Frank
Clásico
- Registro
- 26 Sep 2003
- Mensajes
- 2.931
- Reacciones
- 6
-----------------------------------------------------------
10 maneras de obtener un password HOTMAIL
y un puñado de recaudos para que no obtengan el nuestro.
------------------------------------------------------------
Esta seguidilla de “items” está dirigida a todos aquellos que vienen preguntando (generaciones enteras de chicos o novios/maridos) como seria posible conseguir una clave Hotmail, por supuesto que para el resto de la gente hay una serie de recomendaciones a seguir para no sufran una invasión de su privacidad.
Aquí no se detallará ninguno de los procedimientos ni se escribirá con demasiados términos informáticos dado al público que esta dirigido > usuarios comunes de PC c/ MSN +Hotmail
En síntesis: es imposible sacarla de los servidores de Hotmail a menos que haya una falla en estos o en las aplicaciones/servicios que estan allí funcionando, dado que cuentan con un grupo de los mejores administradores de sistemas en dichas plataformas... dudo de que las habilidades de un chico que no estudie sistemas, ni programe excelentemente o se dedique de lleno a la Seguridad Informática, pueda realmente hacer "algo" en www.hotmail.com
Pero hay algunas alternativas, veamos:
Puesto número 1: “Probando passwords lógicos y básicos”:
Esta técnica esta basada en un trabajo de inteligencia o research y conocimiento del dueño de la cuenta, y se intenta introduciendo passwords/datos como:
Comunes mas usados mundialmente: qwerty, 123456, abc123, password...
Numero de DNI
Fecha de nacimiento: normal o invertida
Equipo de futbol favorito
Bandas de musica favoritas
Partes o segmentos de letras de canciones favoritas
Nombres de parientes o seres queridos:
Padres hermanos abuelos bisabuelos esposas amantes hijos sobrinos novias ahijados o nietos...
Nombre de sus mascotas
Nombre de su barrio
Numero de asociado
Numeros de la suerte
Nombre del ISP
Canciones preferidas
Cosas relacionadas a sus estudios o hobbies
Titulos de libros leidos
Heroes favoritos reales, fixticios o historicos
Todo aquel otro gusto o preferencia que se le conozca a la persona, como ser marcas.
Todos los anteriores seguidos de un numero X
Puesto número 2: “Probando passwords que utiliza en otros lados”
Este es un error muy típico de los usuarios de pc, utilizar reiteradamente un password en diversos lugares tales como:
MSN ( casi obvio, salvo que algunos utilizan cuentas de otro tipo de correo )
ICQ
Yahoo
Sitios (FTP login)
Foros y listas online
Outlook ( pop3 )
Documentos Word Access y Excel
Otras cuentas de su poder
Cuentas de sistema
Formularios de IE
RASS (conexión a internet, dial up o adsl)
Cuenta maestra del ISP
Paneles de control
Pc de trabajo
Pc de estudio
Es muy posible y relativamente facil conseguir estos que son – en mayoria - iguales a los que utiliza en la cuenta Hotmail.
Puesto número 3: El siempre vulnerable “factor humano o ingenieria social”
Mediante engaño al dueño de la cuenta, a un administrador o mesa de ayuda es posible conseguir, o bien la clave o datos sensibles que nos llevaran a esta.
- Obtener clave directamente haciendose pasar por la novia, socio o ser querido, mediante mail, telefono o mensaje.
- Obtener dato para descubrir pregunta secreta ( contra: se generara una nueva contraseña )
- Obtenerla mediante el engaño de un fake - falso - site o un fake mail tipo postal de saludo. ( tipo los mensajes que llegan supuestamente desde Gusanito.com – estos son enviados desde un sitio llamado
hackerloko.com - y son postales fakes para robar la clave al introducirla )
- Engañando al personal de Hotmail mediante informacion certera sobre los datos de registro
- Engañando a algun ser querido mediante mail, mensaje o telefono para obtener algun dato relevante que nos lleve a la clave o a la pregunta secreta, o bien, datos de registro.
