Ingeniería Social
Publicado por ICeman - 16/01/08 a las 01:01:45 amY el subtítulo sería “Qué hijos de puta”. Vamos a hablar de seguridad, pero no de “hackerancia” o de “crackerismo”. Vamos a hablar de algo más simple, de cómo pensamos y nos comunicamos.
Hace cosa de dos años tenía un sueño como Martin Luther King. En ese momento me gasté unos cientos de morlacos en registrar una marca, y de paso cañazo me hice un sitio pedorro con el dominio .com.ar y el .com registrados y apuntando a las mismas páginas. Oh, mi primer parkeo.
Por supuesto que también tenía un mail en ese dominio. La idea era programar, y usar mi PyME unipersonal para distribuir mis programas en un esquema similar al que usa MySQL AB para currar con el software libre, sin que deje de ser libre por supus.
Pero conociéndome a mí mismo, nunca programé un carajo. En un momento de alpedismo aún más supremo, flasheé con una consola re-copada donde los juegos sean libres e interoperables con PC (pero tendrían mejor rendimiento en teoría ya que la consola no desperdiciaría recursos en correr un montón de servicios inútiles como hacen los sistemas operativos que usa la gente para jugar) y cualquier boludo programe juegos en su PC y los distribuya sin problemas, y cualquier idiota los baje de “la Internet” a través de un cómodo conector de red (ahora que lo pienso, debería haberle puesto wi-fi en la especificación). La consola de mierda sólo quedó en una fantasiosa presentación disfrazada de especificación bilingüe con el draft y unos esquemas. Recordando a Tendero Digital, aunque esté en la presentación, no está hecho.
Obviamente nadie se tomó en serio los PDFs, ni los leyó. Excepto alguien llamado Brian (ése es su nombre real, y no voy a dar más datos sobre él). Brian leyó la especificación y me envió al mail sus ideas, etc. Yo le expliqué en cordial inglés que el proyecto ni siquiera estaba en pañales, sino que era un feto ya abortado por la Iglesia.
Debe ser el único mail que recibí a esa dirección sin ser spam.
Pasaron casi dos años, y volví a recibir un mail de Brian a esa dirección. El nuevo mail estaba también en inglés ya que él es yanqui. El mail decía que estaba haciendo no-sé-qué-mierda en África (alguna misión humanitaria) y que perdió su bolso en un taxi de Nigeria y me pedía u$s 2000 para volver. A lo cual mi mente dijo:
- Cualquier e-mail en inglés que hable de África (o un país africano) y de guita satisface la expresión regular ~/s(c|p)am/
- El punto anterior demuestra que soy un pésimo programador y mi PyME estaba condenada.
- Brian nunca tuvo ninguna confianza conmigo como para manguearme dos lucas verdosas.
- En el mail ni siquera menciona mi nombre o el suyo, es totalmente impersonal y prefabricado.
Pero a su vez hay otras cosas que consideré (sin siquiera tener que mirar los encabezados o hacer reverse DNS a la IP ni ninguna de esas mierdas):
- Yo la tenía registrada de algún lado a esa dirección.
- Él realmente me tenía en su libreta de direcciones.
- En el mail no me pide entrar a ninguna URL fraudulenta, ni pasar mi plata de Paypal a la cuenta de un tercero, ni nada tan asquerosamente obvio. Simplemente que responda a la misma dirección.
La conclusión que saqué después de pensarlo mucho, tomarme dos caipiroskas, fumarme un pinito y violarme al rottweiler de mi vecino, era que algún “juanker” le juankeó la cuenta de Hotmail a Brian. Y que tal vez ese juanker sea sólo un script de mierda de un sitio pedorro para averiguar quién te bloqueó, o alguna otra boludez que roba passwords (el mail era un Ctrl+C Ctrl+V).
Como los juankers/lamers/script kiddies estaban esperando la respuesta en la misma cuenta de Brian, significa que le hicieron un secuestro completo de la misma y le cambiaron el password por lo que el verdadero Brian no podría entrar a su mail.
O tal vez me equivoco, y Brian simplemente es un idiota que perdió su bolso en un país del cuarto mundo y se le ocurre pedirle dólares a un argentino postdevaluado (y encima soy rata, justo a mí).
Pero seguramente los juankers le enviaron el mismo mail a toda la libreta de direcciones de Hotmail de Brian. Y ese mail lo recibieron los parientes y amigos yanquis de Brian, que siempre reciben mails en inglés, y que tienen los u$s 2000 como para enviárselos.
