¿Es así como operaron los crackers?
Hace unas dos semanas recibí un emilio de procedente del señor Google. ¡Caramba! me dije, ¿desde cuándo me conoce?. Mi decepción fue descubrir que me invitaban (como a otros muchos) a entrar a usar la herramienta GTalk. No dejó de parecerme extraño porque GTalk hace rato que existe y se encuentra disponible de forma gratuita. Sin darle atención procedí a borrar el mensaje, sin abrirlo, dado que carecía de todo interés para mí.
Resulta que ayer me volvió a llegar dicha invitación a mi correo Google. Solo que en ésta ocasión mis antenas se encendieron. ¿Por qué razón Google insiste en hacerle propaganda a su herramienta?, me pregunté. No parece su estilo. Tal insistencia se semeja más a ésa especie de spam que compañías como Ringo y otras, difunden por la red de manera repetitiva y molesta, invitándolo a uno a que se afilie gratuitamente a sus programas.
Examiné con pinzas el mensaje y en efecto provenía de Google.com. A primera vista. Porque mirando con más detenimiento la dirección de correo de origen era . Eso indicaba claramente que los astutos creadores de éste mensaje, inventan la terminación gmall.com, tratando de camuflar una l por la i de Gmail, con el fin de pescar incautos.
Al abrir el mensaje la aparente autenticidad del emilio aumenta, dado que los timadores incluyen los logotipos auténticos de GTalk y Gmail (dentro del sobre) para reforzar la credulidad del recipiente del mensaje. ¿Y qué sucedía al pinchar el enlace al que invitan? Se abría una página de phising es decir una copia perfecta del original Gmail.com. Donde a lo único que invitan es a que la víctima ocasional escriba la clave personal y secreta que uno posee en Gmail. No lo hice por supuesto y tampoco lo recomiendo.
Treinta minutos después supe que uno de los autores de los blogs recientemente crackeados cayó en la trampa pocos días antes y sin saberlo le entregó su clave Gmail a los crackers que después (imagino) procedieron ir a buscar si tenía blog en blogspot.com (que como todos sabemos fue comprado por Google) y así tuvieron acceso ilegal a sus escritos y creaciones.
Propongo entonces que estemos atentos. No debemos entregar nuestra contraseña a nadie por ningún motivo. Hay gente a quien le han robado dinero de su banco a punto de esta misma estrategia que repito en inglés llaman phising. Propongo que en español la nombremos impostación.
¿Que opinan ustedes? Sería esto lo que les permitió a los “crackers” realizar los daños reportados últimamente?
Febrero 22nd, 2007 at 21:36
Alarmante. Eso está pasando con muchos de los otros proveedores de correo online. Hotmail y Yahoo! no se escapan de este “phising”. Gracias por darnos la alerta querido amigo.
Febrero 22nd, 2007 at 21:40
Pues la denuncia que haces me deja ver otra arista: no hubo un tal ataque a ciertos blogs en específico, por su contenido, sino pusieron una bomba cazabobos, él que cayó bum! igual pudo ser un blog erótico o de fotografías artísticas. O quizás buscaron uno que se adecuara a sus ideas, admito no conocer los mensajes que dejaron ni los blogs específicos, pero esta denuncia parece esclarecer que era algo como: caiga quién caiga…
Febrero 22nd, 2007 at 22:11
es lo más seguro, el phising está invadiendo nuestra privacidad cada día, también pudo ser por un blog “falso” que a la hora de dar en el link de los comentarios, abriera una ventana en la cual imitando la interfaz de blogger, los usuarios introdujeran su mail y contraseña de gmail para poder comentar, y ahí ocurriera el robo de estas claves, así que mucho ojo en que blogs se comenta, puede salir muy caro…
saludos
Febrero 22nd, 2007 at 23:14
Joan:
No sabía Joan que también lo están implementando con otros. Tampoco que Google tiene un botoncito para reportar “phising” y otras anomalidades. Aparece cuando uno le da “reply” al emilio que le llegó y sube a la flechita que está al lado del botón de “reply”. Me lo enseño Javier el autor de Bluelephant´s Ballad.
Gracias por tu comentario y nos leemos!