- Engañando a empleados de ISP, foros, hostings, o bien para sacar datos relevantes o bien cambiar la casilla y hacer retrieve de un password para probar en otra cuenta
- Engañando al usuario mediante un mail “oficial” fixticio de Hotmail o MSN
- Engañarlo mediante el traspaso de sofware malware ( .exe maliciosos u otros ejecutables, ya sea troyanos indetectables, administradores remotos o habilitadores de puertos para ejecuscon de comandos shell / de consola ), msn fakes, juegos fakes, movies fakes etc
Puesto número 4: “Grabando las pulsaciones de su teclado... o de un teclado que vaya a usar”
Keylogger es el nombre que se le da a una utilidad que graba las pulsaciones de teclado, como ser las claves o passwords. Estos pueden ser usados en:
- En la casa ( con solo sentarse, descargar un .exe y dar dos clicks para instalarle un programa que envie sus pulsaciones a una casilla de correo nuestra ) inclusive remotamente seria posible instalarle tal programa.
- En cibers ya sea desde una terminal especialmente monitoreada
- En en el trabajo desde una terminal especialmente monitoreada
- En la facultad desde una terminal especialmente monitoreada
- En la maquina de su hotel o residencia de paso en una terminal especialmente monitoreada
- En cualquier otra maquina publica o privada preparada para tal fin, como por ejemplo
- Invitarlo a nuestra casa o donde sea y ofrecerle una terminal para chequear su cuenta.
Salvo en la casa, en el resto el usuario puede ser facilmente inducido a utilizar “tal” maquina para navegar en internet y posterior chequeo de mails.
Puesto número 5: “Sacar claves almacenadas de su ISP”
El ISP es el proveedor de internet, generalmente al ser grandes entornos de un gran número de servidores y aplicaciones, mas una serie de errores ligados al factor Humano ( administradores ), es muy común encontrar vulnerabilidades y por consiguiente explotarlas, alli suelen estar guardados una serie de passwords del dueño de la cuenta de Hotmail, estos passwords suelen ser en la mayoria de las veces, iguales a los de la cuenta que buscamos, ya sea en entornos Windows, Linux o Unix, es posible encontrarlas, en modo plano o encriptadas, pero de una u otra forma es posible conseguirlas.
Lo que varia siempre es el tiempo que toma, suele tornarse arduo, pero el fin siempre justifica(?) los medios.
Puesto número 6: “Sacando claves en tránsito desde servidores, sniffing.”
Con utilidades que se denominan sniffers, es posible tomar la sesion en Hotmail de muchos modos y hasta incluso la clave codificada.
Ejemplo de log capturado con una cuenta de Yahoo utilizando la aplicacion Dsniff:
--------
02/14/05 12
53 tcp 10.1.2.11.1087 -> 10.1.2.121.3128 (http)
GET https://login.yahoo.com/config/login?.tries=&.s... &.js=1&.last=&promo=&.intl=us&.bypass=&.partner=&.u=2oj6do45aq4&. v=0&.challenge=BwU2pez0HmHv4oNJ_3knCX2w&.yplus=&.emailCode= &pkg=&stepid=&.ev=&hasMsgr=1&.chkP=Y&.done=&login=pepeXXX& passwd=eb00617e428f7f4b8ea9cd1&.persistent=&.save=1&.hash=1&.md5=1 HTTP/1.0
Host: login.yahoo.com
-------
Esta técnica puede llevarse a cabo con tráfico de red tránsito en cualquier server o proxy del tipo ciber, trabajo, universidad o ISP. Solo se trata de interferir el paso de los datos, analizarlo / capturarlo.
Puesto número 7: “Por retrieve: enviarla a otro mail del cual si tenemos acceso.
Generalmente para registrar se da un mail alternativo o de alguna u otra manera se lo puede colocar alli. A veces es mas facil tener acceso a ese mail alternativo que al principal, con lo cual o bien: podemos conseguir datos sensibles o finalmente la clave.
Puesto número 8: “Por explotación mediante exploits a la máquina del user
Exploit remotos, programas de conexión mediante vulnerabilidades de algunos servicios... ejecución de comandos remotos con privilegios, esos permiten hacerse de la terminal del usuario ( mal administrada, insegura ) por consiguiente: robo de las claves o información sensible para conseguir esta.
