Searmó un revuelo bastante grande por la publicación anónima de miles deusuarios y contraseñas pertenecientes a Hotmail, Gmail, Yahoo y otroswebmails. En realidad el revuelo lo armaron los propios portales denoticias, algunos blogs y medios... desde el primer momento Microsoftdescartó una filtración en sus sistemas y dejó sobre la mesa alphishing, incluso en la publicación daban consejos para evitarlo.
Sin embargo, en más de un sitio llegué a leer cosas como que ahoratodos los usuarios debíamos cambiar nuestras contraseñas lo antesposible...
10, 20 mil cuentas... no son nada:
La siguiente imagen pertenece a una página que permite robar contraseñas de Hotmail, Gmail, Yahoo, Facebook y MySpace.
Si observas el menú de la izquierda notarás que incluso hay instrucciones para utilizar el sitio, cualquiera lo puede hacer, hasta el usuario con menos conocimientos, de hecho cuando se captura una víctima su contraseña nos llega por correo. También hay un menú con los que "Ya Cayeron" y las "Víctimas Pendientes"... más intuitivo no lo podían hacer.
En las instrucciones se explica el funcionamiento de todo el mecanismo, por ejemplo para robar cuentas de Facebook se pueden enviar mensajes que simulan ser invitaciones de amigos, la víctima cuando abre el correo y pincha en el enlace recibido accede a una web falsa que, si bien en apariencia es similar a Facebook, en realidad es la web de los atacantes (basta con chequear la URL para notar que se está en otro sitio).
Parece Facebook, pero en realidad es otro sitio -ver URL-, al introducir la contraseña se envía a los atacantes.
Como vemos, robar contraseñas de esta forma es muy sencillo, notenemos que tener muchos conocimientos -ni para evitar ser víctimas- yademás, no sólo nosotros las podemos ver, también los administradoresdel sitio
La web del ejemplo está actualmente operativa y es muy conocida, dehecho está en el Top 100 mil de Alexa, lo que se traduce en un tráficodiario de visitas bastante interesante (2 o 3 mil por díaaproximadamente).
¿Cuántas contraseñas almacenadas tendrán en su base de datos?, dadoel perfil de muchos internautas que desconocen los métodos de phishingy suelen introducir su contraseña en cualquier sitio, yo apostaríaseguro a más de 10 mil.