Trucos para MSN Space: Seguridad en Messenger

Alerta Roja en MSN: Gusano a Bordo

Sun, 20 May 2007 17:23:06 GMT

Una variante del gusano Win32/Stration.XW worm está causando serios estragos en la red. Uno de ellos puedes ser tú con tu querido Windows Live Messenger. (¡OJO, PESTAÑA Y TECLA!)
Como les había dicho en algunos artículos anteriores, el virus siempre se aprovecha de la curiosidad de unos y de las ansias de otros. Si hay algo que el ser humano cueste de entender, es que donde te huele a extraño o con un cartel de "no tocar", justamente haces todo lo contrario y caemos en el anzuelo.
A horas de la tarde, el centro de reporte de ESET (fabricante de NOD32) con ayuda del "Virus Radar", detectó una variante de Win32/Stration.XW worm, cuyo paseito por la internet hace unos días había dejado mucho que decir.
¿Cómo es que se propaga? Aquí las fotos de ejemplo.

Aquí vemos la ventana en si de forma normal, con un mensaje de invitación para aceptar un archivo.

Como ven, un usuario infectado por este gusano sin su voluntad, a través de su ventana de conversación muestra un amistoso mensaje que invita a descargar sus últimas fotos que hizo hace unos días, cosa que poco o nada importa... pero para el que es baboso, obviamente por curioso "cae".

Cuando tenemos el archivo en nuestro computador ya estamos expuestos a caer en la infección. El archivo es un comprimido "zip", que contiene dentro una carpeta llamada "Mis imágenes".

Si ingresamos dentro de esta carpeta comprimida, en ella veremos un archivo bastante sospechoso que lleva el nombre de yo_posse_007.jpg.exe. Aqui es cuando ya altiro podemos notar que se trata de un archivo maligno. ¿Por qué?... simplemente por su extensión. En este caso es .exe.
Por el momento no existe una vacuna para esta amenaza letal.

El mejor consejo que les podría dar es mantenerse aislados del Messenger.

Tutorial realizado por el equipo Portalmes y editado por کτγℓع

Salu2!!

Tu messenger en peligro

Thu, 17 May 2007 18:16:13 GMT

¿Quién no ha tenido nunca el deseo y la curiosidad de saber si un contacto de messenger le está bloqueando y le tiene no admitido?. Dar con la respuesta esta llevando a numerosos usuarios a utilizar servicios de páginas webs que "prometen" la respuesta a esta pregunta aunque en realidad lo único que consiguen es poner en peligro la seguridad y privacidad de quien los use.
VSAntivirus alertó recientemente sobre la propagación por Messenger de un mensaje en forma de spam que muestra un enlace a un sitio identificado como Noadmitido. net:

Hola, mira que puntazo http: // www. noadmitido. net
Descubre quien te tiene en NO ADMITIR en el MSN!

Cuando el usuario sigue el enlace, se muestra un sitio donde se le solicita su cuenta de MSN y su contraseña. Por supuesto, a pesar de lo que la propia página afirma, nada de lo que allí se dice puede considerarse serio, y por lo tanto seguro.
Quienes caen en esta trampa, al enviar su nombre de usuario y contraseña corren serio riesgo de ver comprometida su identidad y perder su cuenta de Messenger.
Nunca debemos ingresar datos confidenciales como nuestros nombres de usuario y contraseñas de correo electrónico, MSN Messenger o de cualquier otra clase de cuenta que lo solicite, fuera de las páginas originales.
Y lo que es más importante, JAMÁS debemos hacerlo siguiendo enlaces en mensajes no solicitados, sin importar su remitente.
Recordemos que la confianza es nuestro peor enemigo ante casos como estos.

Fuente: http://www.messengeradictos.com/

Salu2!!

Métodos para robar contraseñas

Fri, 13 Apr 2007 19:55:27 GMT

Por Juan Ignacio Osendi, MVP MSN Messenger - Las contraseñas de acceso de otros usuarios han sido siempre los datos personales más codiciados. Seguramente más de alguna vez has deseado echar un vistazo al correo de tu pareja o tu sed de venganza te ha llevado a pensar en robar un correo de alguien a quien conoces para darle un escarmiento.

Lo primero que debemos hacer en estos casos es quitarnos esa absurda idea de la cabeza: esa no es la solución. Además debemos tener muy claro que robar claves de acceso y contraseñas está penado por la ley.