Puesto número 9: “Por sustracción de claves en aplicaciones y servidores de terceros:
Si tenemos acceso a un servidor que almacena claves, como en el caso del ISP, es posible que estas coincidan con el password que se esta buscando.
Algunas databases de foros son facilmente extraibles como lo he demostrado algunas veces, como asi tambien todos los datos de registro y hasta ip(s). Nic.ar tiene hasta el dia de hoy serias fallas que permiten saber los mails e inclusive a quien pertenecen los mails y por consiguiente todos los datos reales o fixticios de registro, dni, etc. Google, Altavista y Yahoo suele proveer tambien demasiada informacion util.
Puesto número 10: “Por sustracción de documentos mediante netbios u otro servicio de una terminal descuidada o insegura.”
Windows tiene en su instalación por defecto y por la accion de administradores sin experiencia en seguridad, servicios o fallas que permiten extraer documentos de texto y otros, de la misma máquina. Si el usuario tiene sus claves en un .txt este podria ser facilmente sustraido o copiado a una maquina remota. Por ejemplo mediante el programa comercial Languard Scan ( fui betatester de esta aplicación hace 5 años cuando se llamaba R3x ) y alguna carpeta compartida via Netbios. Un usuario avanzado de ms-dos podria hacerlo solo mediante algunos comandos y algunas aplicaciones del resource kit.
En linux es similar la simplicidad de un server descuidado, dada las fallas que tienen actualmente sus kernels y servicios de autentificacion.
Demistificando métodos, no aplicables:
Fuerza Bruta
No es posible hacerlo ya que la cuenta se traba cada tantos intentos, descartado de pleno. Solo es aplicable a cuentas pop3 sin limites de attemps ( intentos ) como los ISP.
Mail falso de servicio de recuperacion de passwords
Ese cuento de enviar un supuesto mail a Hotmail con un user y un password no se lo creen ni los niños, ademas no se cual es la gracia de conseguir el password de una cuenta cualquiera de Hotmail, pudiendo registrar miles gratuitamente.
Aplicaciones varias
Suelen ser troyanos o binarios (.exe) que se descargan de sitios que dicen tener “utilidades de hacking”, nada mas lejos que eso, son sitios de chicos que tienen mucho tiempo de sobra y una muy buena dosis de fantasia. No existen sitios de hacking en español, si ediciones tipo e-zines y estas son contadas con los dedos de una mano. Los mas usuales ahora son los MSN 6 fakes, utilidades que simulan ser el msn original y al ejecutarlos piden user contraseña y los guardan en un archivo.
La insólita historia de Jorge Machado y Hotmail
https://www.perantivirus.com/sosvirus/pregunta/hotm...
Fallas históricas de Hotmail
https://search.securityfocus.com/swsearch?query=hot...
Recomendaciones para todo aquel que utilice MSN o Hotmail:
* Al registrar la cuenta no utilizar datos verdaderos y guardar estos.
* Utilizar una respuesta secreta totalmente incoherente y guardarla.
* No darle el mail a cualquiera
* Utilizar una clave alfanumérica de mas de 8 digitos
* Guardar los datos de registro incluyendo repuesta secreta
* Tener el sistema Windows administrado, actualizado y disponer de un antivirus, firewall y aplicaciones de mensaje o mails en su ultima versión.
* Utilizar IEprivacykeeper para no dejar archivos temporales de nuestros correos
* No utilizar Internet Explorer, usar como mínimo Firefox
* No guardar los passwords en texto plano y menos en la pc
* No utilizar correo pop3
* Si le llega una postal y al abrirla te pide clave y usuario de Hotmail no los coloque, es un falso sitio para robarselo.
* Utilizar logueo seguro ( SSL )
* La beta 7 de MSN es muy estable actualmente y de usar algun patch para MSN utilizar el messpatch.
* No acceder a nuestra cuenta desde máquinas publicas
* No aceptar a cualquiera en nuestro listado de contactos MSN
* Hay prestadores de servicios de correo muy superiores como ser Gmail o Lycos
Carlos Tori - WedoIT
NNL Newsletter
10 maneras de obtener un password HOTMAIL
y un puñado de recaudos para que no obtengan el nuestro.
