Scamming - Como prevenirlo
Retomando el tema tratado en elchoutv acerca de lo que es la extracción de datos y scamming con utilización de listener en ambientes linux, quisiera dar mayor profundidad al tema, dado a que las personas muchas veces no reconocen lo que son las verdaderas notificaciones de sitios como facebook, twitter, bancos, entre otros.
Tomo esto dado a que últimamente se han estado recibiendo muchos correos que están utilizando esta técnica: Las facilidades de las herramientas que existen actualmente ha facilitado el uso de correos fraudulentos para tomar la información, la cual se utiliza para bases de datos de spam, entre otras utilizaciones. En lo personal, cualquiera con un poco de tiempo, las herramientas adecuadas como backtrack, multiples direcciones IP y bien tiempo, puede dedicarse a dicha actividad.
Para reconocer si estamos tratando con un correo fraudulento o no, lo primero que se nos debe de venir a la mente es "NINGÚN SITIO SOLICITA INFORMACIÓN CONFIDENCIAL VÍA CORREO" esta frase debe de vivir con nosotros, sea un banco, un sitio de red social, de compras, estos sitios no manejan dicha información dado a los compromisos adquiridos y protocolos de seguridad. Lo siguiente es un modelo básico el cual se guian gran mayoría de los sitios, esto para ejemplificar porque la información de contraseñas o pines no se manejan via correo electrónico:
El modelo de autenticación básica se almacena utilizando doble encriptación, esto tanto en lado de base de datos como en lado de aplicación, esto garantiza que si la información de la base de datos se ve comprometida por medios internos, la unica información que se vera es el usuario y una cadena encriptada por la base de datos que dependiendo del modelo y configuración, puede ir de 128 a 1024 bits, lo cual no lo hace atractivo. Adicionalmente si se utiliza un modelo seguro, se tendria que utilizar el algoritmo de encriptación a nivel de la aplicación, ya sea en base web o bien en base aplicación tradicional. En caso de solicitar una nueva contraseña. el modelo utilizado es utilizar una dirección de internet temporal, es decir tiene una fecha de vencimiento no mas a un dia, la cual es una interfaz para acceder los datos directamente a la aplicación, es decir, solo el usuario conoce la contraseña.
Ahora tomando esta base, cualquier cracker prefiere hackear al usuario que a la aplicación, esto dado a que es muy fácil engañar a una persona. Existen N cantidad de aplicaciones, correos que se pueden utilizar para estos medios. Ejemplo de ello es el password harvest el cual es el método mas utilizado. Un ejemplo real de ello es el siguiente correo que es común de ver en la carpeta de correo basura
El correo anterior es fácil de detectar dado a una serie de detalles, ejemplo es el contenido alarmando al usuario de que sus datos van a ser borrados. Un hecho, los sistemas como gmail, youtube, facebook, etc, tienen la costumbre de no borrar los datos, o bien para suspender la cuenta esta la hace desde ip u otros medios, lo cual puede descartar el correo anterior como uno valido.
Cuenta de correo: "notification+ysqsqgen @ facebookmail.com "como no es dificil crear un servidor de correo, cualquiera puede crear un dominio que pueda ser facil de confundir con los correos oficiales.
El elemento que mas delata es la url que vincula a un sitio para hacer el listener de los datos de sesión. Una persona con conocimientos decentes trataría de ocultar mejor la dirección y no dejar el numero ip y un nombre, facebook no hace eso! leonard... lol
En caso de tener dudas con relación a un correo, podemos usar un lookup o un whois, no hay que ser profesional para hacerlo, ejemplo de ello es http://whois.domaintools.com/ el cual con solo ingresar el url dado en el correo, nos dice que es un servicio de proxy hosting y que no es un dominio propio... que verguenza para el falso facebook.
Hay que tener cuidado con la información que manejamos y con los correos que leemos.
