¿Es así como operaron los crackers?

Gmail-Phising.jpg
Hace unas dos semanas recibí un “emilio” de procedente del señor Google. ¡Caramba! me dije, ¿desde cuándo me conoce?. Mi decepción fue descubrir que me invitaban (como a otros muchos) a entrar a usar la herramienta GTalk. No dejó de parecerme extraño porque GTalk hace rato que existe y se encuentra disponible de forma gratuita. Sin darle atención procedí a borrar el mensaje, sin abrirlo, dado que carecía de todo interés para mí.

Resulta que ayer me volvió a llegar dicha invitación a mi correo Google. Solo que en ésta ocasión mis antenas se encendieron. ¿Por qué razón Google insiste en hacerle propaganda a su herramienta?, me pregunté. No parece su estilo. Tal insistencia se semeja más a ésa especie de “spam” que compañías como Ringo y otras, difunden por la red de manera repetitiva y molesta, invitándolo a uno a que se afilie gratuitamente a sus programas.

Examiné con pinzas el mensaje y en efecto provenía de Google.com. A primera vista. Porque mirando con más detenimiento la dirección de correo de origen era . Eso indicaba claramente que los astutos creadores de éste mensaje, inventan la terminación gmall.com, tratando de camuflar una l por la i de Gmail, con el fin de pescar incautos.

Al abrir el mensaje la aparente autenticidad del “emilio” aumenta, dado que los timadores incluyen los logotipos auténticos de GTalk y Gmail (dentro del sobre) para reforzar la credulidad del recipiente del mensaje. ¿Y qué sucedía al pinchar el enlace al que invitan? Se abría una página de “phising” es decir una copia perfecta del original Gmail.com. Donde a lo único que invitan es a que la víctima ocasional escriba la clave personal y secreta que uno posee en Gmail. No lo hice por supuesto y tampoco lo recomiendo.

Treinta minutos después supe
que uno de los autores de los blogs recientemente “crackeados” cayó en la trampa pocos días antes y sin saberlo le entregó su clave Gmail a los “crackers” que después (imagino) procedieron ir a buscar si tenía blog en blogspot.com (que como todos sabemos fue comprado por Google) y así tuvieron acceso ilegal a sus escritos y creaciones.

Propongo entonces que estemos atentos
. No debemos entregar nuestra contraseña a nadie por ningún motivo. Hay gente a quien le han robado dinero de su banco a punto de esta misma estrategia que repito en inglés llaman “phising”. Propongo que en español la nombremos impostación.

¿Que opinan ustedes? Sería esto lo que les permitió a los “crackers” realizar los daños reportados últimamente?

32 Responses to “¿Es así como operaron los crackers?”

  1. Joan Guerrero Says:

    Alarmante. Eso está pasando con muchos de los otros proveedores de correo online. Hotmail y Yahoo! no se escapan de este “phising”. Gracias por darnos la alerta querido amigo.

  2. Jeanfreddy Says:

    Pues la denuncia que haces me deja ver otra arista: no hubo un tal ataque a ciertos blogs en específico, por su contenido, sino pusieron una bomba cazabobos, él que cayó bum! igual pudo ser un blog erótico o de fotografías artísticas. O quizás buscaron uno que se adecuara a sus ideas, admito no conocer los mensajes que dejaron ni los blogs específicos, pero esta denuncia parece esclarecer que era algo como: caiga quién caiga…

  3. Merks Says:

    es lo más seguro, el phising está invadiendo nuestra privacidad cada día, también pudo ser por un blog “falso” que a la hora de dar en el link de los comentarios, abriera una ventana en la cual imitando la interfaz de blogger, los usuarios introdujeran su mail y contraseña de gmail para poder comentar, y ahí ocurriera el robo de estas claves, así que mucho ojo en que blogs se comenta, puede salir muy caro…
    saludos

  4. Álvaro Says:

    Joan:
    No sabía Joan que también lo están implementando con otros. Tampoco que Google tiene un botoncito para reportar “phising” y otras anomalidades. Aparece cuando uno le da “reply” al emilio que le llegó y sube a la flechita que está al lado del botón de “reply”. Me lo enseño Javier el autor de Bluelephant´s Ballad.
    Gracias por tu comentario y nos leemos!

