Orkut

logo de OrkutAyer recibí la invitación para registrarme en Orkut, la comunidad de la que tanto se habla (quizá porque está afiliada con Google) y de la que no se sabe muy bien la utilidad. Ya estoy apuntado, a ver qué tal.

Robo de contraseñas bancarias por email

Tenía pendiente desde hace unos días explicaros un intento de robo de la contraseña de un banco a través del email. Le pasó a finales de enero a un amigo.
La cuestión es que le llegó un email con este texto (el nombre del banco lo oculto):

iQuerido y apreciado usuario de NombreBanco!
Como parte nuestro servicio de proteccion de su cuenta
y reduccion de fraudes en nuestro sitio web, estamos pasando
un periodo de revision de nuestras cuentas de usuario. Le
rogamos visite nuestro sitio siguiendo link dado abajo. Esto
es requerido para que podamos continuar ofreciendole un
entorno seguro y libre de riesgos para enviar y recibir dinero en
linea, manteniendo la experincia de “NombreBanco”.Despues del
periodo de verificacion, sera redireccionado a la pagina principa
de “NombreBanco”. Gracias.

Después de este texto, se incluía un enlace que a simple vista parece apuntar a la web del banco en cuestión.
En realidad, el texto del link sí que es la dirección del banco, pero el enlace apunta a otro sitio. Concretamente, esta es la dirección de destino del enlace:
http://www.nombrebanco.es%01%01%…así muchos más…%01%01@207.150.192.12/temp/sellarts/servin.html

Esta dirección tiene las dos siguientes características:

  1. Mediante toda la cadena de %01 aprovecha un fallo de Internet Explorer que hace que éste muestre en la barra de navegación sólo la primera parte de la dirección, es decir, la que parece apuntar a la web del banco. Con esto, al usuario atacado le parecerá que está en la verdadera web.
  2. La especificación de URLs permite el siguiente formato (lo explico simplificadamente): http://usuario@maquina/directorios/ En la dirección anterior se puede ver que hay una arroba. Por tanto, en realidad ese enlace apunta a la web que está en la dirección 207.150.192.12, accediendo con el usuario “www.nombrebanco.es%01%01%01….”. Esa dirección tendrá simplemente un formulario simulando la imagen del banco y que una vez que introduzcamos nuestro usuario y contraseña nos dirigirá a la web del banco, después de guardar nuestros datos para disfrute de los atacantes.

Mi amigo no cayó porque el email le pareció demasiado cutre (incluso con errores tipográficos) para venir del banco. Es curioso que los crackers prepararon bien todos los detalles técnicos, que probablemente es lo más dificil, y descuidaron la parte más fácil.
El bug de Internet Explorer que mostraba la dirección incorrecta en la barra de navegación ya está corregido en un parche que publicó Microsoft hace poco.
No he publicado el nombre del banco porque el banco como tal no tiene ninguna responsabilidad en la vulnerabilidad que se ataca (es de Microsoft).
La única cosa que pone en duda la seguridad del banco es el hecho de que un cracker pueda tener el email de un cliente del banco. Me gustaría saber cómo han conseguido en este caso los atacantes una lista de emails de clientes.

Restaurantes para calçotades

calçots y salsa romescoAhí va una lista de restaurantes que me han recomendado algunos amigos para hacer calçotades. Yo todavía no he estado en ninguno de ellos, así que no puedo opinar de primera mano. Están ordenados más o menos de mejor a peor, pero según me dicen todos están bien:

  • Masia Bou
  • La Premsa. Salomó-Tarragona. 977629064.
  • El molí del Mallol. Muralla Sta Anna, 2 – 43400 Montblanc – Conca de Barberá . Tel. 977 860 591 – Fax 977 862 683. “Los calçots son los mejores que he probado. El sitio no es muy auténtico, parece un sitio de bodas. Está al lado de Montblanc.”
  • Casa Felix. Valls. “Tienen fama. Más bien caro”.
  • Cal Mosso
  • El Vinyet – Ctra. de Santes Creus, km 2’5 – Telf. 977 63 91 99
  • Masia del Plà . Ctra. de Valls, s/n. Telf. 977 63 05 11. “Está en el medio de la nada”.

Comentarios sobre estos u otros restaurantes recomendables son bienvenidos.

ACTUALIZACIÓN: Más información en: ¿Restaurantes de calçots en Tarragona?

Robo de contraseñas por email

Hace unas cuantas semanas (el 19 de noviembre) recibí este email en mi cuenta de Hotmail. Lo leí por encima y rellené el formulario sin pensar, o en realidad pensando “ya están dando otra vez la paliza estos de Hotmail” (recordando los correos que envían para ampliar la capacidad de la cuenta, etc.). Segundos después de darle al botón del formulario me di cuenta de que había hecho el capullo de mala manera: acababan de robarme mi contraseña de Hotmail.
Mirando el código HTML del email (que no voy a incluir para no ponérselo demasiado fácil a los script kiddies) he podido averiguar más o menos cómo funciona el ataque:

  1. El formulario contenido en el email está dirigido a un CGI de Hotmail que lo único que hace es redirigir la petición (post) a otra web cuya dirección es uno de los parámetros (hidden) del formulario. Con esto el atacante consigue que al apretar el botón el usuario atacado (en este caso yo) no vea la ventana del estilo “está siendo redirigido a otra página, ¿quiere continuar?”.
  2. La página a la que se redirige el formulario es un CGI que envía su contenido por email a una dirección que se incluye en uno de sus parámetros. En este caso el atacante usaba uno que ofrece una empresa de hosting (y que seguro que no tenía nada que ver con él). La dirección de destino es la misma que envía el email (servicios___de___usuarios___@hotmail.com). Por tanto, lo que acababa de hacer yo es enviar por email mi usuario y password de Hotmail a esta dirección.

En resumen, un ataque bastante elegante, efectivo (que me lo digan a mí) y en el que el atacante se expone realmente poco, porque la única pista que deja es una dirección de Hotmail que puede conseguir y consultar desde cualquier cibercafé.
Suerte que la contraseña de Hotmail no la uso para nada más, así que lo único que hice fue ir a cambiarla inmediatamente para evitar cualquier problema. Pero imaginaros que por ejemplo usara Passport para otras cosas, por ejemplo para comprar y vender en eBay…
Dentro de poco os explico otro caso de un email que le llegó a un amigo que simulaba venir de un banco online. Espeluznante…