|
Error en Windows Live, puede ser usado por scammers
|
|
VSantivirus No 2475 Año 11, jueves 21 de junio de 2007
Error en Windows Live, puede ser usado por scammers
http://www.vsantivirus.com/20-06-07.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Este martes (19/06/07), Microsoft solucionó un error en la registración de Windows Live Messenger, que permitía a sus usuarios ingresar direcciones electrónicas falsas.
Estas direcciones, podían ser utilizadas para identificarse en el programa, usurpando la dirección de otras personas, y haciéndose pasar por ellas.
Windows Live Messenger es la última versión de MSN Messenger, el famoso programa de mensajería instantánea de Microsoft.
Un desarrollador Web de Holanda, Erik Duindam, reportó el problema a Microsoft el lunes. La empresa informó un día después que el fallo había sido solucionado, pero no realizó ningún comentario sobre el impacto del mismo.
No está claro cuanto tiempo este agujero de seguridad estuvo disponible, o que cantidad de cuentas falsas se pudieron llegar a crear. Duindam dijo que una identificación falsa que él había creado, seguía activa el martes a la mañana.
Si una persona intenta crear una cuenta en Windows Live, Microsoft envía una confirmación por correo electrónico a la
dirección aportada por el usuario. Si el correo no es respondido, Microsoft incluye una advertencia con los futuros mensajes instantáneos enviados por esa persona, la cuál informa que la dirección electrónica no ha sido verificada.
Sin embargo, cuentas creadas este fin de semana con direcciones falsas, continuaban activas hasta este martes, sin mostrar ninguna advertencia.
"Esto es un paraíso para los scammers," dijo Duindam a través de un mensaje vía Windows Live el martes.
Un atacante podría aprovecharse de este fallo como parte de un trabajo de ingeniería social, donde los usuarios podrían ser engañados para poner sus equipos en riesgo.
Por ejemplo, imaginemos como escenario una empresa que utiliza el correo instantáneo como parte de su rutina de trabajo diaria. Los usuarios podrían recibir un mensaje instantáneo de alguien que pareciera ser su jefe.
En este punto, las víctimas engañadas podrían ser redirigidas a un documento de Word malicioso, que podría instalar un keylogger para capturar todo lo ingresado por el teclado sin su conocimiento.
"En un solo golpe, usted podría ser el jefe, el gerente de recursos humanos o el encargado de contabilidad," escribió Chris Boyd, director principal de investigación de la compañía FaceTime Communications Inc.
Boyd dijo que si las cuentas falsificadas continuaban activas, Microsoft debería darlas de baja lo antes posible.
Pero esto podría ser complicado, especialmente si Microsoft no estaba enterada hasta ahora del problema, y por lo tanto no puede rastrear fácilmente las cuentas falsas ya ingresadas.
Fuente:
Microsoft flaw opened door to scammers, analysts say
http://www.networkworld.com/news/2007/061907-microsoft-flaw-opened-door-to.html
Glosario:
SCAM - Engaño con intención de estafa o fraude.
SCAMMER - Persona que realiza un SCAM.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|