Minihistoria de Intendo de Phising al banco santander

17 febrero, 2010 at 18:16

Uno de los mayores problema que tiene la seguridad informática, es la capacidad de los usuarios para descubrir cuando están siendo víctimas de un engaño o de una trampa basada en ingeniería social.

El phising es el termino asignado a un tipo de ingeniería social por el cual se trata de acceder a información confidencial del usuario engañándolo, capturando su atención y creando una situación donde es el mismo usuario quien le entrega la información al delincuente sin percatarse de que esto ocurre.

En Chile este tema no es menor, la cantidad de mensajería donde se intenta aplicar phising crece rápidamente y los delincuentes han aumentado notablemente sus técnicas. A pesar de que la cultura en Chile tiende a ser bastante desconfiada, el engaño vía internet tiende a poner en jake a sus usuarios, básicamente por su poca experiencia y reducida cultura tecnológica.

Hoy me ha llegado este correo, donde se me indicaba que un usuario había estado tratando de acceder a mi cuenta bancaria y que por razones de seguridad esta había sido bloqueada. Se me solicita entonces que valide mi identidad para habilitar nuevamente la cuenta. Segundos más tarde mi cara contenía una enorme sonrisa, al darme cuenta que esto un bil engaño.

Cualquier usuario que le interesa mantener sus datos en privado y ahorrarse de paso un mal rato, debería al menos considerar preguntarse estos puntos antes de aceptar las instrucciones de cualquier mensaje.

  • ¿Mi banco realmente envía estos correos en casos como este? ( cuando se han intentado acceder muchas veces a una cuenta y está queda momentáneamente bloqueada)
  • ¿El remitente es real?
  • ¿El link que aparece en el mensaje realmente apunta a la misma dirección?
  • ¿La dirección url está bien escrita? ( generalmente se utilizan caracteres similares para tratar de engañar al usuario, como por ejemplo cambiar la l (letra L en minúscula) por la I (letra i latina en mayúscula) )
  • ¿Donde está el certificado de autenticidad del sitio o de seguridad por https? ( generalmente los sitios serios, como los bancos, requieren utilizar certificados de autenticidad validados por entidades confiables )
  • Llamar a la mesa de ayuda REAL no a la que sale en el mensaje.

Siempre es recomendable que los usuarios comiencen de la premisa que el mensaje que le ha llegado, es falso y que le tratan de engañar. Luego de verificar alguno de los puntos anteriores, entonces recién podría comenzar a sospechar que el mensaje podría ser verdadero 😀

Las siguientes imágenes corresponden al mensaje que he recibido, en el se puede ver claramente como la url incrustada en el mensaje no corresponde realmente a la que dice ser.

phising_banco_santander_0

Una vez dentro del sitio falso que han preparado para nuestro engaño, podemos confirmar que efectivamente el url sitio no corresponde con el original, a pesar que el sitio parece totalmente autentico.

 

phising_banco_santander_2

Bueno, este intento fue frustrado ( por ahora ). El banco santander frente a estos ataques solo se lava las manos e indica en su pagina web que no envían mensajes por correo. Pero seguramente debe ser mucha gente la cae en estos trucos, por eso aún se siguen enviando…

¿Y al final de quien es la culpa?

Estabilidad en htcnetworks.cl

10 marzo, 2009 at 20:41

htcnetworks, la red tecnológica más famosa en curacautin city y sus alrededores, nos deleita una vez más con una demostración de lo importante que es para ellos la seguridad informática.

Pantallazo-2

 

Crónica del robo de la identidad digital de Christian Van Der Henst.

23 febrero, 2009 at 09:46

Christian Van Der Henst creador de Maestros del Web y Foros del Web las 2 comunidades más grandes de desarrollo web en habla hispana disponibles en Internet nos cuenta la cronologia de hechos que le llevo a perder su Identidad digital y como logro recuperarla luego de el gran ruido que provoco en Internet hace unos dias. Os dejo con ustedes la historia redactada por el mismisimo Christian Van Der Henst, adicionalmente he dejado una entrevista realizada por blogoff en la cual cuenta la historia en audio al comienzo de este post:

Gracias nuevamente a todos por el apoyo para que lograra recuperar el control de los dominios en mi cuenta de godaddy, lo que también me ha ayudado a recuperar control de mi identidad digital.

Ahora, intentaré relatar los detalles de la historia para que sepan como pasó todo:

El sábado pasado recibimos un correo sospechoso de alguien intentando ingresar a nuestra cuenta de hosting. Reportamos esta situación de inmediato a Liquidweb (nuestro proveedor), aunque no era nada de riesgo, ya que cualquiera puede generar estos emails pidiendo recuperar un password. Esta fue la primera alarma.