Objetivos: mediante este documento se pretende…

educar a los usuarios en materia de seguridad para evitar que les roben sus datos de acceso a Hotmail y a MSN Messenger; además de
ayudar a reconocer algunos de los métodos de engaño más comunes usados por hackers.

¿Qué es un exploit o xploit?

Los exploits son métodos que, mediante el engaño, persiguen robar los datos de acceso a un servicio o sitio web de una víctima. Están basados por lo tanto en la ingeniería social y su éxito depende de la capacidad de conseguir engañar a la víctima.

En nuestro caso vamos a centrarnos en los exploits para robar claves de Hotmail y de MSN Messenger. Sabemos que existen muchos y muy diversos métodos, pero hemos decidido incluir los más comunes y también los mejores métodos que hemos encontrado (algunos llegan a ser tremendamente efectivos). Os recomendamos que leais todos y cada uno de estos métodos para evitar ser engañados en el futuro:

Version de messenger manipulada

Fri, 13 Apr 2007 19:52:30 GMT

Por Juan Ignacio Osendi, MVP MSN Messenger - Cada vez que se publican noticias acerca de una nueva versión de messenger, lo primero que piensan todos los usuarios es en conseguirla. Para ello visitan páginas poco fiables o utilizan programas peer to peer como emule para buscarlas.

Lo que no saben los usuarios con este tipo de hábitos es que están poniendo su equipo y sus datos personales en serio peligro.

Normalmente cuando es publicada una actualización de messenger, ésta puede encontrarse en su página web oficial, por lo que todo usuario debe visitarla si quiere comprobar la existencia de una nueva versión o desea instalar el messenger por primera vez en su equipo.

El problema surge cuando se trata de una versión beta no pública y por tanto no accesible a todo el mundo. En este tipo de casos los usuarios deben concienciarse que una versión beta NUNCA garantiza el correcto funcionamiento del programa tal y como sucedería con una versión estable. Además se pueden producir errores graves en el sistema que podrían afectar a nuestro equipo.

Cuando surge una prueba beta, al estar dirigida solo a un grupo de usuarios betatester para que la prueben, Microsoft no la publica en la página web oficial del programa, por lo que aquellos que desean hacerse con ella tienen que recurrir a métodos poco seguros, como descargar el programa de páginas web poco fiables o incluso descargárselo utilizando el emule o el kazaa.

En estos casos se corre el riesgo de descargarnos algo que no es lo que promete o parece ser. Podemos descargarnos desde una version beta modificada para robar nuestras claves o dar acceso a un desconocido a nuestro ordenador sin que nos demos cuenta, hasta la versión actual pública (igual que la tenemos) pero infectada con troyanos o virus.

Por supuesto, la última decisión la toma siempre el usuario final. Con este artículo lo único que se pretende es concienciarle de los muchos peligros que conlleva tener la última versión, aunque esta se trate de una versión beta no estable y si los beneficios por las novedades que supone tener esta versión superan los inconvenientes que esta decisión incorrecta conlleva.

Exploit falso Hotmail

Fri, 13 Apr 2007 19:51:55 GMT

Por Juan Ignacio Osendi, MVP MSN Messenger - Este es quizás el más antiguo de los exploits para robar claves de messenger o de cualquier otro tipo. Consiste en una página que simula ser igual que Hotmail para engañar a las víctimas y hacerles creer que se encuentran en la web original.

Para hacer que la víctima entre en ella existen varios métodos como por ejemplo ponerla de página de inicio en su ordenador o en un lugar público como cibercafés, colegios, universidades, etc… o enviarle un correo invitándole a ver una animación preparada especialmente para la ocasión, que al ser visualizada modifica la página de inicio y bloquea esta opción para que no se pueda cambiar en Internet Explorer.

Cuando las víctimas escriban sus datos estos serán capturados y para evitar sospechas se mostrará la página de error “ No se puede mostrar la página”.

Exploit falsa ventana de messenger

Fri, 13 Apr 2007 19:51:27 GMT

Por Juan Ignacio Osendi, MVP MSN Messenger - Tenemos que reconocer que hoy por hoy, este es uno de los exploits para robar claves de MSN Messenger más original que hemos visto. La víctima recibe un correo con una animación de los HappyTreeFriends en versión flash. Esta animación ha sido por supuesto manipulada. Cuando se ejecute la animación aparecerá un juego de HappyTreeFriends que no es nada sospechoso y a los 30 segundos de haber ejecutado la animación, para evitar sospechas, comenzará a salir una ventana de MSN Messenger donde se avisará que ha recibido un correo nuevo y que pulse para leerlo.