Jeanfreddy:
Lo que planteas es probable. Y quizá explique por qué tocó a dos autores no colombianos y a gente que no escribe sobre política, que parecía al principio ser la motivación común. Lo cierto es que no parece haber un “patrón” de persecusión.
Merks:
Tienes toda la razón. Esa es otra posibilidad y hay que tenerla muy en cuenta. No lo había pensado… y como cada rato entro a comentar en los blogs de mis colegas en Blogger…
Gracias por la advertencia.
Febrero 22nd, 2007 at 23:29
Febrero 22nd, 2007 at 23:38
Muy oportuna tu alerta. Esto de la solidaridad digital va cogiendo forma. Mi inquietud es: ¿Dejaremos de hacer comentarios en bloguer por temor a que nos roben las contraseñas?
Creo que la solidaridad se debe complementar con una actitud alerta, atenta. Que denunciemos, pero que no dejemos de expresarnos libremente y de comentar en donde se nos antoje. Solidaridad creativa, debería ser.
Febrero 23rd, 2007 at 0:06
De ninguna manera, respondo yo. Hay que seguir comentando, y profusamente, pero manteniendo las antenas puestas para no caer en trampas como la que describo aquí.
Me encantó como la llamas: “solidaridad creativa”
Febrero 23rd, 2007 at 0:10
Hola,
Sólo quería hacerte saber que se puede modificar la dirección de correo origen para que sea la que se desea. Es decir podría utilizarse la dirección perfectamente. De hecho alguna vez un compañero y yo hemos probado a editar un mensaje y a enviarlo en formato texto y se puede editar casi todo.
Así que mucho ojito con el temita.
Febrero 23rd, 2007 at 0:37
Gracias por el dato. No lo sabía y me parece que nos debe poner muy alertas. Según eso estos tipos son torpes. Gracias por tu comentario
Febrero 23rd, 2007 at 9:36
Muchisimas gracias por publicar esto. Yo soy bastante cuidadoso con este tipo de mails, pero tengo muchos amigos que no tienen muchos conocimientos de estas tecnicas y es bueno alertarlos para que no caigan en este tipo de ingenieria social.
Cada vez evolucionan un poco los metodos, pero a la larga siguen dependiendo de que el usuario sea el que les de los datos voluntariamente. Lo que hay que crear es un poco de conciencia en el uso de la web y a quien se le envian los datos personales.
Saludos.
Febrero 23rd, 2007 at 9:43
Minos:
Tienes razón, cada día se ingenian cosas nuevas y por eso hay que estar alertas. No es fácil a medida que crece el spam y los mensaje desechables. Pero difundir estas historias nos enseña a todos a estar alertas. Gracias por tu visita y tu comentario.
Febrero 23rd, 2007 at 15:33
En un mensaje que mandaron a los correos institucionales de la Universidad Nacional, traducen phishing como “pesca milagrosa”.
Febrero 23rd, 2007 at 16:51
Me parece muy largo, Julián. Es muy bueno, porque describe muy gráficamente el fenómeno, pero creo que es un colombianismo. Encontré otro término mejor que impostación. ¿Qué te parece si lo llamamos suplantación digital?
Febrero 23rd, 2007 at 18:50
Álvaro es genial, me parece fantástico el aviso que has lanzado, yo acabo de hacer lo propio en mi blog. Si te digo la verdad no sé si realmente fuere la causa del ataque, pero es una posibilidad, y está bien avisar a los demás usuarios
Febrero 23rd, 2007 at 20:31
WOW PLOF!
Febrero 23rd, 2007 at 21:45
Pues es una posibilidad …. habrá que preguntarle a los afectados si recibieron algo así. Si es que quedó donde escribirles
Buen dato.
Febrero 24th, 2007 at 6:36
Gracias por la alerta, hare lo mismo en mi blog indicando el tuyo como la fuente de información.
¡Saludos! =)
Febrero 24th, 2007 at 10:13
Ayer fui a visitar al administrador del blog sunburn que también es coadministrador de rockandalcohol y me comentó que efectivamente había recibido y había entrado con el enlace del mail. Incluso me comentó que todavía lo tenía en su cuenta, lo malo es que aunque su blog está online no tiene acceso a él de momento ni a su cuenta gmail.