    Jeanfreddy:
    Lo que planteas es probable. Y quizá explique por qué tocó a dos autores no colombianos y a gente que no escribe sobre política, que parecía al principio ser la motivación común. Lo cierto es que no parece haber un “patrón” de persecusión.

    Merks:
    Tienes toda la razón. Esa es otra posibilidad y hay que tenerla muy en cuenta. No lo había pensado… y como cada rato entro a comentar en los blogs de mis colegas en Blogger…
    Gracias por la advertencia.

  5. Andrew Cox Says:

  6. Arlovich Says:

    Muy oportuna tu alerta. Esto de la solidaridad digital va cogiendo forma. Mi inquietud es: ¿Dejaremos de hacer comentarios en bloguer por temor a que nos roben las contraseñas?

    Creo que la solidaridad se debe complementar con una actitud alerta, atenta. Que denunciemos, pero que no dejemos de expresarnos libremente y de comentar en donde se nos antoje. Solidaridad creativa, debería ser.

  7. Álvaro Says:

    De ninguna manera, respondo yo. Hay que seguir comentando, y profusamente, pero manteniendo las antenas puestas para no caer en trampas como la que describo aquí.
    Me encantó como la llamas: “solidaridad creativa”

  8. gabi Says:

    Hola,

    Sólo quería hacerte saber que se puede modificar la dirección de correo origen para que sea la que se desea. Es decir podría utilizarse la dirección perfectamente. De hecho alguna vez un compañero y yo hemos probado a editar un mensaje y a enviarlo en formato texto y se puede editar casi todo.

    Así que mucho ojito con el temita.

  9. Álvaro Says:

    Gracias por el dato. No lo sabía y me parece que nos debe poner muy alertas. Según eso estos tipos son torpes. Gracias por tu comentario

  10. Minos Says:

    Muchisimas gracias por publicar esto. Yo soy bastante cuidadoso con este tipo de mails, pero tengo muchos amigos que no tienen muchos conocimientos de estas tecnicas y es bueno alertarlos para que no caigan en este tipo de ingenieria social.

    Cada vez evolucionan un poco los metodos, pero a la larga siguen dependiendo de que el usuario sea el que les de los datos voluntariamente. Lo que hay que crear es un poco de conciencia en el uso de la web y a quien se le envian los datos personales.

    Saludos.

  11. Álvaro Says:

    Minos:
    Tienes razón, cada día se ingenian cosas nuevas y por eso hay que estar alertas. No es fácil a medida que crece el spam y los mensaje desechables. Pero difundir estas historias nos enseña a todos a estar alertas. Gracias por tu visita y tu comentario.

  12. Julián Ortega Martínez Says:

    En un mensaje que mandaron a los correos institucionales de la Universidad Nacional, traducen phishing como “pesca milagrosa”.

  13. Álvaro Says:

    Me parece muy largo, Julián. Es muy bueno, porque describe muy gráficamente el fenómeno, pero creo que es un colombianismo. Encontré otro término mejor que impostación. ¿Qué te parece si lo llamamos suplantación digital?

  14. Carmen Says:

    Álvaro es genial, me parece fantástico el aviso que has lanzado, yo acabo de hacer lo propio en mi blog. Si te digo la verdad no sé si realmente fuere la causa del ataque, pero es una posibilidad, y está bien avisar a los demás usuarios

  15. Curiosa Says:

    WOW PLOF!

  16. Patton Says:

    Pues es una posibilidad …. habrá que preguntarle a los afectados si recibieron algo así. Si es que quedó donde escribirles ;)

    Buen dato.

  17. Ruth Says:

    Gracias por la alerta, hare lo mismo en mi blog indicando el tuyo como la fuente de información.

    ¡Saludos! =)

  18. Carmen Says:

    Ayer fui a visitar al administrador del blog sunburn que también es coadministrador de rockandalcohol y me comentó que efectivamente había recibido y había entrado con el enlace del mail. Incluso me comentó que todavía lo tenía en su cuenta, lo malo es que aunque su blog está online no tiene acceso a él de momento ni a su cuenta gmail.

    De Reflexiones al Desnudo no tengo noticias y memoria de una desmemoriada, está indignada con esta posibilidad, pero no afirma ni niega nada.