De hecho, un primo mío en Alemania me envió una vez €120 a mi cuenta de PayPal, durante una fea sequía económica mía. Si me enviara un mail pidiendo que le devuelva el favor tendría que desembolsar la tarasca. Al menos me aseguraría antes que sea realmente él y que siga teniendo el control sobre su cuenta de mail y de PayPal.
Y quizás, algún pariente no muy cercano no sepa que Brian no está varado en Nigeria sino jugando en su casa a la Nintendo Wii, y no tenga otra forma de contactarlo excepto su mail y MSN (que son lo mismo) ahora en poder de juankers que se hacen pasar por él.
Es importante recalcar eso de que el mail y el chat usen la misma cuenta y password, y no es sólo problema de Mierdasoft, lo mismo pasa con Gmail/GoogleTalk, o Yahoo Mail/Yahoo Messenger.
No te va a pasar con un combo del tipo Hotmail/ICQ o Gmail/Skype. En ese caso habría una voz diciendo dame plata
y otra voz diciendo no le des nada que no soy yo
.
Y otra cagada, es guardar los passwords de otras cuentas en la bandeja de entrada del webmail, ahí no te salva ni el chapulín colorado. Para más información leer las anotaciones técnicas del Maligno al respecto de la seguridad en los webmails.
Conclusión: olvidate de chequear los encabezados, de revisar las IPs y rastrear los ETags… no sos Bruce Schneider ni tenés que serlo. Dale un medio de contacto alternativo a tus amigos, como tu teléfono fijo o celular, o difundí cuentas alternativas de contacto, tanto de mail como de mensajería instantánea que no pertenezcan al mismo monopolio o no se accedan con el mismo login.
Ante la duda, que tengan una forma de contactarte salteándose las cuentas presumiblemente hackeadas. Algo tan simple como un SMS…
También ayudaría no guardar tanta información personal en el webmail, y por supuesto, el password de tu mail/chat es secreto, no se le dá al pervertido de la esquina ni al sitio garca que promete mostrarte los bloqueados. Como la propaganda de no seas como Beto
, no seas como Brian. No dejes que unos soretes le saquen plata a tus parientes y amigos y que después tus conocidos te quieran cagar a piñas por no cuidar el password de un mail choto.
PD: para los no-iniciados en estas oscuras prácticas de la magia negra y el yoga erótico, se le llama ingeniería social a las técnicas de hacking que no incluyen grandes hazañas técnicas sino engañar a los ingenuos para que caigan… lo más viejo del mundo bah.
9 Comentarios »
RSS feed para los comentarios de esta entrada. TrackBack URI
Dejar un comentario
- arte (61)
- anime (1)
- cine (11)
- literatura (5)
- musica (38)
- TV (4)
- bizarro (28)
- ciencia (4)
- deportes (1)
- humor (22)
- memes (6)
- miniposts (15)
- personal (51)
- politica (26)
- libertad (10)
- Sin clasificar (14)
- sociedad (31)
- tecnologia (110)
- diseño web (25)
- DRM (1)
- GNU/Linux (19)
- Microsoft (20)
- multimedia (9)
- P2P (10)
- programación (6)
- Alejo
- Alt-Tab
- Crimpis
- el tracking de Alejo
- Fabio Baccaglioni
- Federico García
- Gran Ímpetu
- Hernan
- Javier Salinas
- Juan Pablo
- Kriptopolis
- Mariano Amartino
- Nats Vicio
- Nicolas
- Nicolás Padula
- Tío Rubo
- Tincho Salinas
- Zer0′s Corner
¿Para que usas computadoras?
- Para aprender cosas nuevas (67%, 4 Votes)
- Para comunicarme (67%, 4 Votes)
- Para informarme (67%, 4 Votes)
- Para trabajar (67%, 4 Votes)
- Para matarme a pajas (83%, 5 Votes)
- Para entretenerme (musica, etc) (83%, 5 Votes)
- Para jugar (-334%, 5 Votes)
Total Voters: 6
Loading ...
Esta obra está licenciada bajo una Licencia Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5 .
Este blog funciona gracias a WordPress con el theme GimpStyle diseñado por Horacio Bella.
Entradas y Comentarios feeds.
XHTML y CSS válidos.