De Reflexiones al Desnudo no tengo noticias y memoria de una desmemoriada, está indignada con esta posibilidad, pero no afirma ni niega nada.
Febrero 24th, 2007 at 12:34
Hola Álvaro y compañía, empiezo por un gracias, siempre lo hago y si quisiera advertir de algo…
Un amigo conocido a través de la Red en estos días de suplicio, me dejó publicar un artículo para dar las gracias, tengo 2 manos, y 10 dedos, no soy superwoman, y del supuesto ataque, hace una semana.. y antes de que llegue a mayores..
Os dejo el enlace de mi artículo, para que lo leáis, es daros las gracias, y apuntando certezas, no “cazas de brujas” que hace muchos años estaban de moda con McCarthy, pero al día de hoy están pasadas de moda.
http://bolsanegra.com/2007/02/23/en-vista-de/
Espero Álvaro que lo leas, y que si crees oportuno lo lances a la red, sabes que “lo bien hecho bien parece”, y soy de esa condición. No me gustan ni portavoces, ni intermediarios, pero soy consciente que soy humana.. y no puedo llegar a todos los sitios donde yo quiera… es cuestión física..
Al igual que las personas que aparecen comentando, les doy mi permiso para que después de leerlo y lo creen oportuno, lo lancen a la Red..
Os doy las gracias a todos, y si os pido por favor, siempre por favor, que lo leáis, contiene información a día de ayer viernes.. y será en el único sitio donde aparecerá más información cuando la tenga, ahora no la poseo.
Carmen de UBH, sabe que no es que esté indignada, es que ya tengo el pelo rizado, pero los detalles prefiero que los leáis.
Un abrazo.. de a saber que pasará con Memori@ De Un@ Desmemoriad@
Febrero 24th, 2007 at 16:20
Querido Álvaro: La mayoría de los ataques son pura ‘ingeniería social’. Es muy posible que esa haya sido una de las vías para capturar las contraseñas. Invitaré a mis lectores a leer este post. También lo recibí y lo ignoré; ahora veo que he debido dedicarle tiempo, pero para revenir. Un abrazo y gracias por este post.
Febrero 25th, 2007 at 1:35
Alvaro, está muy bien publicar y denunciar las tretas de la gente de “caos”. La fortaeza de los bloggers radica en la capacidad que tienen para actuar coordinadamente y prevenirse mútuamente en cuanto aparezca una amenaza. Claro, sin caer en la paranoia. Saludos.
Febrero 25th, 2007 at 2:27
[…] Para encontrar mayores detalles los invito a leer este muy buen post de Ãlvaro en Ojo al Texto. […]
Febrero 25th, 2007 at 2:40
Estoy mucho más de acuerdo con la versión de la Ing. Social…es que rastrear a la gente no es TAN DÍFICIL…y si lo hacen en la vida real porque no en lo VIRTUAL?
Febrero 25th, 2007 at 3:19
Yo si estaba seguro que ese mensaje no era de fiar, por dios, es que es muy extraño que Google haga eso…
Febrero 25th, 2007 at 6:36
Hola, Álvaro. Gracias por la Alerta efectivamente a mí también me mandaron esos correo, pero inconscientemente dije (en mi mente) yo ya tengo Gtalk, entonces para que lo vuelvo a Instalar (pensé).
Me llegaron 2 correos, los leí (ambos decían lo mismo). Después de leer este artículo, fui y abrí mi correo, noté que todavía estaban ahí los correos de Gmail, pero la sorpresa fue que tu estaba en lo correcto sale gmall.com
Increíble, lo que se inventa la gente para tumbar a los demás.
Saludos.
Febrero 27th, 2007 at 16:35
No solo hay que tener cuidado con GmaiLL, este tipo de ataques “phishing” suele usarse para falsificar entidades bancarias, o cualquier web que nos permita manejar dinero online.
Mucho cuidado.
Febrero 28th, 2007 at 0:20
A mí me pasó algo similar. Me enviaron un correo de dizque la administración de gmail, diciendo que si no actualizaba mis datos de inmediato iban a cerrar mi cuenta de correo en 72 horas.