------------------------------------------------------------
Esta seguidilla de “items” está dirigida a todos aquellos que vienen preguntando (generaciones enteras de chicos o novios/maridos) como seria posible conseguir una clave Hotmail, por supuesto que para el resto de la gente hay una serie de recomendaciones a seguir para no sufran una invasión de su privacidad.
Aquí no se detallará ninguno de los procedimientos ni se escribirá con demasiados términos informáticos dado al público que esta dirigido > usuarios comunes de PC c/ MSN +Hotmail
En síntesis: es imposible sacarla de los servidores de Hotmail a menos que haya una falla en estos o en las aplicaciones/servicios que estan allí funcionando, dado que cuentan con un grupo de los mejores administradores de sistemas en dichas plataformas... dudo de que las habilidades de un chico que no estudie sistemas, ni programe excelentemente o se dedique de lleno a la Seguridad Informática, pueda realmente hacer "algo" en www.hotmail.com
Pero hay algunas alternativas, veamos:
Puesto número 1: “Probando passwords lógicos y básicos”:
Esta técnica esta basada en un trabajo de inteligencia o research y conocimiento del dueño de la cuenta, y se intenta introduciendo passwords/datos como:
Comunes mas usados mundialmente: qwerty, 123456, abc123, password...
Numero de DNI
Fecha de nacimiento: normal o invertida
Equipo de futbol favorito
Bandas de musica favoritas
Partes o segmentos de letras de canciones favoritas
Nombres de parientes o seres queridos:
Padres hermanos abuelos bisabuelos esposas amantes hijos sobrinos novias ahijados o nietos...
Nombre de sus mascotas
Nombre de su barrio
Numero de asociado
Numeros de la suerte
Nombre del ISP
Canciones preferidas
Cosas relacionadas a sus estudios o hobbies
Titulos de libros leidos
Heroes favoritos reales, fixticios o historicos
Todo aquel otro gusto o preferencia que se le conozca a la persona, como ser marcas.
Todos los anteriores seguidos de un numero X
Puesto número 2: “Probando passwords que utiliza en otros lados”
Este es un error muy típico de los usuarios de pc, utilizar reiteradamente un password en diversos lugares tales como:
MSN ( casi obvio, salvo que algunos utilizan cuentas de otro tipo de correo )
ICQ
Yahoo
Sitios (FTP login)
Foros y listas online
Outlook ( pop3 )
Documentos Word Access y Excel
Otras cuentas de su poder
Cuentas de sistema
Formularios de IE
RASS (conexión a internet, dial up o adsl)
Cuenta maestra del ISP
Paneles de control
Pc de trabajo
Pc de estudio
Es muy posible y relativamente facil conseguir estos que son – en mayoria - iguales a los que utiliza en la cuenta Hotmail.
Puesto número 3: El siempre vulnerable “factor humano o ingenieria social”
Mediante engaño al dueño de la cuenta, a un administrador o mesa de ayuda es posible conseguir, o bien la clave o datos sensibles que nos llevaran a esta.
- Obtener clave directamente haciendose pasar por la novia, socio o ser querido, mediante mail, telefono o mensaje.
- Obtener dato para descubrir pregunta secreta ( contra: se generara una nueva contraseña )
- Obtenerla mediante el engaño de un fake - falso - site o un fake mail tipo postal de saludo. ( tipo los mensajes que llegan supuestamente desde Gusanito.com – estos son enviados desde un sitio llamado
hackerloko.com - y son postales fakes para robar la clave al introducirla )
- Engañando al personal de Hotmail mediante informacion certera sobre los datos de registro
- Engañando a algun ser querido mediante mail, mensaje o telefono para obtener algun dato relevante que nos lleve a la clave o a la pregunta secreta, o bien, datos de registro.
