El otro día, en la entrada avisando sobre los peligros de dar la contraseña de tu correo a servicios extraños y sobre todo a aquellos que te dicen que te van a decir quién te ha bloqueado en el msn, surgió una conversación bastante interesante en los comentarios. Además, el responsable de uno de estos servicios, Alejandro Sena de Blockoo explicó cómo funcionan estos servicios. A continuación os reproduzco el algoritmo, que hace uso de bots para llevar a cabo esta operación:

1. Para empezar el usuario le da sus datos al servicio (en este caso Blockoo).
2. El servicio se conecta al servidor de Microsoft con su cuenta, recolecta una lista con todos sus contactos, y mediante un bot los va invitando uno por uno.
3. A medida que los usuarios van aceptando el bot, se recopilan datos suficientes para indicar si le tienen bloqueado o no: si al bot le aparece como conectado pero al usuario como desconectado es que le tiene bloqueado (o no admitido o eliminado o no aceptado).

Una vez explicado cómo funciona, me sigo mostrando muy reticente a usar este tipo de servicios:

• Para empezar el usuario le da sus datos al servicio (en este caso Blockoo). Sigue sin existir ninguna garantía de que tus datos sean preservados y tu cuenta salga indemne de este servicio. Repito: dar la contraseña de tu email, y más si es el centro de tu vida digital, es una muy mala idea.

• Aunque puede funcionar, en realidad es bastante difícil que se den todas esas circunstancias para poder decidir que está bloqueado. Vamos, que las probabilidades de acierto deben ser ridículamente bajas (sobre todo cuando bloquear a alguien no es una acción demasiado usual), y cuando se den deben ser parciales.

• Como todavía el cliente de Microsoft no soporta conectarse desde varios sitios a la vez, si te registras en uno de estos servicios no podrás conectarte desde casa durante un tiempo (¿minutos, horas?).

• Es loable que Alejandro intente defender su servicio web, y eso dice bastante de que efectivamente no “roba” cuentas. Pero por otro lado la propia Microsoft ha baneado de sus servidores cualquier url que contenga blockoo (intenta poner un link, ya verás), hasta hace poco cambiaba el nick (como muchos competidores) y por defecto envía un mensaje a todos tus contactos (además de agregarlos), a menos que desmarques una casilla. De hecho, en Mayo se escribió este interesante artículo comentando su uso, y aunque ha corregido alguna mala práctica, los peligros intrínsecos al servicio todavía siguen ahí. Está claro que algo sospechoso debe haber en el servicio si consigue esas reacciones.

• Sigo sin verle ningún sentido, es tan infantil como lo de dile a Pepe que está enfrente mío que no le hablo.

• Si un contacto mío es tan tonto como para aceptar un bot externo que ni siquiera ha pedido… (acabad vosotros la frase).

• Quién lo use estará molestando a TODOS sus contactos para conseguir información de como mucho dos o tres personas.

Como veis, mi opinión no ha cambiado demasiado, y más con este método tipo matar moscas a cañonazos. Si de verdad quieres saber quién te ha bloqueado, existen métodos de ingeniería social muchísimo más eficientes, sin tener que dar la contraseña a nadie, solo con tener una pista de quién puede ser:

• Preguntárselo a esa persona directamente.

• Preguntárselo a un contacto común.

• Crearte una cuenta adicional y agregar a las personas que quieras a esa lista. Para mejorar la efectividad te recomiendo que si es un chico te crees una cuenta con nombre de chica (y si pones en el nick “69” y “cachonda” mucho mejor), y a la vez si es una chica te crees una cuenta con nombre de chico (y si pones en el nick una frase poética mucho mejor).

En fin, creo que ya tenéis datos suficientes como para confiar o no en este servicio, o al menos para tener una opinión mucho más completa.

En Genbeta | ¿Quieres saber quién te tiene no admitido/eliminado en el MSN? Pues no des tu contraseña a desconocidos

Parece mentira que después de tanto tiempo (¡años ya!) del invento de este fraude todavía haya gente que siga cayendo en él. Es muy simple, y seguro que muchos lo conocéis, simplemente se trata de páginas que ofrecen el servicio de mostrarte quién te tiene como no admitido o te ha eliminado del mésenyer a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña. Creía que este negocio ya estaba más que muerto, pero hoy mismo un par de contactos míos me han saltado con la típica ventanita que me acceda a una de esas páginas para que me lea el futuro.