Cuando hagamos clic en la ventana para leer el correo, aparecerá una página falsa de Hotmail para que vuelva a escribir su contraseña. Una vez que pulse el botón de iniciar sesión la contraseña es almacenada y a la víctima le aparece el error “ No se puede mostrar la página” con el fin de no despertar ninguna sospecha.

Exploit Hotmail plus gratis

Fri, 13 Apr 2007 19:50:59 GMT

Por Juan Ignacio Osendi, MVP MSN Messenger - Este exploit para robar contraseñas de Hotmail consiste en un correo electrónico que parece provenir de Hotmail y donde se invita a activar la nueva promoción para aumentar la capacidad de su cuenta a 2GB de almacenamiento de forma totalmente gratuita.

Cuando la víctima presione el botón de suscríbete gratis se le pedirán sus datos de usuario que serán capturados. Para evitar sospechas a continuación aparecerá la página principal de hotmail plus para que termine la activación.

Exploit invitación para descargar nuevo messenger

Fri, 13 Apr 2007 19:50:20 GMT

Por Juan Ignacio Osendi, MVP MSN Messenger - Este exploit es un mensaje de correo que le llega a la víctima en nombre de Hotmail donde se la invita a descargar la nueva versión del messenger 8 beta de forma gratuita.

Cuando la víctima presione el botón de descargar ahora se le pedirá su usuario y clave que serán guardadas. A continuación aparecerá la página de la versión más reciente de MSN Messenger.

La mejor manera de evitar este engaño es descargar siempre la última versión de Messenger desde su web oficial http://messenger.msn.es

Exploit invitación a un grupo de MSN

Fri, 13 Apr 2007 19:49:48 GMT

Por Juan Ignacio Osendi, MVP MSN Messenger - Este xploit simula ser un correo de invitación a unirse a un grupo de MSN. Para evitar sospechas de la víctima, el remitente suele ser alguien conocido y de confianza. Además, para convencer a la víctima a registrarse, el grupo será sobre un tema que nunca falla: fotos sexys. El usuario malintencionado elegirá qué fotos mostrarle teniendo en cuenta el sexo de la víctima, de tal manera que si es un hombre se mostrarán fotos de mujeres sexys y si es una mujer se mostrarán fotos de hombres atléticos.

Cuando la víctima reciba el correo de invitación para unirse al grupo y vea las fotos lo más probable es que haga clic en el botón de participar ahora. Se le pedirán sus datos de acceso y serán guardados. Para evitar que el usuario sospeche que ha sido engañado, a continuación se mostrará el prometido grupo de fotos.

Para enviar este tipo de exploits existen formularios en los que se puede elegir desde la dirección del remitente hasta el sexo de la víctima.

Exploit agregar contacto

Fri, 13 Apr 2007 19:49:16 GMT

Por Juan Ignacio Osendi, MVP MSN Messenger - Este exploit consiste en un mensaje de correo que le llega a la víctima de parte de una persona que desea agregarla al msn para conversar.

Normalmente este correo viene acompañado de una foto del falso remitente que intenta atraer a la víctima así como un mensaje en que explica que desea agregarle al Messenger para hablar y conocerle. Cuando la víctima presione el enlace de Agregar a lista de contactos de MSN su contraseña es capturada y para evitar sospechas, luego aparece la pagina de perfiles de MSN Messenger.

Para enviar este tipo de exploits se utiliza un formulario en el que se puede elegir la foto a mostrar, la dirección de quien te agrega o el texto que deseas que aparezca en la falsa invitación:

Exploit Postal de Gusanito.com

Fri, 13 Apr 2007 19:48:22 GMT

Por Juan Ignacio Osendi, MVP MSN Messenger - Este exploit permite averiguar una contraseña de hotmail mediante el envío de una falsa postal animada de la web Gusanito.com tal y como podeis ver en el ejemplo.

En la postal aparecerá un mensaje que tratará de engañar a la víctima haciéndole creer que ha recibido una postal nueva de algún conocido y que si quiere verla debe pulsar un enlace.

