usuarios de Hotmail.

La compañía ha reconocido en uno de sus múltiples blogs el incidente. No vamos a ahondar en la frase Phishing scheme affecting some Hotmail customers, y cómo ese some puede sonar raro cuando esos «algunos» son aproximadamente 10.000 usuarios. El caso es que mediante phishing tradicional unos atacantes han comprometido unas 10.000 cuentas Hotmail. Otros medios contabilizan 20.000 cuentas comprometidas en la segunda oleada de un ataque similar al que originalmente estaba orientado a los usuarios de Hotmail, y en el que también han caído cuentas de Gmail, Yahoo! y AOL. Google reconoce que en el paquete hay 500 cuentas suyas, y que han actuado sobre ellas. De lo que dice Yahoo! o AOL poco hay escrito.

Cuando pasan estas cosas siempre hay aspectos a reseñar de los que quizás podamos aprender. Es nuestra obligación, aunque no seamos los responsables de Hotmail ni de los otros proveedores de correo, realizar un ejercicio de crítica constructiva si vamos a opinar sobre el incidente. Estos asuntos son siempre preocupantes por muchos motivos, sobre todo porque la calidad de las contraseñas capturadas deja mucho que desear, especialmente si la contraseña más frecuente entre las sustraídas es 123456. También es preocupante comprobar como el phishing tradicional, que lleva detrás años de concienciación y esfuerzos de educación, sigue haciedo mella y produciendo resultados.

Resulta obvio que tenemos delante de las narices un problema de educación en materia de seguridad del usuario, que debería poner de su parte para mejorar en este aspecto, ya que cuando uno navega por Internet y se suscribe a servicios, hay que leerse todas las letras, entre las cuales están las recomendaciones de seguridad de los proveedores, la aceptación de unas condiciones de privacidad y confidencialidad y la aceptación de unas normas generales de uso. Cuando uno se va a hacer una cuenta Hotmail hay un apartado de preguntas frecuentes (todo sea dicho, no es que resalte tampoco), y os puedo dar fé que la respuesta a la pregunta «Cómo crear una contraseña segura» está claramente escrita y explicada, aunque se ve que parte de la gente sólo quiere recurrir al siguiente, siguiente, siguiente para irse corriendo al MSN a chatear con su flamante cuenta recién creada, dejando a un lado su obligación de entender y aceptar lo que está suscribiendo antes de usar el servicio, y qué puede aportar o qué se espera que aporte para que la experiencia sea positiva y segura.

Seamos realistas: no son pocos los casos en los que la primera necesidad que tiene el usuario al usar el MSN es pensar en qué nick chorra se pondrá para demostrar lo mafioso que es, qué frase de comentario emplear para saludar a la ristra completa de los 40 amiguetes que tiene en línea y cuál será la pose de cuarto de baño que usará a modo de fotografía. No podemos esperar que todo el mundo tenga como primera necesidad leer la documentación del producto y mostrar interés por salvaguardar su información.

Es por esto que la seguridad de los usuarios no deja de ser también responsabilidad del proveedor, ya que permite crear y utilizar contraseñas triviales como 123456 a los sujetos descritos en el párrafo anterior. Un total de las 2000 contraseñas capturadas tenía una longitud igual o inferior a 6 caracteres (las estadísticas completas las tenéis en este post de Acunetix). No sólo podemos echarle el muerto a la falta de educación y al ceporrismo de buena parte de los usuarios, que es manifiesto, sino que también hay que impedir todo lo posible que un usuario que no lee absolutamente nada salga a Internet con una clave 123456 para salvaguardar sus contactos, datos personales, correo, fotos y vida social.

¿Quieres poner de tu parte? ¿Quieres saber cómo crear una contraseña segura? Pincha en este enlace. Verás que no es tan complicado :)

Un saludo, y por favor, tratad de evitar estos engaños que recibimos por el correo. Nos va en ello nuestra privacidad, entre otras muchas cosas.

Phishing en redes sociales. Un caso real en Twitter

Buenas,

Los casos de phishing tradicional, en su mayoría en un claro declive, siguen ofreciendo opciones para los atacantes. El cambio ha sido radical en los últimos tiempos, donde se ha pasado de ataques dirigidos casi en exclusiva a la banca a distancia a otros modelos de intento de robo de credenciales vinculados a otros servicios no financieros.

Dentro de esa tendencia de abrir nuevos nichos, las redes sociales son, aparentemente, objetivos apetecibles. Es el caso de Twitter, un conocido y extendido servicio de microblogging que goza de las simpatías de millones de usuarios. En ausencia de un móvil económico directo, me inclino a pensar que estos ataques quizás persigan generar listas de usuarios y credenciales que podrían ser comunes a otros servicios, como por ejemplo, la banca electrónica, los servicios Web de las Administraciones Públicas y en general cualquier servicio en línea en el que sí exista posibilidad de consumar fraude financiero. Habida cuenta que los usuarios de Twitter comparten mucha información personal en el servicio, realizando un mínimo seguimiento es factible crear perfiles de los mismos, los cuales podrían ser explotados igualmente en eventos de extorsión. No es descartable tampoco la ejecución de otros delitos relacionados con la suplantación de identidad, como por ejemplo, delitos contra el honor de las personas.

El sitio sigue vivo, lo que permite visitarlo para ver el montaje. La dirección es http://twitterblogs.access-logins.com/login/, y si la publico es porque las barras antiphishing principales ya tienen censada la URL como fraudulenta y es previsible su desactivación en breve. No obstante, se recomienda visitar el sitio única y exclusivamente en caso de tener muy claro lo que se está haciendo.

fake twitter

El falso formulario (muy logrado) efectúa una petición POST con los parámetros usuario y clave, y posteriormente, genera una redirección 302 que lleva al usuario al sitio oficial de Twitter. A lo largo de ese proceso, el formulario fraudulento se encargará de enviar las credenciales sustraídas a los atacantes. El usuario que efectúe un intento de acceso en la página falsa sólo observará como se le vuelve a mostrar la página de inicio del servicio, la legítima, un comportamiento que no todo el mundo asociará a un robo de credenciales, sino más bien como un fallo puntual del servicio, o un error en la autenticación.

Los responsables de Twitter han comentan el asunto en el blog corporativo. Recomiendo a todos los usuarios de este servicio su lectura, especialmente a los que no sabéis bien qué es el phishing.

Un saludo,