Para terminar este artículo, vamos a estar siguiendo con el caso anterior, donde habíamos centrado los objetivos en una sola identidad... ¿qué más hay de ella? Pues, para empezar por algo, su identificador MSN. Aunque este servicio ya no exista como tal, puede revelar algo importante:
Se aprecian un nombre y un apellido ¿Se llamará realmente Nacho (Ignacio) o será un pseudónimo? Bueno, pues miremos qué cuentas de correo maneja. Una de ellas estaba alojada en Hotmail:
Y, buscándola en Google, se termina encontrando en páginas como:
Un anuncio en el que ofrecía un puesto de trabajo y en el que aparece información sobre la empresa que gestionaba en su día, pero ¿dónde tenía sedes?, ¿a qué se dedicaba?... Y ya es mala suerte que también haya utilizado esta dirección de correo para registrar algún que otro dominio web con ese correo. Pero es lo que tiene:
Sí. Parece que sí se llama Nacho. Juan Ignacio, en realidad. Y también se confirman sus apellidos, su correo y aparecen una dirección y unos teléfonos en que encontrarle. Pero si se sigue mirando los logs se puede seguir aprendiendo cosas sobre él. Como que le gusta el cine, las series y... las descargas:
Y es que si eso aparece ahí es porque tiene usuario y contraseña para acceder a dichas páginas. También se encontrará su número de teléfono móvil como login para la web de alguna empresa de telefonía:
Y sabremos que quizá haya cambiado de compañía. Porque el mismo número aparece para dos operadores:
Esta persona gestionaba, como vimos, algunos dominios web. Y también parece que utilizaba webs gratuitas, a las que, quizá, se registraba con nombre falso. Como casi todos. Así que aparecen más passwords de servicios de hosting:
Otra cosa que se puede deducir es que no se resigna a la soledad. O eso o es que tiene alguna relación contractual con algunos sitios “para gente soltera”:
Y que le va la marcha. En el buen sentido de la palabra, si es que alguno malo tiene. Dadas sus aficiones, quizá lea esto:
Si a alguien le cabía alguna duda, esto es lo que, a largo plazo, más miedo me da. Más incluso que que me roben una contraseña. Que con estas herramientas, o a causa de ellas, se pueda ir elaborando perfiles sobre las personas sin que éstas siquiera se lleguen a enterar. Por si teníamos poco con los del prisma ése.
Conclusiones
Quizá los stealers consigan robar menos contraseñas que los keyloggers. Aparte de que la información que obtienen puede no estar actualizada. Pero tienen también sus ventajas. Para empezar, porque no necesitan tener privilegios de administrador para hacer bien su trabajo. Les puede bastar con moverse en “userland” ya que, al fin y al cabo, sólo necesitan acceder a la información que maneja el propio usuario.
No necesitan realizar operaciones raras, como monitorizar el teclado y el ratón ni hacer capturas de pantalla. Les basta con leer ficheros y claves del registro a las que el propio usuario podría acceder.
No necesitan instalarse y perpetuarse en los ordenadores (aunque si lo consiguen, mejor para ellos). Con ejecutarse una vez ya tienen suficiente para robar cuantos datos puedan encontrar y, enviarlos a su “base” haciendo uso quizá de una ventana invisible de Internet Explorer. O incluso de una visible, que si se engaña bien al usuario y se ofusca un poco la URL posiblemente no se dé cuenta de lo que está pasando.
Y se ve que dan resultado. En la figura 3 de la primera parte del artículo aparecía un anuncio de alguien que vendía 50.000 cuentas. Tantas que es muy probable que la mayoría de ellas nunca se lleguen a utilizar para actividades ilícitas. Pero eso no me tranquiliza demasiado. Si peligroso es que alguien acceda a tus datos y servicios, tampoco es bueno que alguien piense que no va a conseguir vender nada y, para hacerse el apañao, lo publique todo en esos foros que hay por ahí. Porque entonces serán públicas no sólo nuestras contraseñas sino también una parte importante de nuestro historial de navegación.
De hecho, si yo tuviera tantas credenciales y fuera un desaprensivo de ésos, posiblemente trataría no de venderlas sino de rentabilizar la información de los perfiles y las “redes” de contactos y relaciones que se pueden deducir de ellas. Por poner una moraleja al final: Yo, por si acaso, la próxima vez que un programa te pregunte “¿Desea guardar esta contraseña?", le haría un corte de manga. No sea que...