  19. memori@ Says:

    Hola Álvaro y compañía, empiezo por un gracias, siempre lo hago y si quisiera advertir de algo…

    Un amigo conocido a través de la Red en estos días de suplicio, me dejó publicar un artículo para dar las gracias, tengo 2 manos, y 10 dedos, no soy superwoman, y del supuesto ataque, hace una semana.. y antes de que llegue a mayores..

    Os dejo el enlace de mi artículo, para que lo leáis, es daros las gracias, y apuntando certezas, no “cazas de brujas” que hace muchos años estaban de moda con McCarthy, pero al día de hoy están pasadas de moda.

    http://bolsanegra.com/2007/02/23/en-vista-de/

    Espero Álvaro que lo leas, y que si crees oportuno lo lances a la red, sabes que “lo bien hecho bien parece”, y soy de esa condición. No me gustan ni portavoces, ni intermediarios, pero soy consciente que soy humana.. y no puedo llegar a todos los sitios donde yo quiera… es cuestión física..

    Al igual que las personas que aparecen comentando, les doy mi permiso para que después de leerlo y lo creen oportuno, lo lancen a la Red..

    Os doy las gracias a todos, y si os pido por favor, siempre por favor, que lo leáis, contiene información a día de ayer viernes.. y será en el único sitio donde aparecerá más información cuando la tenga, ahora no la poseo.

    Carmen de UBH, sabe que no es que esté indignada, es que ya tengo el pelo rizado, pero los detalles prefiero que los leáis.

    Un abrazo.. de a saber que pasará con Memori@ De Un@ Desmemoriad@

  20. Víctor Solano Says:

    Querido Álvaro: La mayoría de los ataques son pura ‘ingeniería social’. Es muy posible que esa haya sido una de las vías para capturar las contraseñas. Invitaré a mis lectores a leer este post. También lo recibí y lo ignoré; ahora veo que he debido dedicarle tiempo, pero para revenir. Un abrazo y gracias por este post.

  21. Colombia Hoy Says:

    Alvaro, está muy bien publicar y denunciar las tretas de la gente de “caos”. La fortaeza de los bloggers radica en la capacidad que tienen para actuar coordinadamente y prevenirse mútuamente en cuanto aparezca una amenaza. Claro, sin caer en la paranoia. Saludos.

  22. ¿Comunicación? » Cuidado con el phishing a los blogs Says:

    […] Para encontrar mayores detalles los invito a leer este muy buen post de Álvaro en Ojo al Texto. […]

  23. Ciudadano K Says:

    Estoy mucho más de acuerdo con la versión de la Ing. Social…es que rastrear a la gente no es TAN DÍFICIL…y si lo hacen en la vida real porque no en lo VIRTUAL?

  24. Filipogs Says:

    Yo si estaba seguro que ese mensaje no era de fiar, por dios, es que es muy extraño que Google haga eso…

  25. Camilo Andrés Mosquera Says:

    Hola, Álvaro. Gracias por la Alerta efectivamente a mí también me mandaron esos correo, pero inconscientemente dije (en mi mente) yo ya tengo Gtalk, entonces para que lo vuelvo a Instalar (pensé).

    Me llegaron 2 correos, los leí (ambos decían lo mismo). Después de leer este artículo, fui y abrí mi correo, noté que todavía estaban ahí los correos de Gmail, pero la sorpresa fue que tu estaba en lo correcto sale gmall.com

    Increíble, lo que se inventa la gente para tumbar a los demás.

    Saludos.

  26. Salvador Says:

    No solo hay que tener cuidado con GmaiLL, este tipo de ataques “phishing” suele usarse para falsificar entidades bancarias, o cualquier web que nos permita manejar dinero online.
    Mucho cuidado.

  27. Jacinta Says:

    A mí me pasó algo similar. Me enviaron un correo de dizque la administración de gmail, diciendo que si no actualizaba mis datos de inmediato iban a cerrar mi cuenta de correo en 72 horas.
    Lo curioso es lo mismo que vos indicás, usaron logos de Gmail, pero al ver la dirección del correo de envío no tenía nada que ver. Además, el mensaje venía en portugués. Lo reporté a Google, pero nunca recibí respuesta. Y mis dos cuentas de gmail siguen funcionando, así es que no hay que hacer caso a estas “amenazas”.
    Igual me han llegado cosas de PayPal (con quien no trabajo) o de bancos, todos instándome con urgencia a verificar mis datos. Hay que estar muy alerta con estas cosas.