Como norma general, dar la contraseña de tu correo a alguien que no pertenezca a tu familia ya es un suicidio tecnológico, y en este caso sería como darle la contraseña de tu tarjeta de crédito a una persona desconocida para que te muestre el dinero que tienes. ¿Quieres saber qué es lo que hacen? La mayoría de páginas, después de mostrarte esa información, se conectan a tu cuenta varias veces al día para molestar a todos tus contactos con spam descarado. Lo que es peor, esto puede colapsar tu cuenta y no sería raro que la perdieras para siempre, o al menos que la conexión sea pésima. Así que ya sabes, no des tu contraseña a ningún sitio web, o atente a las consecuencias.

Pero claro, ¡tú quieres saber quién te tiene como no admitido! Sorpresa: esos sitios, además de ser peligrosos, no funcionan. Microsoft cambió hace tiempo el protocolo para que los servidores de msn no difundieran esta información. Antes sí podías, pero ahora mismo ni siquiera puedes saber el estado de otra persona sin que ella te invite/admite o sin saber la contraseña de la cuenta (sin cambiar la configuración de la cuenta). Sin rebuscar demasiado, algunos sitios fraudulentos que siguen esta práctica serían: blockoo.com, scanmessenger.com, detectando.com, quienteadmite.info, checkmessenger.net, blockstatus, etc… Todos ellos son potenciales phishing, y ninguno funciona más allá de recolectar cuentas de correo.

Disculpad los lectores avanzados que ya habéis dejado atrás este tipo de engaños facilones hace mucho tiempo, pero es que hoy me he vuelto a conectar al messenger por obligación y me he dado cuenta de que las cosas han cambiado muy poquito.

Una de las recomendaciones que siempre hago en materia de seguridad informática es no abrir nunca enlaces que nos lleguen en correos electrónicos o por mensajería instantánea. Es mucho más seguro escribir la dirección manualmente en nuestro navegador para asegurarnos que vamos a parar donde pretendíamos.

Pues el troyano Infostealer.Banker.D echa un poco por tierra esta recomendación. Al instalarse en nuestro ordenador, y cuando accedemos a alguna de las páginas que tiene prefijadas, inyecta código HTML dentro del contenido recibido, de modo que, para nosotros, todo funciona de manera correcta (hemos escrito la dirección correcta, el SSL nos indica que el sitio es válido,...) pero una parte de esa página no es legítima.

Como se puede ver en la imagen de ejemplo, en la página de este banco se inserta un nuevo campo de texto donde se pide que el usuario introduzca el PIN de su tarjeta. Este campo es almacenado y enviado al atacante, mientras que el resto de campos se envían al banco, de forma que entraremos correctamente en la página, dando sensación de completa normalidad.

Por supuesto, debemos sospechar siempre que la página de nuestro banco nos pregunte algún dato de este tipo, como el código PIN de la tarjeta y usar el sentido común para detectar este tipo de intentos de estafa, aunque hay que reconocer que en este caso lo ponen bastante difícil para el usuario medio.

Vía | Security Response.

Mal asunto cuando desde una empresa como Kaspersky admiten que no pueden con tanta amenaza en Internet. Lo ha dicho Natalya Kaspersky, CEO de Kaspersky Lab.

Según ella, en una entrevista a ComputerWorld, ninguna compañía puede admitir que tiene la situación del crimen por Internet y temas de malware y phishing bajo control porque estarían mintiendo. Admiten disponer de 50 personas dedicadas solamente a analizar y tratar de encontrar soluciones para el malware que sale todos los días, en cantidades de 200 nuevos casos. Ya no basta, dicen, con un antivirus. Las amenazas de diversifican y aumentan todos los días.

Piden la ayuda oficial de los gobiernos y las fuerzas de seguridad porque la cosa va a más y el que Internet sea tan global no hace más que ayudar a los delincuentes 2.0. Pide colaboración internacional de los cuerpos de policía.

Vía | Barrapunto.
Imagen de IN.

Los que uséis Firefox confiando totalmente en su filtro antiphishing deberéis tener cuidado, pues se ha encontrado un bug que provoca que algunas páginas maliciosas no se detecten como tal.

El problema se encuentra cuando se añade más de una / a la dirección. Veamos un ejemplo: la siguiente dirección (recomendamos no entrar en ella) es detectada por Firefox como una página maliciosa y así nos lo indica.