El día domingo por la noche (hora de Tokyo, de mañana en America) recibí un correo confirmando cambios administrativos a los dominios que tengo alojados con Godaddy. Dicho correo tiene además una cuenta de correo donde se pueden tomar acciones si no se han soliticado dichos cambios. De inmediato mandé el correo. Y así mismo, fuí a twitter a avisar la situación. A continuación, aquí mismo en el foro, publiqué un mensaje notificando que había perdido control de los dominios y que estaba investigando que había pasado.

Javier -aka j_aroche- leyó el tweet (por lo que incluso antes que lo contactara fué a nuestros servidores a cambiar contraseñas y hacer backups frescos de toda la info (aunque teniamos el backup del día anterior).

Hice cambios de password en Gmail, Google Apps, Twitter y otros servicios y finalmente llamé por teléfono a Soporte de Godaddy. Requerian mi confirmación de los últimos 4 dígitos de la tarjeta de crédito en mi cuenta, pero no pude darlos porque dicha cuenta la pago con Paypal. Me dijeron que contactara por mail al departamento de abusos.

Recibí un correo preguntándome si quería recuperar la cuenta. Pero jamás pasó por mi cabeza negociar con nadie que pudiera ser el responsable.

La mañana siguiente a los cambios en los datos de los dominios se agregaron cambios a los DNSs, por lo que habíamos perdido los sitios y además, todos los correos @maestrosdelweb.com (incluyendo mi cuenta personal) estaban llegándole a alguién más. Quien tuvo control de los dominios puso una página en mantenimiento fuera de nuestro control.

Al tener acceso a recibir mis correos empezaron a solicitar algunas de mis contraseñas, incluyendo Gmail, DynDNS (donde gestionábamos los dnss de los dominios), facebook y otras como Plaxo, Popego, etc. Yo veía algunos mails, porque los MX del dominio no se habian reflejado en todos lados. Me puse entonces a cambiar usuarios, emails e incluso a eliminar cuentas en servicios que realmente no usaba nunca. Borre cuentas, cambie mails… Pero lamentablemente avisaba de los cambios al atacante, porque al menos en el caso de servicios como Facebook, manda un mail para confirmar el nuevo email y manda otro mail al viejo email para que invalides el cambio si crees que es un error.

Luego de esto y a pesar de haber cambiado datos en mi cuenta de Gmail (la que ademas era la asociada con algunos de los dominios -no todos), perdi acceso a la cuenta. En principio porque cuando fue creada, como email de emergencia quedo una cuenta @maestrosdelweb.com a donde podía solicitarse recuperar el password. Intenté recuperar la cuenta desde el formulario de google pero el número de intentos para esto había sido superado (así que alguien lo había intentado antes). Contacté a algunos amigos en Google para ver si podian apoyarnos, pero ese día era feriado en Estados Unidos, por lo que habían aprovechado un finde largo donde la respuesta de los proveedores podía ser más lenta que de costumbre.

Para entonces, recibí respuesta del área de Soporte de Godaddy, confirmándome que tenía que hablar con su departamento de abusos. Mandé mails al departamento de abusos y ellos me dijeron que tenía que hablar con soporte.. Me tenían en un loop y se hacian los desentendidos. Ese día hablaría con muchas más personas en soporte. Unos de ellos me redirigieron al soporte de Wild West Domains (es una empresa asociada a Godaddy pero jamás he hecho negocios con ellos). Y otro chico más tajante me dijo que lo sentía, que mis datos no aparecian en la cuenta y que por la historia que le comentaba era un tema legal. Que buscara un abogado y viera en su sitio la información de resoluciones con la ICANN, que en serio no podían hacer nada por mi caso.

Ese mismo lunes, accesaron al panel de pago de nuestro proveedor de hosting y solicitaron cambiar passwords de servidores para buscar accesar, incluso llamando por teléfono con información que habian conseguido de mi persona. Javier estaba pendiente de esto y cuando vió actividades sospechosas fuimos al teléfono y pasé parte de todo el día validando mi identidad con Liquidweb asegurándome que la cuenta estuviera en hold hasta que verificaran al verdadero dueño. El plan desde el principio fue poner a funcionar los servidores en otros dominios mientras recuperábamos los nuestros, pero cuando vimos que mi identidad se estaba intentando suplantar incluso en vía telefónica decidimos apagarlos para garantizar que la información estaba segura.

Ese día, muchas personas y amigos cercanos ya me contactaban por mensajería instantánea preguntándome datos que solo nosotros sabiamos. No sabian con quien hablaban. Por este detalle, les agradezco mucho a todos.

El martes seguía sin encontrar un camino para hablar con Godaddy, así que seguí avanzando con información legal que me hicieron llegar varios amigos para ver los caminos que tenía. Empezó a llegar la ayuda de varios blogs y sitios que comentaban la historia y habían más tweets de apoyo. Los tweets hacia el usuario @Godaddyguy confirmándole que el dominio de maestrosdelweb.com llegaron a ser más de mil en 24 horas.. Tuvimos la primera respuesta positiva de ellos.