Cuantos de nuestro amigos cayeron en ese troyano o lo que fuese del MSN…
con frases como “te mando la foto que me pediste” cualquier hijo de buen vecino la bajaba, la abria, y por mas que no fuera un jpg lo abria…
hasta hacian eso cuando el mensaje venia en ingles…
como puse en mi blog, ya no hace falta tratar de entrar a una maquina por fuerza bruta o cosas asi… es mas facil hacerlo de esta manera…
Exitos!
Mozilla Firefox 2.0.0.11 Windows XP
¡¡Eso es lo que le pasa a los que no usan Pidgin!!
Más de una vez tuve algun que otro problema, o me ficharon de desquiciado por llamar por telefono a alguien con quien estaba chateando, pensando que era otra persona. No muchos tienen la extrema desconfianza como nosotros.
Saludos y Feliz año!!
Debian IceWeasel 2.0.0.10 Debian GNU/Linux
Prefiero ser desconfiado y que no me garquen dos mil dólares! Los mismos que te tilden de desconfiado son los que meten su contraseña en cualquier sitio o se la dan a cualquiera… ¿O nunca conociste una mina que le da su contraseña de MSN a su amiga? A mi me pasó un par de veces, y cuando estaba chateando no sabía con cuál de ellas lo hacía
encima las mujeres tienen el extraño hobby de cagar a sus amigas, lo cual empeoraba aún más las cosas.
Mozilla Firefox 2.0.0.11 Linux
y esas mismas personas que se pasan contraseñas, o que las mandan pensando que de esa forma no les van a cobrar el msn… (cuento mas viejo e inutil… pero debe funcionar)
esas mismas personas llevan la pc al tecnico porque se le cambio el theme de windows y el tecnico (bien hijo de puta) le dice que le va a tener que cobrar como $80 por mano de obra.. y que hay que formatear… si total… sabe que el cliente este entiende tanto de computacion como una tostada…
o capas menos… porque la tostada no le da la contraseña a nadie… jejejeje
pero bueno… todos tenemos que lidiar con amigos asi…
Exitos!
PD: me da cosa firmar desde windows… pero en es lo que hay en el laburo… por suerte en casa mi pc tiene Ubuntu… la de mi hno (con XP y siendo una de las personas descriptas mas arriba) no se como aun funciona…
Mozilla Firefox 2.0.0.11 Windows XP
Fedex: El escrache de navegador y S.O. no es para apedrear a los que usan Windows, es para dejar en evidencia en otros posts que los HOYGAN siempre usan Windows con versiones desactualizadas de Internet Explorer
Además la mitad de los comentarios se hacen desde alguna distro de GNU/Linux, para desmentir a los que dicen que el market share de Linux es menor al 1%. O si es menor al 1%, todos los linuxeros entran acá
Mozilla Firefox 2.0.0.11 Linux
hablando de distros…
me acaba de llegar un mail de Red Hat Argentina… (si, Red Hat… no lo puedo creer) ofreciendome un puesto de laburo…
a mi y a conocidos
como ya tengo uno, y estoy bien donde estoy, y aunque no te conozca se que te gusta esto, si estas interesado chiflame… que te paso el mail…
todavia estoy sorprendido… laburar en red hat… que oportunidad que me pierdo… pero bueno… ya vendra algo mas en el futuro… almenos espero que llegue cunado busque laburo nuevamente…
esto va para todos… si quieren laburar en Red Hat (o tener una entrevista) avisen… al mail o en el blog mio….
http://fedex06.blogspot.com
Mozilla Firefox 2.0.0.11 Windows XP
Estos días estuve en Mar del Plata, y las dos veces que fui al cyber café me dio mucho mucho miedo meter la pass de Gmail/MSN/Todo en un Internet Explorer 6 bajo un oscuro Windows 98 Plus.
Y es que hoy por hoy las contraseñas juegan un papel bastante importante en la web 2.0… No?
Mozilla Firefox 2.0.0.11 Ubuntu Linux
Yo le tengo un miedo a los keyloggers en el cyber… sería mejor llevar una notebook pedorra como la EEEPC de Asus, lástima que acá esté tan cara.
Llevar una distro de Linux en LiveUSB tampoco es la solución, si hay keyloggers por hardware.
Mozilla Firefox 2.0.0.11 Linux
[...] que las posibilidades de contraer alguna enfermedad (léase virus, spyware o ser víctima de ingeniería social) son nulas, o a lo sumo considerablemente menores que en los demás sitios web. La web en este [...]
Pingback por Un Blog Más • Navego, manejo, navego — 6 Octubre 2008 #
WordPress 2.6.2