• http://202.64.93.106/www.paypal.com/cgi-bin/webscr_cmd=_login-run2652/

En cambio, la dirección:

• http://202.64.93.106/www.paypal.com//cgi-bin/webscr_cmd=_login-run2652/

no es detectada como tal (notar las dos barras despues de .com). En la próxima versión estará solucionado, pero de mientras habrá que tener especial cuidado, porque seguro que ya están empezando a aprovechar este fallo para engañar a usuarios.

Vía | BolsaNegra.

Retorno hoy a casa tras estar todo el fin de semana fuera y al ir a subir las fotos del mismo a mi cuenta de Flickr me encuentro con una señal en la portada del servicio que me alerta de que algo está ocurriendo.

Así ha sido como me he enterado de que los ataques de phishing no es solo cosa de bancos y tiendas online. Flickr también parece que lo está sufriendo y han sacado una nota para avisar a sus usuarios de que extremen las precauciones cuando se les pida la constraseña de flickr o se les prometa la descrga de algún paquete de fotos. Esto nunca lo hacen ellos, y debemos asegurarnos de que la dirección que existe en nuestra barra de direcciones es realmente correspondiente a Flickr, y no cualquier otra, por mucho que la página que estemos visitando sea calcada a la del servicio de fotografías.

Dicho esto, ya puedo ir a subir mis fotos tranquilamente.

Sitio Oficial | Flickr.

Estamos buenos con el phishing. Si no teníamos bastante con los expertos en este fraude, ahora van y sacan una especie de kit para hacer de manera sencilla ataques de phishing, que puede encontrarse en algunos foros.

El kit, descubierto por RSA, se denomina Universal Man-in-the-Middle Phishing Kit y si bien puede probarse gratuitamente, tiene un precio de más de 700 euros. Además, se trata de un sistema universal, vamos, que vale para cualquier banco.

No hace falta decir que se trata de algo peligroso y evidentemente ilegal.

Recordemos que el phishing lo que hace es hacerte creer que estás en una página web real de un banco o comercio online, y vas introduciendo determinados datos sin saber que en esos momentos se está recopilando esa información personal y sensible.

Vía | Consumer.
Imagen de Tecfa.

En el mundo de la seguridad informática nos queda el consuelo que, cuando se usan técnicas nuevas para atacar al usuario, es probablemente debido a que las antiguas ya no funcionan tan bien como esperaba el atacante. Es decir, se gana una pequeña batalla.

Ahora que los navegadores se han puesto serios en la lucha contra el phishing, incorporando Internet Explorer, Firefox y Opera barras que nos avisan de la peligrosidad de un sitio, los que envían este tipo de mensajes se están viendo obligados a reaccionar.

Y lo están haciendo pasándose al Flash, el popular formato de Adobe, a la hora de crear las páginas falsas donde intentan que los usuarios den sus datos. Lo hacen en un intento de evitar a los programas que analizan el HTML para ver si la página es válida. Al ser Flash un formato compilado no se puede analizar su contenido.

Los ficheros Flash imitan a la perfección a la página original e intentan que el usuario dé los datos de su tarjeta de crédito. Un usuario avezado se dará cuenta de la diferencia, pero muchas otros no sabrán ver que la página está hecha en Flash en lugar de HTML corriente, así que alerta ante este tipo de casos.

Vía | Blog de F-Secure.

Que si es mejor el antiphising de Firefox, que si es mejor el de Internet Explorer 7,... cada compañía defiende, evidentemente, su propio producto. Pero según un estudio independiente realizado en la universidad Carnegie Mellon que ha comparado diez antiphishing distintos. ninguno de ellos es efectivo.

Cinco de ellos detectaron un 85% de las páginas de phishing, mientras que el resto no llegaron al 50%. Pero lo que puede ser más problemático es que la mayoría generaban falsos positivos, es decir, que detectaban como phishing páginas que eran legítimas.

Estos dos problemas hacen que los usuarios sin demasiados conocimientos de seguridad informática no puedan estar n unca seguros de cuando una página es confiable y cuando no lo es, lo que puede ser aun peor. La opción será estar siempre atento a las páginas que visitamos, nunca abrir enlaces que nos lleguen en mensajes de correo y comprobar las opciones de HTTPS para certificar que la página que creemos estar visitando es la que esperamos.

Vía | Net Security.