Al entrar a la web para ver la postal se le pedirá su clave de acceso que una vez introducida será capturada y enviada al delincuente. Para evitar sospechas, tras introducir sus datos, la víctima visualizará la postal animada con un mensaje del falso remitente.

Para enviar este tipo de exploit basta con rellenar un sencillo formulario como el que os mostramos a continuación:

Cómo crear una contraseña segura y fácil de recordar

Fri, 13 Apr 2007 18:34:04 GMT

Una contraseña segura es una contraseña que otras personas no pueden determinar fácilmente adivinándola o utilizando programas automáticos.

Para crear una contraseña segura que puedas recordar fácilmente pero que sea difícil de determinar por terceras personas, intenta una de las siguientes técnicas:

Utiliza dos o más palabras de forma conjunta o combina números con letras. Ejemplos: Pasear[Mi]Perro, Pa#34tata, Campeones=1995.
Abrevia una frase que recuerdes fácilmente. Puede estar formada por números, signos o palabras que puedes cambiar por números o signos. Por ejemplo: Cada sábado voy en bici 20 kilómetros podría convertirse en la contraseña cdveb20kms.
Utiliza signos de puntuación y números para combinar las iniciales de personas u objetos de un grupo conocido como, por ejemplo, tus deportistas favoritos, amigos, películas o libros favoritos o personajes históricos. Ejemplos: Gandhi, Abraham Lincoln y Juana de Arco podrían convertirse en la contraseña 1G,2AL,JA.
Selecciona las vocales de una frase que te guste y agrega números o signos. Ejemplo: Tengo tres perros podría convertirse en la contraseña Tng3Prrs.

Para que sea segura, una contraseña debe:

Tener al menos siete caracteres y no más de 16.
Combinar tres de los cuatro tipos de caracteres:
- Letras mayúsculas (ejemplo: A, B, C)
- Letras minúsculas (ejemplo: a, b, c)
- Números (ejemplo: 1, 2, 3)
- Símbolos (` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /)
No ser una palabra común o nombre, ni una variación parecida.

Algunos proveedores de servicios exigen que una contraseña segura:

No sea la misma que cualquiera de sus cuatros contraseñas anteriores.
No sea una variación mínima con respecto a su antigua contraseña. Por ejemplo, si su antigua contraseña era Campeones=1995, no se aceptaría como nueva contraseña Campeones=1996.

IMPORTANTE

No utilices ninguno de los ejemplos anteriores para tu contraseña.
No anotes tu contraseña.
No reveles nunca tu contraseña en una conversación de mensajes instantáneos ni la compartas con nadie. Microsoft nunca te solicitará tu contraseña en un correo electrónico, por lo tanto, si recibes alguno, elimínalo inmediatamente, ya que sólo se trata de una trampa para que reveles tu contraseña.
Si dispones de más de una cuenta de correo electrónico como, por ejemplo, una para el trabajo y otra para uso personal, deberías utilizar una contraseña diferente para cada una de ellas.

Como prevenir el robo de claves

Fri, 13 Apr 2007 18:33:32 GMT

Por Juan Ignacio Osendi, MVP MSN Messenger - El robo de claves básicamente se puede realizar de dos maneras:

Engañando al usuario utilizando la ingeniería social;
Utilizando un programa instalado en el ordenador para capturar tu clave (un troyano o un keylogger por ejemplo)

A continuación te explicamos los puntos básicos que debes tener en cuenta para proteger tus claves de acceso de estos dos métodos.