****************************************************************************************
- Encontrar las guaridas de los ladrones de identidad (1 de 3)
- Encontrar las guaridas de los ladrones de identidad (2 de 3)
- Encontrar las guaridas de los ladrones de identidad (3 de 3)
****************************************************************************************
Figura 16: El correo es de "Nacho" |
Se aprecian un nombre y un apellido ¿Se llamará realmente Nacho (Ignacio) o será un pseudónimo? Bueno, pues miremos qué cuentas de correo maneja. Una de ellas estaba alojada en Hotmail:
Figura 17: Dirección de correo electrónico |
Y, buscándola en Google, se termina encontrando en páginas como:
Figura 18: Nacho ofreciendo trabajo |
Un anuncio en el que ofrecía un puesto de trabajo y en el que aparece información sobre la empresa que gestionaba en su día, pero ¿dónde tenía sedes?, ¿a qué se dedicaba?... Y ya es mala suerte que también haya utilizado esta dirección de correo para registrar algún que otro dominio web con ese correo. Pero es lo que tiene:
Figura 19: Registro whois de "Nacho" encontrado vía Robtex |
Sí. Parece que sí se llama Nacho. Juan Ignacio, en realidad. Y también se confirman sus apellidos, su correo y aparecen una dirección y unos teléfonos en que encontrarle. Pero si se sigue mirando los logs se puede seguir aprendiendo cosas sobre él. Como que le gusta el cine, las series y... las descargas:
Figura 20: Nacho "ama" el cine |
Y es que si eso aparece ahí es porque tiene usuario y contraseña para acceder a dichas páginas. También se encontrará su número de teléfono móvil como login para la web de alguna empresa de telefonía:
Figura 21: El número de teléfono de Nacho |
Y sabremos que quizá haya cambiado de compañía. Porque el mismo número aparece para dos operadores:
Figura 22: ¿Nacho migrando de operadora? |
Esta persona gestionaba, como vimos, algunos dominios web. Y también parece que utilizaba webs gratuitas, a las que, quizá, se registraba con nombre falso. Como casi todos. Así que aparecen más passwords de servicios de hosting:
Figura 23: Posible ID falso en hosting gratuito |
Otra cosa que se puede deducir es que no se resigna a la soledad. O eso o es que tiene alguna relación contractual con algunos sitios “para gente soltera”:
Figura 24: ¿Nacho buscando amistad? |
Y que le va la marcha. En el buen sentido de la palabra, si es que alguno malo tiene. Dadas sus aficiones, quizá lea esto:
Figura 25: A Nacho le gusta el hacking, ¿estás por aquí? |
Si a alguien le cabía alguna duda, esto es lo que, a largo plazo, más miedo me da. Más incluso que que me roben una contraseña. Que con estas herramientas, o a causa de ellas, se pueda ir elaborando perfiles sobre las personas sin que éstas siquiera se lleguen a enterar. Por si teníamos poco con los del prisma ése.
Conclusiones
Quizá los stealers consigan robar menos contraseñas que los keyloggers. Aparte de que la información que obtienen puede no estar actualizada. Pero tienen también sus ventajas. Para empezar, porque no necesitan tener privilegios de administrador para hacer bien su trabajo. Les puede bastar con moverse en “userland” ya que, al fin y al cabo, sólo necesitan acceder a la información que maneja el propio usuario.
No necesitan realizar operaciones raras, como monitorizar el teclado y el ratón ni hacer capturas de pantalla. Les basta con leer ficheros y claves del registro a las que el propio usuario podría acceder.
No necesitan instalarse y perpetuarse en los ordenadores (aunque si lo consiguen, mejor para ellos). Con ejecutarse una vez ya tienen suficiente para robar cuantos datos puedan encontrar y, enviarlos a su “base” haciendo uso quizá de una ventana invisible de Internet Explorer. O incluso de una visible, que si se engaña bien al usuario y se ofusca un poco la URL posiblemente no se dé cuenta de lo que está pasando.
Y se ve que dan resultado. En la figura 3 de la primera parte del artículo aparecía un anuncio de alguien que vendía 50.000 cuentas. Tantas que es muy probable que la mayoría de ellas nunca se lleguen a utilizar para actividades ilícitas. Pero eso no me tranquiliza demasiado. Si peligroso es que alguien acceda a tus datos y servicios, tampoco es bueno que alguien piense que no va a conseguir vender nada y, para hacerse el apañao, lo publique todo en esos foros que hay por ahí. Porque entonces serán públicas no sólo nuestras contraseñas sino también una parte importante de nuestro historial de navegación.
De hecho, si yo tuviera tantas credenciales y fuera un desaprensivo de ésos, posiblemente trataría no de venderlas sino de rentabilizar la información de los perfiles y las “redes” de contactos y relaciones que se pueden deducir de ellas. Por poner una moraleja al final: Yo, por si acaso, la próxima vez que un programa te pregunte “¿Desea guardar esta contraseña?", le haría un corte de manga. No sea que...
Autor: Enrique Rando
Escritor del libro Hacking con Buscadores
****************************************************************************************
- Encontrar las guaridas de los ladrones de identidad (1 de 3)
- Encontrar las guaridas de los ladrones de identidad (2 de 3)
- Encontrar las guaridas de los ladrones de identidad (3 de 3)
****************************************************************************************
Hermoso perfecta serie de posts. Saludos
ResponderEliminarExcelente toda la serie de posts. Aunque me ha dejado asustada con todo lo que se puede conseguir en Internet. Gracias por compartir la información.
ResponderEliminarMuy trabajados los tres posts, dejan al descubierto una mente perversa
ResponderEliminarFelicidades por el triple post xD.
ResponderEliminarComo moraleja podemos sacar que Pensamos que estamos seguros hasta que llega alguien como tu que nos demuestra que no.
Un saludo.
Naaaaaa!! q genio jajaj! uno no quiere q llegue el final de ninguno de tus post! la verdad devore esta secuela de artículos... tiras la migaja de pan para q sigamos el rastro... que bueno que la imaginación es el limite! muy bueno! como todo tu blog! bueno ya adule demasiado! gracias por compartir! abrazo!
ResponderEliminarMuy buen post, y un trabajo exhaustivo llevado hasta el final digno de un buen divulgador. Muchas felicidades por el blog.
ResponderEliminarEn el tema de las contraseñas para acceso web, no acabo de entender porqué no acaban de triumfar los tokens criptogràficos o smartcards y seguimos usando contraseñas. Mucho más inseguras y dificiles de recordar.
Un saludo,
JODER! ahora si me asuste
ResponderEliminar