Saludos
Tomo esto dado a que últimamente se han estado recibiendo muchos correos que están utilizando esta técnica: Las facilidades de las herramientas que existen actualmente ha facilitado el uso de correos fraudulentos para tomar la información, la cual se utiliza para bases de datos de spam, entre otras utilizaciones. En lo personal, cualquiera con un poco de tiempo, las herramientas adecuadas como backtrack, multiples direcciones IP y bien tiempo, puede dedicarse a dicha actividad.
Para reconocer si estamos tratando con un correo fraudulento o no, lo primero que se nos debe de venir a la mente es "NINGÚN SITIO SOLICITA INFORMACIÓN CONFIDENCIAL VÍA CORREO" esta frase debe de vivir con nosotros, sea un banco, un sitio de red social, de compras, estos sitios no manejan dicha información dado a los compromisos adquiridos y protocolos de seguridad. Lo siguiente es un modelo básico el cual se guian gran mayoría de los sitios, esto para ejemplificar porque la información de contraseñas o pines no se manejan via correo electrónico:
El modelo de autenticación básica se almacena utilizando doble encriptación, esto tanto en lado de base de datos como en lado de aplicación, esto garantiza que si la información de la base de datos se ve comprometida por medios internos, la unica información que se vera es el usuario y una cadena encriptada por la base de datos que dependiendo del modelo y configuración, puede ir de 128 a 1024 bits, lo cual no lo hace atractivo. Adicionalmente si se utiliza un modelo seguro, se tendria que utilizar el algoritmo de encriptación a nivel de la aplicación, ya sea en base web o bien en base aplicación tradicional. En caso de solicitar una nueva contraseña. el modelo utilizado es utilizar una dirección de internet temporal, es decir tiene una fecha de vencimiento no mas a un dia, la cual es una interfaz para acceder los datos directamente a la aplicación, es decir, solo el usuario conoce la contraseña.
Ahora tomando esta base, cualquier cracker prefiere hackear al usuario que a la aplicación, esto dado a que es muy fácil engañar a una persona. Existen N cantidad de aplicaciones, correos que se pueden utilizar para estos medios. Ejemplo de ello es el password harvest el cual es el método mas utilizado. Un ejemplo real de ello es el siguiente correo que es común de ver en la carpeta de correo basura
Hello,
Due to a recent upgrade in our database Facebook requires all our users to update their account information, in other to enjoy a more secured and reliable service. To update your account information please click on the special link created for this purpose below.
hxxp://174.12x.1.xx/~leonard/www-facebook-com/
Any user who fail to verify his/her account information risk account suspension for security reason.
Facebook helps you connect and share with the people in your life.
Sincerely,
The Facebook Team
El correo anterior es fácil de detectar dado a una serie de detalles, ejemplo es el contenido alarmando al usuario de que sus datos van a ser borrados. Un hecho, los sistemas como gmail, youtube, facebook, etc, tienen la costumbre de no borrar los datos, o bien para suspender la cuenta esta la hace desde ip u otros medios, lo cual puede descartar el correo anterior como uno valido.
Cuenta de correo: "notification+ysqsqgen @ facebookmail.com "como no es dificil crear un servidor de correo, cualquiera puede crear un dominio que pueda ser facil de confundir con los correos oficiales.
El elemento que mas delata es la url que vincula a un sitio para hacer el listener de los datos de sesión. Una persona con conocimientos decentes trataría de ocultar mejor la dirección y no dejar el numero ip y un nombre, facebook no hace eso! leonard... lol
En caso de tener dudas con relación a un correo, podemos usar un lookup o un whois, no hay que ser profesional para hacerlo, ejemplo de ello es http://whois.domaintools.com/ el cual con solo ingresar el url dado en el correo, nos dice que es un servicio de proxy hosting y que no es un dominio propio... que verguenza para el falso facebook.
Hay que tener cuidado con la información que manejamos y con los correos que leemos.
Saludos
entrada de El autor a las
12:39
0 comentarios