- Engañando a empleados de ISP, foros, hostings, o bien para sacar datos relevantes o bien cambiar la casilla y hacer retrieve de un password para probar en otra cuenta
- Engañando al usuario mediante un mail “oficial” fixticio de Hotmail o MSN
- Engañarlo mediante el traspaso de sofware malware ( .exe maliciosos u otros ejecutables, ya sea troyanos indetectables, administradores remotos o habilitadores de puertos para ejecuscon de comandos shell / de consola ), msn fakes, juegos fakes, movies fakes etc
Puesto número 4: “Grabando las pulsaciones de su teclado... o de un teclado que vaya a usar”
Keylogger es el nombre que se le da a una utilidad que graba las pulsaciones de teclado, como ser las claves o passwords. Estos pueden ser usados en:
- En la casa ( con solo sentarse, descargar un .exe y dar dos clicks para instalarle un programa que envie sus pulsaciones a una casilla de correo nuestra ) inclusive remotamente seria posible instalarle tal programa.
- En cibers ya sea desde una terminal especialmente monitoreada
- En en el trabajo desde una terminal especialmente monitoreada
- En la facultad desde una terminal especialmente monitoreada
- En la maquina de su hotel o residencia de paso en una terminal especialmente monitoreada
- En cualquier otra maquina publica o privada preparada para tal fin, como por ejemplo
- Invitarlo a nuestra casa o donde sea y ofrecerle una terminal para chequear su cuenta.
Salvo en la casa, en el resto el usuario puede ser facilmente inducido a utilizar “tal” maquina para navegar en internet y posterior chequeo de mails.
Puesto número 5: “Sacar claves almacenadas de su ISP”
El ISP es el proveedor de internet, generalmente al ser grandes entornos de un gran número de servidores y aplicaciones, mas una serie de errores ligados al factor Humano ( administradores ), es muy común encontrar vulnerabilidades y por consiguiente explotarlas, alli suelen estar guardados una serie de passwords del dueño de la cuenta de Hotmail, estos passwords suelen ser en la mayoria de las veces, iguales a los de la cuenta que buscamos, ya sea en entornos Windows, Linux o Unix, es posible encontrarlas, en modo plano o encriptadas, pero de una u otra forma es posible conseguirlas.
Lo que varia siempre es el tiempo que toma, suele tornarse arduo, pero el fin siempre justifica(?) los medios.
Puesto número 6: “Sacando claves en tránsito desde servidores, sniffing.”
Con utilidades que se denominan sniffers, es posible tomar la sesion en Hotmail de muchos modos y hasta incluso la clave codificada.
Ejemplo de log capturado con una cuenta de Yahoo utilizando la aplicacion Dsniff:
--------
02/14/05 12
53 tcp 10.1.2.11.1087 -> 10.1.2.121.3128 (http)GET https://login.yahoo.com/config/login?.tries=&.s... &.js=1&.last=&promo=&.intl=us&.bypass=&.partner=&.u=2oj6do45aq4&. v=0&.challenge=BwU2pez0HmHv4oNJ_3knCX2w&.yplus=&.emailCode= &pkg=&stepid=&.ev=&hasMsgr=1&.chkP=Y&.done=&login=pepeXXX& passwd=eb00617e428f7f4b8ea9cd1&.persistent=&.save=1&.hash=1&.md5=1 HTTP/1.0
Host: login.yahoo.com
-------
Esta técnica puede llevarse a cabo con tráfico de red tránsito en cualquier server o proxy del tipo ciber, trabajo, universidad o ISP. Solo se trata de interferir el paso de los datos, analizarlo / capturarlo.
Puesto número 7: “Por retrieve: enviarla a otro mail del cual si tenemos acceso.
Generalmente para registrar se da un mail alternativo o de alguna u otra manera se lo puede colocar alli. A veces es mas facil tener acceso a ese mail alternativo que al principal, con lo cual o bien: podemos conseguir datos sensibles o finalmente la clave.
Puesto número 8: “Por explotación mediante exploits a la máquina del user
Exploit remotos, programas de conexión mediante vulnerabilidades de algunos servicios... ejecución de comandos remotos con privilegios, esos permiten hacerse de la terminal del usuario ( mal administrada, insegura ) por consiguiente: robo de las claves o información sensible para conseguir esta.