  28. bohemiamar Says:

    Es alarmante pero no debe cundir el pánico. Llevan detrás de mí hace mucho tiempo, lo noto por el tipo de e-mails que recibo y que van directamente a la basura, hasta que me canse y lo pase por via legal. Os aviso de que los e-mails solo spams si no deseáis recibirlos y se hacen insistentes, se puede denunciar. Solo es enviar un e-mail a una dirección y listo. Así como se puede denunciar cualquier tipo de acoso u hostigamiento.
    Os quiero comentar también que Blogger tiene muchos fallos y que últimamente ha estado con problemas técnicos.
    De todas formas es muy importante lo de la contraseña. Se debe utilizar una contraseña con letras, números y signos, que dificulte el acceso a nuestros datos.
    Te quiero comentar Alvaro, que con tu permiso voy a enlazarte en mi blog para que mis amigos te visiten y lean este interesante post.
    Pero ya os repito que no debe cundir el pánico, solo debemos ser cautelosos siempre. El mundo blogero es fascinante, pero hay mucho psicópata en la red.
    Saluditos.
    www.bohemiamar.blogspot.com

  29. blogsColombia Weblog » Seguridad en los Blogs Says:

    […] Revisar cuidadosamente emails enviados por Google/Gmail. Este tipo de mensajes no son enviados generalmente por esta empresa y muchas veces encubren sitios maliciosos -con diseño y apariencia muy similares a los originales- que capturan su usuario y password de correo o weblog, permitiendo la entrada libre a cualquier atacante. [Post relacionado]. Esta recomendación vale para cualquier sitio o servicio. […]

  30. La Verdadera Vida de Un Gerente » Blog Archive » Copias de seguridad (Backups) para Blogs Says:

    […] Revisar cuidadosamente emails enviados por Google/Gmail. Este tipo de mensajes no son enviados generalmente por esta empresa y muchas veces encubren sitios maliciosos -con diseño y apariencia muy similares a los originales- que capturan su usuario y password de correo o weblog, permitiendo la entrada libre a cualquier atacante. [Post relacionado]. Esta recomendación vale para cualquier sitio o servicio. […]

  31. Mr. Mustard Says:

    whois gmall.com

    Whois Server Version 2.0

    Domain names in the .com and .net domains can now be registered
    with many different competing registrars. Go to http://www.internic.net
    for detailed information.

    Domain Name: GMALL.COM
    Registrar: NETPIA.COM, INC.
    Whois Server: whois.ibi.net
    Referral URL: http://www.ibi.net
    Name Server: NS.CAFE24.COM
    Name Server: NS2.CAFE24.COM
    Status: ok
    Updated Date: 26-feb-2007
    Creation Date: 06-mar-2000
    Expiration Date: 06-mar-2008

    >>> Last update of whois database: Thu, 15 Mar 2007 20:19:54 UTC

  32. Mr. Mustard Says:

    Registrant:
    Imagedrome, Inc.

    Domain Name: gmall.com
    Registrar: NETPIA.COM, INC.(http://www.ibi.net)

    Administrative Contact:
    Sang-Jean Hong
    Kangnamgu #211 UnionCenter 837-11 Yoksamng, Seoul, KR
    +82.081233

    Technical Contact:
    Sang-Jean Hong
    Kangnamgu #211 UnionCenter 837-11 Yoksamng, Seoul, KR
    +82.081233

    Billing Contact:
    Sang-Jean Hong
    Kangnamgu #211 UnionCenter 837-11 Yoksamng, Seoul, KR
    +82.081233

    Record created on……..: 05-Mar-2000 EDT.
    Record expires on……..: 06-Mar-2008 EDT.
    Record last updated on…: 26-Feb-2007 EDT.

    Domain Name Servers in listed order:
    NS.NURI.NET
    NS.CAFE24.COM
    NS2.CAFE24.COM

    Please register domain name at www.ibi.net

Leave a Reply