Ataque de Phising: QuienTeAdmite.com

martes, 18 de marzo de 2008

www.QuienTeAdmite.com en MSN Messenger

En la seguridad informática se establece, como norma general, para la elección de contraseñas una determinada longitud, uso de caracteres alfanuméricos y símbolos, evitar usar palabras comunes, nombres propios, apellidos, de familiares, mascotas, fechas de cumpleaños, números de identificación, números de teléfono, matriculas, … de forma que sea complicado el robo de dichas contraseñas.

En este enlace se puede ver, según el tipo de contraseña, cuanto se tardaría en descubrirla mediante ataques de fuerza bruta.

Pero existen otras formas mucho más fáciles de obtener contraseñas: mediante la ingeniería social, es decir, engañando al usuario. Incluso se puede ir un paso más allá, cuando el usuario da su contraseña voluntariamente.

Como ejemplo podemos citar la conocida página para ver que contactos del MSN Messenger te ha eliminado o quitado la admisión www.QuienTeAdmite.com (aunque existen muchos clones de esta página, y es fácil comprobar que QuienTeAdmite.com no funciona y las demás tampoco). En ella debemos iniciar sesión con nuestra cuenta de correo para que el programa compruebe a los usuarios y determine cuales nos han eliminado o no nos admiten. Se trata de una página simple, que no usa ningún protocolo de seguridad y en la que los usuarios deben hacer acto de fé y fiarse del aviso: “(NO almacenamos su contraseña)” escrito debajo del campo para introducir la contraseña y en la política de uso. Sin embargo se trata de una página programada en PHP, donde es extremadamente sencillo guardar usuario (cuenta de correo) y contraseña en una base de datos. Además este supuesto código sería ejecutado en el servidor por lo que quedaría oculto al usuario.

Y no solo se trata de una cuenta de correo ya que la mayoría de usuarios guarda correos importantes, correos con datos bancarios, correos con otros usuarios y contraseñas, …

La solución es sencilla, basta con no usar servicios de este tipo, y en caso de haberlos usado modificar la contraseña inmediatamente después en las opciones del servidor de correos.

No quiero decir que QuienTeAdmite.com haga esto, pero si que es posible, fácil, e indetectable. Y lo mismo es aplicable a otras páginas que ofrecen servicios similares, la elección de esta página en particular se debe a que prácticamente cada día veo a algún contacto de mi lista que lo usa y ni siquiera se paran a pensar en las posibles consecuencias de sus actos.

Además, para acabar, veamos otro punto a favor de incrementar la desconfianza que inspira este sitio en un fragmento de los términos y condiciones de uso:

[…] QuienTeAdmite.com en NINGÚN caso almacenará direcciones de correo electrónico ni contraseñas ingresadas en su sistema y no brindará datos de los usuarios que utilicen sus servicios a terceros sin su previo consentimiento.

Si alguna persona considera que QuienTeAdmite.com viola algún tipo de disposición, regla o norma vigente por favor póngase en CONTACTO (info@quienteadmite.com) con QuienTeAdmite.com antes de tomar medidas que puedan perjudicar al sitio.

Al utilizar los servicios de QuienTeAdmite.com el usuario acepta los presentes Términos y Condiciones. […]

Se podría comentar que como es posible vender o brindar datos de los usuarios del sistema a terceros (con o sin consentimiento de dichos usuarios) si no se almacenan dichos datos. Sobre el segundo párrafo no hace falta siquiera comentar nada, es bastante elocuente por sí mismo.

Actualización: Al intentar entrar a la página web QuienTeAdmite.com el módulo anti-phishing de la suite antivirus Kaspersky Internet Security 6.0 la identifica como una amenaza de ataque por phishing, es decir, de robo de contraseña. Como una imagen vale más que mil palabras simplemente vean:

www.QuienTeAdmite.com vs. Kaspersky Anti-Phising

Por lo tanto no soy el único que alberga dudas sobre este programa…

También la herramienta SiteAdvisor de McAfee nos previene sobre QuienTeAdmite.com.

Y en el sitio PhishTank, www.QuienTeAdmite.com se encuentra listado como amenaza de phishing.

Todo lo anterior es aplicable también a las distintas versiones de esta web que hay en internet, como por ejemplo www.checkmessenger.net, www.quienteadmite.info, www.scanmessenger.com, www.medesadmite.com, … Por lo que se recomienda no usar ninguna de ellas.

Artículos relacionados


Clawder por em@il Clawder Feed Twitter

2 comentarios:

Raul dijo...

Es increible que en estos tiempos aun haya gente q caiga en trampas asi, realmente me da risa ni vuelta q darle al asunto es cuestion de tener un poquito de nocion sobre el cuidado de una cuenta de correo, pero bueno asi es el mundo del internet hay de todo a cuidarse nomas de estos estafadores de M.

Anónimo dijo...

Hola, me gustaria hacer algunas acotaciones sobre phishing y sobre los sitios que te dicen quien te borro del msn.
Para que el phishing se cumpla como tal tienen que darse 2 factores, 1º el engaño y 2ºla estafa, sin eso no hay phishing.
Los sitios de phishing, emulan ser un sitio web que no es y cuando el usuario introduce sus datos son almacenados para luego cometer el delito.
Es por esto que los sitios que te indican quien te borro del msn no deberian ser catalogados como sitios de phishing por que no emulan ser otro sitio web ni tampoco podemos comprobar realmente que se hace con los datos ingresados.
Tal vez podamos catalogarlos de inseguros, de sospechosos, pero de phishing jamas por que no se cumplen los 2 requisitos basicos, ni el engaño ni la estafa.
Seria lo mismo que acusar a todos de asesinos seriales por tener cuchillos en nuestras casas !

Una cosa es la duda y otra cosa es el phishing, el cual esta encuadrado dentro de un delito penal.
Tambien me pregunto, por que los tantos clones del messenger, ya sea AMSN, Miranda, etc, no son catalogados como phishing? Si utilizan el mismo sistema de logueo que utilizan los sitios para saber quien te elimino del msn?
Por que nadie sospecha de badoo?
Por que nadie sospecha de Sexy o no?
Los ciber cafes harian phishing? Por que tranquilamente podrian almacenar mis datos.
Si abro el msn en la PC de un amigo, mi amigo seria sospechoso de phishing por que quizas guarde mis datos?

Por favor no nos equivoquemos y tengamos en claro el concepto de la palabra phishing, lo cual es engañar al usuario para luego cometer la estafa.
Gracias