"Le garantizamos que trataremos su caso con la máxima discreción posible.", dice el texto de presentación. El costo era de 30 euros. "No siempre conseguimos averiguar el password. El 75% de los casos conseguimos la clave pero no podemos garantizarle que lo lograremos."

Además, el pirata garantizaba "que el dueño de la casilla de correo nunca se dará cuenta de que le hemos averiguado el password, y mucho menos relacionarlo con UD."

El clásico "no nos hacemos responsables del uso fraudulento del password. Cualquier acción ilegal realizada con la información que nosotros le facilitamos será de su responsabilidad.", no salvó al joven de la justicia, quien fue arrestado por agentes del Grupo de Delitos Tecnológicos de Barcelona del Cuerpo Nacional de Policía en la propia empresa de informática en la que trabajaba.

Fueron registrados al menos dos domicilios relacionados con el detenido, en Huesca y Lleida, y se incautó todo el material informático allí encontrado.

La policía denominó "Hackwebmail" a esta operación, la que fue iniciada en abril del año pasado. La información brindada, habla de más de 400 contraseñas ofrecidas exitosamente a "clientes" de España y de otras partes del mundo.

En el sitio, que aunque tiene un dominio .TK está hospedado en Lycos Tripod, puede leerse lo siguiente:

Total Clientes: 974
Total pedidos: 136
Pedidos cumplidos: 67
Visitas: 48031

Sin embargo, el joven ha estado haciendo este trabajo desde por lo menos tres años atrás. El arrestado ofrecía sus servicios en conocidos foros de Internet, poniendo como contacto su página web.

La forma de capturar las contraseñas de los usuarios de Hotmail, siempre fue mediante el engaño, suplantando la personalidad de un sitio o persona, técnica denominada "phishing".

Una vez que el cliente le pedía una contraseña, el pirata enviaba a la víctima un mensaje del tipo "un amigo le envía una tarjeta". Si la víctima caía en el engaño, era llevada a una página falsa de MSN Messenger, en donde se le pedía nombre de usuario y contraseña. Esta era la forma más "fácil" de conseguir su objetivo.

Si esta técnica fallaba, aún quedaban otras, como las de enviar otros falsos mensajes que simulaban ser del propio Hotmail, solicitando "acceder a una dirección de Hotmail para comprobar usuario y contraseña", con excusas como las de "proteger a nuestros usuarios del correo electrónico no solicitado".

Por supuesto, al hacer clic en el enlace mencionado, se enviaba al usuario a una página falsa, donde usuario y contraseña eran capturados por el delincuente.

De todos modos, esto no es nada nuevo. Existen muchas técnicas similares, utilizadas incluso con otros cometidos (obtener cuentas de otros servicios de correo, o incluso información de cuentas bancarias o tarjetas de crédito, por ejemplo).

En ningún momento se explotaron fallos del sistema, solo se empleó una simple y directa "ingeniería social", para engañar a usuarios incautos. Relacionado también con Hotmail, en 2003 el FBI detuvo en Estados Unidos a otro individuo por un caso muy similar.

Microsoft, a quien pertenece Hotmail, dijo que ha estado colaborando con las autoridades desde el comienzo de la operación, e informó que no se usaron ataques ni existen fallos de seguridad en Hotmail, solo se emplearon las técnicas de engaño mencionadas, y se abusó de la inocencia de usuarios incautos.

La empresa recomienda "no facilitar nunca las contraseñas en sitios no oficiales". Existen más de 187 millones de usuarios con cuentas de correo en Hotmail, al menos 7 de ellos en España. En http://www.msn.es/informatica/antispam/prevencion/  se dan algunos consejos para el manejo de las cuentas de Hotmail, y para no caer en algunas de estas trampas.

Aunque en las últimas horas el joven fue dejado "en libertad con cargos", y deberá presentarse a la justicia cada 15 días, las investigaciones continúan, y no se descarta que se tomen acciones contra quienes pagaron por obtener las contraseñas de terceros, acusados de participar en un presunto delito de descubrimiento y revelación de secretos. Entre ellos, se encuentran varios detectives privados, según informan las fuentes.

En todos los casos, las penas estipuladas, van de cuatro a siete años de prisión para todos los inculpados.

Si usted recibió en algún momento una tarjeta electrónica, o un mensaje no solicitado, donde para comprobar su identidad se le pedía ingresar a un sitio web similar al de Hotmail o MSN, es conveniente que cambie a la brevedad posible su contraseña.

Y por supuesto, jamás debería seguir enlaces a sitios en donde se le pida ingresar datos personales de este tipo, y mucho menos cuando se le "invita" a hacerlo desde un correo electrónico no solicitado.


Relacionados:

HOAXES
http://www.vsantivirus.com/hoaxes.htm

Clientes de Visa Internacional víctimas de "phishing"
http://www.vsantivirus.com/ev-phishing-visa.htm

Phishing: Yahoo "E-mail account security warning"
http://www.vsantivirus.com/ph-yahoo-250904.htm

Peligro de phishing con cuentas de Gmail
http://www.vsantivirus.com/14-09-04.htm

La suplantación de sitios y robo de identidades
http://www.vsantivirus.com/agr-phishing.htm

Phishing: Usuarios de Gmail en peligro de engaño
http://www.vsantivirus.com/ph-gmail-160105.htm

"Phishing" con favicon en Opera 7.50 y anteriores
http://www.vsantivirus.com/vul-opera-favicons.htm

Internet, entre el miedo y la prudencia
http://www.vsantivirus.com/07-11-04.htm

Ataques de phishing usando vulnerabilidad JPEG
http://www.vsantivirus.com/ev-04-10-04.htm

Su cuenta bancaria a merced de un estafador
http://www.vsantivirus.com/31-05-04.htm

Aumento de spam, phishing y gusanos en Navidad
http://www.vsantivirus.com/21-11-04.htm

Ataque phishing a usuarios de Linux circula en la red
http://www.vsantivirus.com/22-11-04.htm

Los 10 scams más peligrosos para el 2005
http://www.vsantivirus.com/scams-2005.htm

El navegador Firefox facilita técnicas de phishing
http://www.vsantivirus.com/vul-firefox-xul.htm

Estafa a clientes del Banco de Crédito de Perú (BCP)
http://www.vsantivirus.com/scam-bcp.htm

Bruce Schneier: "la gente es demasiado paranoica"
http://www.vsantivirus.com/mm-bruce-schneier.htm

Scam: Timo a clientes de Caja Madrid (España)
http://www.vsantivirus.com/scam-cajamadrid.htm

Intento de estafa a clientes de Banesto
http://www.vsantivirus.com/scam-banesto.htm

Scam: Nuevo intento de estafa a usuarios de PayPal
http://www.vsantivirus.com/scam-paypal2.htm

Timo a clientes del Grupo Banco Popular de España
http://www.vsantivirus.com/scam-grupobanco.htm

Scam: Intento de estafa a usuarios de PayPal
http://www.vsantivirus.com/scam-paypal.htm

Scam: Timo a clientes del Banco Pastor (España)
http://www.vsantivirus.com/scam-bancopastor.htm

Scam: Otro timo a clientes del Grupo Banco Popular
http://www.vsantivirus.com/scam-grupobanco3.htm

Nuevo timo a clientes del Grupo Banco Popular
http://www.vsantivirus.com/scam-grupobanco2.htm

Nueva falsificación de barra de direcciones en IE
http://www.vsantivirus.com/vul-ie-spoofing-direcciones.htm

IE: Ofuscación de URI en panel de búsqueda
http://www.vsantivirus.com/vul-ie-uri-111204.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com