Puesto número 9: “Por sustracción de claves en aplicaciones y servidores de terceros:
Si tenemos acceso a un servidor que almacena claves, como en el caso del ISP, es posible que estas coincidan con el password que se esta buscando.
Algunas databases de foros son facilmente extraibles como lo he demostrado algunas veces, como asi tambien todos los datos de registro y hasta ip(s). Nic.ar tiene hasta el dia de hoy serias fallas que permiten saber los mails e inclusive a quien pertenecen los mails y por consiguiente todos los datos reales o fixticios de registro, dni, etc. Google, Altavista y Yahoo suele proveer tambien demasiada informacion util.
Puesto número 10: “Por sustracción de documentos mediante netbios u otro servicio de una terminal descuidada o insegura.”
Windows tiene en su instalación por defecto y por la accion de administradores sin experiencia en seguridad, servicios o fallas que permiten extraer documentos de texto y otros, de la misma máquina. Si el usuario tiene sus claves en un .txt este podria ser facilmente sustraido o copiado a una maquina remota. Por ejemplo mediante el programa comercial Languard Scan ( fui betatester de esta aplicación hace 5 años cuando se llamaba R3x ) y alguna carpeta compartida via Netbios. Un usuario avanzado de ms-dos podria hacerlo solo mediante algunos comandos y algunas aplicaciones del resource kit.
En linux es similar la simplicidad de un server descuidado, dada las fallas que tienen actualmente sus kernels y servicios de autentificacion.
Demistificando métodos, no aplicables:
Fuerza Bruta
No es posible hacerlo ya que la cuenta se traba cada tantos intentos, descartado de pleno. Solo es aplicable a cuentas pop3 sin limites de attemps ( intentos ) como los ISP.
Mail falso de servicio de recuperacion de passwords
Ese cuento de enviar un supuesto mail a Hotmail con un user y un password no se lo creen ni los niños, ademas no se cual es la gracia de conseguir el password de una cuenta cualquiera de Hotmail, pudiendo registrar miles gratuitamente.
Aplicaciones varias
Suelen ser troyanos o binarios (.exe) que se descargan de sitios que dicen tener “utilidades de hacking”, nada mas lejos que eso, son sitios de chicos que tienen mucho tiempo de sobra y una muy buena dosis de fantasia. No existen sitios de hacking en español, si ediciones tipo e-zines y estas son contadas con los dedos de una mano. Los mas usuales ahora son los MSN 6 fakes, utilidades que simulan ser el msn original y al ejecutarlos piden user contraseña y los guardan en un archivo.
La insólita historia de Jorge Machado y Hotmail
https://www.perantivirus.com/sosvirus/pregunta/hotm...
Fallas históricas de Hotmail
https://search.securityfocus.com/swsearch?query=hot...
Recomendaciones para todo aquel que utilice MSN o Hotmail:
* Al registrar la cuenta no utilizar datos verdaderos y guardar estos.
* Utilizar una respuesta secreta totalmente incoherente y guardarla.
* No darle el mail a cualquiera
* Utilizar una clave alfanumérica de mas de 8 digitos
* Guardar los datos de registro incluyendo repuesta secreta
* Tener el sistema Windows administrado, actualizado y disponer de un antivirus, firewall y aplicaciones de mensaje o mails en su ultima versión.
* Utilizar IEprivacykeeper para no dejar archivos temporales de nuestros correos
* No utilizar Internet Explorer, usar como mínimo Firefox
* No guardar los passwords en texto plano y menos en la pc
* No utilizar correo pop3
* Si le llega una postal y al abrirla te pide clave y usuario de Hotmail no los coloque, es un falso sitio para robarselo.
* Utilizar logueo seguro ( SSL )
* La beta 7 de MSN es muy estable actualmente y de usar algun patch para MSN utilizar el messpatch.
* No acceder a nuestra cuenta desde máquinas publicas
* No aceptar a cualquiera en nuestro listado de contactos MSN
* Hay prestadores de servicios de correo muy superiores como ser Gmail o Lycos
Carlos Tori - WedoIT
NNL Newsletter
Novato de mierda
Veterano