Lo curioso es lo mismo que vos indicás, usaron logos de Gmail, pero al ver la dirección del correo de envío no tenía nada que ver. Además, el mensaje venía en portugués. Lo reporté a Google, pero nunca recibí respuesta. Y mis dos cuentas de gmail siguen funcionando, así es que no hay que hacer caso a estas “amenazas”.
Igual me han llegado cosas de PayPal (con quien no trabajo) o de bancos, todos instándome con urgencia a verificar mis datos. Hay que estar muy alerta con estas cosas.
Marzo 5th, 2007 at 22:40
Es alarmante pero no debe cundir el pánico. Llevan detrás de mí hace mucho tiempo, lo noto por el tipo de e-mails que recibo y que van directamente a la basura, hasta que me canse y lo pase por via legal. Os aviso de que los e-mails solo spams si no deseáis recibirlos y se hacen insistentes, se puede denunciar. Solo es enviar un e-mail a una dirección y listo. Así como se puede denunciar cualquier tipo de acoso u hostigamiento.
Os quiero comentar también que Blogger tiene muchos fallos y que últimamente ha estado con problemas técnicos.
De todas formas es muy importante lo de la contraseña. Se debe utilizar una contraseña con letras, números y signos, que dificulte el acceso a nuestros datos.
Te quiero comentar Alvaro, que con tu permiso voy a enlazarte en mi blog para que mis amigos te visiten y lean este interesante post.
Pero ya os repito que no debe cundir el pánico, solo debemos ser cautelosos siempre. El mundo blogero es fascinante, pero hay mucho psicópata en la red.
Saluditos.
www.bohemiamar.blogspot.com
Marzo 14th, 2007 at 3:05
[…] Revisar cuidadosamente emails enviados por Google/Gmail. Este tipo de mensajes no son enviados generalmente por esta empresa y muchas veces encubren sitios maliciosos -con diseño y apariencia muy similares a los originales- que capturan su usuario y password de correo o weblog, permitiendo la entrada libre a cualquier atacante. [Post relacionado]. Esta recomendación vale para cualquier sitio o servicio. […]
Marzo 14th, 2007 at 17:17
[…] Revisar cuidadosamente emails enviados por Google/Gmail. Este tipo de mensajes no son enviados generalmente por esta empresa y muchas veces encubren sitios maliciosos -con diseño y apariencia muy similares a los originales- que capturan su usuario y password de correo o weblog, permitiendo la entrada libre a cualquier atacante. [Post relacionado]. Esta recomendación vale para cualquier sitio o servicio. […]
Marzo 15th, 2007 at 21:22
whois gmall.com
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: GMALL.COM
Registrar: NETPIA.COM, INC.
Whois Server: whois.ibi.net
Referral URL: http://www.ibi.net
Name Server: NS.CAFE24.COM
Name Server: NS2.CAFE24.COM
Status: ok
Updated Date: 26-feb-2007
Creation Date: 06-mar-2000
Expiration Date: 06-mar-2008
>>> Last update of whois database: Thu, 15 Mar 2007 20:19:54 UTC
Marzo 15th, 2007 at 21:22
Registrant:
Imagedrome, Inc.
Domain Name: gmall.com
Registrar: NETPIA.COM, INC.(http://www.ibi.net)
Administrative Contact:
Sang-Jean Hong
Kangnamgu #211 UnionCenter 837-11 Yoksamng, Seoul, KR
+82.081233
Technical Contact:
Sang-Jean Hong
Kangnamgu #211 UnionCenter 837-11 Yoksamng, Seoul, KR
+82.081233
Billing Contact:
Sang-Jean Hong
Kangnamgu #211 UnionCenter 837-11 Yoksamng, Seoul, KR
+82.081233
Record created on……..: 05-Mar-2000 EDT.
Record expires on……..: 06-Mar-2008 EDT.
Record last updated on…: 26-Feb-2007 EDT.
Domain Name Servers in listed order:
NS.NURI.NET
NS.CAFE24.COM
NS2.CAFE24.COM
Please register domain name at www.ibi.net