Robo de contraseñas por email

Hace unas cuantas semanas (el 19 de noviembre) recibí este email en mi cuenta de Hotmail. Lo leí por encima y rellené el formulario sin pensar, o en realidad pensando “ya están dando otra vez la paliza estos de Hotmail” (recordando los correos que envían para ampliar la capacidad de la cuenta, etc.). Segundos después de darle al botón del formulario me di cuenta de que había hecho el capullo de mala manera: acababan de robarme mi contraseña de Hotmail.
Mirando el código HTML del email (que no voy a incluir para no ponérselo demasiado fácil a los script kiddies) he podido averiguar más o menos cómo funciona el ataque:

  1. El formulario contenido en el email está dirigido a un CGI de Hotmail que lo único que hace es redirigir la petición (post) a otra web cuya dirección es uno de los parámetros (hidden) del formulario. Con esto el atacante consigue que al apretar el botón el usuario atacado (en este caso yo) no vea la ventana del estilo “está siendo redirigido a otra página, ¿quiere continuar?”.
  2. La página a la que se redirige el formulario es un CGI que envía su contenido por email a una dirección que se incluye en uno de sus parámetros. En este caso el atacante usaba uno que ofrece una empresa de hosting (y que seguro que no tenía nada que ver con él). La dirección de destino es la misma que envía el email (servicios___de___usuarios___@hotmail.com). Por tanto, lo que acababa de hacer yo es enviar por email mi usuario y password de Hotmail a esta dirección.

En resumen, un ataque bastante elegante, efectivo (que me lo digan a mí) y en el que el atacante se expone realmente poco, porque la única pista que deja es una dirección de Hotmail que puede conseguir y consultar desde cualquier cibercafé.
Suerte que la contraseña de Hotmail no la uso para nada más, así que lo único que hice fue ir a cambiarla inmediatamente para evitar cualquier problema. Pero imaginaros que por ejemplo usara Passport para otras cosas, por ejemplo para comprar y vender en eBay…
Dentro de poco os explico otro caso de un email que le llegó a un amigo que simulaba venir de un banco online. Espeluznante…

4 comentarios en “Robo de contraseñas por email”

  1. Joder, menudos cabrones no?? La verdad es que como dices, han sido elegantes (lo de servicios de usuarios), se lo han currado.

    La pena de estas cosas es que muchos pueden darse cuenta de esa trepa (el 1%), pero el resto (99%) caen en ella.

  2. Yo, como la mayoría creo, hubiera caído a 4 patas. Vaya tela!

    Tendremos que santiguarnos cada vez que entremos en internet? si es que … confiamos demasiado en todo aquello que huele a empresa “seria”: Microsoft (de ahí el entrecomillado), Yahoo, etc …

  3. por eso tengo mi cuenta de hotmail para dos cosas: messenger y basura, asi me olvido de que me quiten la contraseña 😛

  4. Yo la cuenta de hotmail la utilizo únicamente para messenger… todos los emilios van directos a la basura automaticamente

Los comentarios están cerrados.