Ese martes por la noche, conversé con Pere de tonterias.com, quien tuvo que batallar varios meses para recuperar su dominio y me dijo que fuera directamente a hablar con presidencia de Godaddy. También estoy muy agradecido por compartirme su historia y darme valiosos consejos para proceder.

Cuando hablé con presidencia en Godaddy ya estaban al tanto del caso por los tweets, getsatisfaction y ruido en la blogósfera. Me dieron los mecanismos para validar mi identidad y solicitar recuperar los dominios. El proceso iba a ser de un dominio a la vez, así que pedí recuperar los 10 más importantes. Para entonces, me importaban poco el resto (unos 30 dominios adicionales).

Unas horas más tarde logramos que los dominios estuvieran de regreso. Y ya con los dominios poco a poco vamos recuperando los sitios y accesos a algunos servicios. Me falta mucho por investigar y en el camino he ido recolectando muchas pistas de los responsables. Estoy asesorándome legalmente también para seguir el caso hasta donde sea posible. Esto no va a terminar hasta que agotemos recursos.

Aciertos

– Haber hecho ruido desde que todo esto empezo. No quedarme callado, ni intentar resolver nada en privado con quien sea el responsable.
– Usar el teléfono antes que el email, aunque me encontré que con muchos proveedores no hay otro camino más que el digital.
– Al ver la posibilidad de que siguieran recuperando mis cuentas, fuí directamente a asegurarme nuevos accesos, con datos frescos, siempre reales (y comprobables) para asegurar que siguieran vinculando a mi identidad real.

Deshaciertos
– Tener demasiadas cuentas registradas con un solo email. Cuando perdí el acceso a mi dominio, fue muy fácil que empezaran a ganar accesos. De nada sirvió tener una serie de passwords.
– El mismo lunes ibamos a intentar poner a funcionar el foro en otro dominio temporal. Pero debí pedir que los servidores se apagaran de inmediato cuando empecé a ver las dimensiones del ataque. Y seguía dependiendo de servicios anteriores de los que no tenía constancia si habían sido vulnerados de alguna forma.
– Cambié passwords en mi cuenta de Gmail, pero no pensé en todas las formas en que pudieran obtenerla, incluyendo lo del email de emergencia.
– El sueño y la intranquilidad no son buenos amigos para que pienses rápido y actues en consecuencia.

 

 

Hackean Forosdelweb.com, maestrosdelweb.com y las cuentas personales del creador Christian Van Der Henst

19 febrero, 2009 at 11:06

Sin sospecharlo ayer ya estaba teniendo problemas al accesar a algunas informaciones de forosdeweb, hoy me entero por el video que han colgado en su web que la que es quiza la web mas visitada en internet en asuntos de programacion web ha sido hackeada. La noticia ha recorrido desde ayer muchos blog en Internet he leido mas detalle en  alt1040 del cual cio un extracto de los hechos :

“Los eventos sucedieron, más o menos, así:

  1. Christian Van Der Henst cuenta por medio de su Twitter: «Fuck, alguien logro accesar a mi cuenta de Godaddy y cambio los datos de mis dominios», refiriéndose a Maestrosdelweb.com.
  2. Christian contacta a PayPal para que lo ayuden, sin éxito.
  3. El o los cybersquatters cambiaron los DNS de los dominios y también se apoderaron de su cuenta de Facebook.
  4. Teniendo el dominio maestrosdelweb.com ya apuntando a otro servidor, recrean el e-mail personal de Christian y tratan de apoderarse de su hosting, sin éxito.
  5. Hace casi tres horas (de escrito este post) se apoderan de su cuenta de Gmail. “

A continuacion dejo el video que han colgado en la web por estos momentos:

Repeatgin, Repetidgin in 100% english and for windows!

21 enero, 2009 at 01:47

Yeah!, repetidgin can now be enjoyed 100% in English and for windows! samad alamati that has created a customized version of our product, which has called Repeatgin, this version is a full translation into English.

repetidgin_internacional

Samad Alamati delivers dll plugin for Windows. I hope our fans rejoice now a little more.

The dll file that contains the plugin for your instant messaging client Pidgin can be downloaded directly from the website or here

Acelera tu pc gritándole !!!

4 enero, 2009 at 20:52

Para quienes me han reprochado que el tratar mal a un pc no hace que este ande más rápido pues les traigo una prueba de que estaban equivocados. Aunque parezca mentira un ingeniero de Sun Microsystems llamado Brendan Gregg ha llevado a cabo un experimento en el cual demuestra que gritar a los discos duros hace que aumenten su latencia.

En las pruebas gritaba él mismo a un RAID JBOD, a la vez que monitorizaba las operaciones de Entrada/Salida y latencias de los discos a los que gritaba.

Cada vez que lo hacía se podía apreciar un pico en la latencia, y para demostrarlo ha colgado el siguiente vídeo del experimento en cuestión: