Robando contraseñas de Hotmail y Yahoo
Si eres, como yo, de los que revisan el spam antes de eliminarlo, posiblemente te hayas fijado en un curioso mensaje que ofrece, digamos... "recuperar" contraseñas de un usuario cualquiera de Hotmail y Yahoo por la módica cantidad de 15 US$. Pues bien, DayDream ha estado investigando el asunto y se ha introducido de lleno en el proceloso mundo de los ladrones de información. Lo que sigue es el detalle de su investigación.
En primer lugar, como saben los que vieron la historia en mi bitácora, recibí un mensaje en el que me comentaban la posibilidad de obtener cualquier contraseña de Hotmail o Yahoo previo pago de la mencionada cantidad. Esta cantidad sólo se abonaba si se obtenía la contraseña solicitada.
Decidí abrir una cuenta en Yahoo y seguidamente escribí al individuo un mensaje en el que le pedía por favor que me proporcionara la contraseña de la cuenta de mi novia , es decir la contraseña de la cuenta que yo acababa de abrir. Para evitar ataques sencillos puse a esa cuenta una contraseña difícil de averiguar, es decir, formada por letras mayúsculas, minúsculas, números y signos de puntuación.
Después de hacer un seguimiento de la mencionada cuenta (repito, recién creada), recibo un email en ella en que se me dice que me han enviado una postal electrónica y que debo pulsar en un enlace para ver el contenido de la misma. Concretamente lo que recibí fue esto...
Date: 4 Apr 2005 01:57:23 -0000
To: xxxxxxxx@yahoo.es
Subject: ¡Has recibido una tarjeta en Gusanito.com!
From: "Gusanito.com"
¡Hola!
Hay una tarjeta disponible en Gusanito.com de parte de Gusanito.com.
Para verla, hacer click en el siguiente enlace:
http://gusanito.com/g/gusanito/retrieveCard.jsp?sCardCode= 3AWEF458S45S1F4A8S46D5
Te recordamos que si eres Gusuario Premium tu tarjeta estará disponible
en todo momento durante la vigencia de tu membresía; si no lo eres,
estará disponible dos semanas a partir de la fecha en que la envíes.
[...]
Obviamente este mensaje sólo podía provenir de nuestro amigo que trata de conseguir la contraseña. Aprovecho para aclarar que www.gusanito.com es un servicio legítimo de envío de tarjetas postales muy conocido en Latinoamérica por lo que no me extrañaría que alguien que lo conozca caiga de lleno en esta trampa
Pero la sorpresa viene al hacer click en el enlace para recoger la tarjeta. Obviamente no apunta a www.gusanito.com sino a la página
http://xecsx.com/004d5e345634400d234/0212456gsder62sd2.php? 212SSa11q2212sasa34Hgfgg=ewed55645ff453431223d33& a3dwe43ws099120=xxxxxxxx@yahoo.es& ws120a3099dwe43=xxxxxxxx
(nótese que la URL está modificada pues he omitido la identificación de la cuenta que usé para desenmascarar el ataque)
y que curiosamente es una copia casi perfecta de la página de Yahoo en la que te dicen eso de:
¿Por qué me piden mi contraseña?
Para proteger la seguridad de tu cuenta, de vez en cuando pediremos que escribas tu contraseña. [...]
Únicamente puedes entrar en una cuenta por sesión. Si no eres "xxxxxxxx", ingresa con tu propia ID.
Claro, como esta solicitud de contraseña la suele hacer Yahoo en ciertas ocasiones, es normal que la persona caiga en la trampa e introduzca su contraseña, que obviamente será enviada a la persona que después pasará a cobrarme los 15 dólares por el servicio prestado. Por lo tanto, caso cerrado porque, como apuntaban muy acertadamente, estamos ante un caso de Phishing.
Es de notar que este ataque está bien elaborado y, dadas sus características, no me parecería extraño que tuviera una efectividad cercana al 100% si no fuera por algunos detalles que considero que pasarían desapercibidos para el típico usuario de ordenadores.
Antes de acabar me gustaría agradecer a las personas que aportaron sus ideas en la entrada anterior y comentar que seguidamente voy a poner esto en conocimiento de las empresas afectadas (Hotmail y Yahoo) y de la Policía para dar todos los datos necesarios para acabar con este delito, tal y como me sugería Kagarrache, al que agradezco su colaboración.
Reciban un cordial saludo y tengan cuidado ahí fuera...
DayDream!
ACTUALIZACIÓN (22:57 GMT): Tal y como aseguré, he comunicado este hecho al Departamento de Delitos Telemáticos de la Policía y he avisado a los responsables de Hotmail y Yahoo para que estén informados del hecho. Además he editado la noticia y la he enviado para que si algún editor la considera interesante la pase a portada. El título de la misma es "Phishing: un caso real". Un cordial saludo.
Fuente: Obtener contraseñas de Hotmail y Yahoo: la investigación, entrada en la Bitácora de DayDream