Nunca escribas tus datos de acceso en un correo que contiene un formulario que te los pide. Las grandes compañías nunca hacen eso.
Comprueba que la ventana de iniciar sesión con tu cuenta Passport tiene en la barra de direcciones una url que empiece por http://login.passport.net o https://login.passport.net y/o que en la parte inferior derecha de tu navegador aparezca el icono de un candado.
Cambia periódicamente tu clave de acceso y la pregunta secreta.
Asegúrate que nadie sabe la respuesta a la pregunta secreta.
Consejo: Para hacer un correcto uso de esta opción procura que la respuesta a la pregunta secreta no sea directa o al menos obvia. Así por ejemplo, si la pregunta fuese “¿Cuál es mi comida favorita?” podríamos responder dando el nombre de nuestro restaurante favorito. O a la pregunta “¿Cómo se llama mi mascota?” responder “los perros no tienen nombre”.
Otra opción es que la respuesta no tenga nada que ver con la pregunta, así por ejemplo a la pregunta ¿cómo se llama mi mascota? Podríamos responder “Mi moto es roja”.
Ten claro que la respuesta a la pregunta ¿Cómo se llama mi madre? la saben muchos de los que te rodean, por lo que no es secreta.
En Hotmail, activa los filtros de correo no deseado, puede que al principio sea un poco molesto visitar constantemente la carpeta de correo no deseado pero con el tiempo verás como a tu bandeja de entrada solo llegan correos de conocidos o direcciones permitidas.
Mantén tu equipo actualizado
Utiliza un antivirus y mantenlo actualizado
Utiliza un firewall, cortafuegos o centro de seguridad (Windows XP incorpora uno)
Utiliza contraseñas seguras. Ver cómo crear una clave segura
Si utilizas un equipo público (por ejemplo en un cibercafé, en la universidad, etc…) o te conectas desde el ordenador de un “amigo” al usar tu cuenta activa la opción “estoy en un equipo público o compartido” que aparece debajo de “recordar mi clave”. Te sorprendería saber la de gente que ha sido víctima de un robo de cuenta por conectarse desde el ordenador de un amigo.
Evita ejecutar ficheros que te lleguen por correo de remitentes conocidos y en caso de duda preguntar.
No publiques tu dirección de correo o messenger en foros, blogs u otros lugares públicos y si lo haces q no pueda leerlo un robot. Para ello escribe tu correo en una imagen, escribe “arroba” en lugar de “@” o “punto” en lugar de “.” son algunas ideas

¿Qué hacer si te roban tu cuenta?

Fri, 13 Apr 2007 18:31:05 GMT

Recuperar una cuenta Passport: Introducción

Por Juan Ignacio Osendi, MVP MSN Messenger - Un tema bastante común en nuestros foros de consulta no es otro que el desconocimiento de los pasos que debe seguir un usuario cuando le han robado su clave. Es importante que, aunque nunca te hayas visto en esta situación, leas este documento con el fin de poder informarte y de poder dar consejo a algún que haya sido víctima de un robo.

Este artículo va dirigido tanto a usuarios noveles como avanzados con la finalidad de informarles y orientarles sobre qué pasos deben seguir para:

Recuperar una cuenta de correo Hotmail
Recuperar una cuenta Msn
Recuperar la cuenta de messenger
En resumen, recuperar una cuenta Microsoft Passport Network ya que todas las cuentas anteriores se encuentran reunidas en ésta última.

Objetivos:

Proporcionar información básica sobre el sistema Passport.
Mostrar cómo recuperar una contraseña olvidada y/o robada.
Concienciar al usuario de cómo evitar encontrarse en la incómoda situación de ser víctima de un robo de identidad.

Comencemos descubriendo a “ese gran desconocido”: Microsoft Passport Network

¿Qué es Microsoft Passport Network?

Microsoft Passport Network es un servicio ofrecido por Microsoft cuya función básica es simplificar el inicio de sesión de un usuario en diversas plataformas y servicios web utilizando unos datos de inicio de sesión que sean comunes en todas ellas; es decir, que con una única dirección de correo y una única clave de acceso podamos identificarnos en diversas páginas web y servicios como MSN Hotmail, MSN Messenger, MSN Music, MSN Spaces, etc…
Por defecto todas las cuentas de correo @msn.com o @hotmail.com son ya cuentas Passport, con lo que no es necesario registrarnos por ejemplo primero en hotmail y luego en Passport.

En el caso del Messenger, si quieres usar una cuenta que no sea @msn.com o @hotmail.com deberás dar de alta esa cuenta de correo en Passport antes de poder utilizar el servicio de mensajería instantánea. Te recomendamos, que si te interesa este asunto eches un vistazo a cómo usar en messenger correos que no sean de Hotmail

Si visitamos http://www.passport.net/ tendremos a mano toda la información referente a Microsoft Passport Network.

Ahora que ya conocemos un poco como funciona el sistema que nos permite identificarnos en los servicios de Microsoft, vamos a ver todas las posibilidades de las que disponemos para recuperar nuestra cuenta.

Básicamente existen dos maneras de perder una cuenta:

Por olvido de los datos de acceso
Por robo de nuestra clave de acceso