¿Cómo hackear un correo electrónico y como protegerse?
En primer lugar creo que es una pendejada hackear e-mails y no se debería considerar hacking sino piratería o espionaje. Sin embargo en ocasiones es necesario saber como se hace para lograr protegerse con mayor eficacia.
Otro de los motivos por el cual publico éste resumen, es para enseñar las técnicas mas conocidas y sobre como protegerse.
Técnicas para hackeo de e-mails: no busquen mas técnicas porque no las hay, al menos al momento de escribir este post. No existen los genios con superpoderes y les aseguro que los e-mails se hackean igual ahora que en los años 80.
1) Adivinando: probando claves manualmente en forma inteligente. Aprendé todo lo que puedas sobre la persona y tarde o temprano vas a poder armarte una lista de "posibles claves" que pueda llegar a utilizar (su n° de documento, su teléfono, la dirección de su casa, el nombre de su pareja o mascota o calle donde vive o grupo musical favorito).
2) Fuerza bruta: con un diccionario probando miles de claves, en teoría es la forma mas efectiva, o lo era en los años 80 pero actualmente casi todos los servicios de e-mail incluyen protección para bloquear intentos fallidos. Igualmente el secreto está en realizar el ataque sobre el servidor de mail y no sobre su interface web. También es posible utilizar herramientas que rotan la ip (generalmente proxies) y que tienen timers o delays entre cantidad de intentos.
3) Hackeando a la máquina: infectar a la víctima intalando un keylogger o troyano en su computadora. Lo podés instalar físicamente o hacer que el/ella lo instale por su propia cuenta, utilizando algo de ingeniería social.
4) Hackeando al humano: crear un sitio web con registro de usuario ofreciendo algo que ésta persona no pueda resistirse (y por supuesto, gratis). Invitá a ésta persona a registrarse, enviandole algun e-mail promocional anónimo o rebúscatelas para que se registre y ... voilá! ya tenemos su clave. El secreto es que el 90% de la gente utiliza la misma clave de su e-mail en sitios donde se registra, entonces solo necesitamos ver que clave utilizó en el registro de ese sitio fraudulento.
5) Hackeando al humano y a la máquina: Otra variante de la anterior consiste en hackear algun sitio donde la víctima se halla registrado (sitio de clasificados, portales, etc). Por lo general éstos sitios no tienen tanta protección y es fácil obtener sus claves mediante Cross Site Scripting , Bruteforcing u otras técnicas fáciles. Luego utilizamos la misma clave que utilizó y voilá! en el 90% de los casos funciona.
6) Hackeando nivel DIOS #1: hackear el servidor! ¿Y por qué no? , salvo que quieras hackear hotmail, gmail o grandes empresas/coporaciónes que invierten millones en seguridad, una técnica perfectamente válida, aunque avanzada, consiste en comprometer el servidor que contiene los correos electrónicos.
7) Shoulder surfing: o espiar sobre el hombro. Algo tan básico como ponerse cerca de la víctima para lograr captar visualmente las teclas que utiliza al ingresar su clave.
8) Hackeando nivel DIOS #2: existen infinidad de tecnologías de alta gama para poder realizar hackeos avanzados, como cámaras ocultas, keyloggers físicos (usb) , exploits zero day hechos a medida (por uno mismo o por hackers que ganan usd$1.000.000 al año). Sin embargo, éstas técnicas no están disponibles salvo que uno trabaje para una agencia de inteligencia o sea un super genio y multimillonario :-)
9) Ingeniería social: a veces la misma víctima puede darte la clave si se le pedís en forma correcta (engaño de por medio). Pero éste punto excede el motivo de post y será ampliado en futuras publicaciónes.
10) Trashing: o basureo. Una técnica muy propia de los años 80 que consiste en "revisar la basura" de la víctima para obtener información valiosa.
11) Mezcla y variantes de todas las anteriores: cada técnica se puede combinar con otras para lograr el objetivo, asi como también crear variantes, principalmente en el área del phishing e ingeniería social no hay límites y de ésta forma obtener un 100% de efectividad.
Buenas prácticas para asegurar una cuenta de correo electrónico:
- Uitlizá claves fuertes entre 8 a 12 caracteres, que incluyan mayúsculas, minúsculas, números y caracteres especiales.
- Cambiá tu clave periódicamente o al menos una vez al año.
- Nunca utilices la misma clave en diferentes sitios.
- Nunca utilices claves que puedan adivinarse (ej: documento, teléfono, tunombre123, el nombre de tu pareja, etc)
- Utilizá un buen antivirus (y actualizado) para evitar keyloggers o troyanos.
- Utilizá software actualizado. Los virus/troyanos/keyloggers "entran" por no utilizar software actualizado o por utilizar cracks en software pirata.
- Verificá que cuando accedes a un sitio, éste sea el sitio que dice ser. Los ataques de phishing consisten en que los atacantes
clonan un sitio para que se vea similar y accedas a él. Para evitar ésto solo hay que asegurarse que el nombre del dominio al que se accede es correcto.
- Nunca escribas tu clave en papel ni mucho menos la dejes a la vista de alguien, ya sea en papel o formato digital.
¿Te fue útil?
Bienvenidos comentarios, críticas y consultas.
Hasta la próxima!
En primer lugar creo que es una pendejada hackear e-mails y no se debería considerar hacking sino piratería o espionaje. Sin embargo en ocasiones es necesario saber como se hace para lograr protegerse con mayor eficacia.
Otro de los motivos por el cual publico éste resumen, es para enseñar las técnicas mas conocidas y sobre como protegerse.
Técnicas para hackeo de e-mails: no busquen mas técnicas porque no las hay, al menos al momento de escribir este post. No existen los genios con superpoderes y les aseguro que los e-mails se hackean igual ahora que en los años 80.
1) Adivinando: probando claves manualmente en forma inteligente. Aprendé todo lo que puedas sobre la persona y tarde o temprano vas a poder armarte una lista de "posibles claves" que pueda llegar a utilizar (su n° de documento, su teléfono, la dirección de su casa, el nombre de su pareja o mascota o calle donde vive o grupo musical favorito).
2) Fuerza bruta: con un diccionario probando miles de claves, en teoría es la forma mas efectiva, o lo era en los años 80 pero actualmente casi todos los servicios de e-mail incluyen protección para bloquear intentos fallidos. Igualmente el secreto está en realizar el ataque sobre el servidor de mail y no sobre su interface web. También es posible utilizar herramientas que rotan la ip (generalmente proxies) y que tienen timers o delays entre cantidad de intentos.
3) Hackeando a la máquina: infectar a la víctima intalando un keylogger o troyano en su computadora. Lo podés instalar físicamente o hacer que el/ella lo instale por su propia cuenta, utilizando algo de ingeniería social.
4) Hackeando al humano: crear un sitio web con registro de usuario ofreciendo algo que ésta persona no pueda resistirse (y por supuesto, gratis). Invitá a ésta persona a registrarse, enviandole algun e-mail promocional anónimo o rebúscatelas para que se registre y ... voilá! ya tenemos su clave. El secreto es que el 90% de la gente utiliza la misma clave de su e-mail en sitios donde se registra, entonces solo necesitamos ver que clave utilizó en el registro de ese sitio fraudulento.
5) Hackeando al humano y a la máquina: Otra variante de la anterior consiste en hackear algun sitio donde la víctima se halla registrado (sitio de clasificados, portales, etc). Por lo general éstos sitios no tienen tanta protección y es fácil obtener sus claves mediante Cross Site Scripting , Bruteforcing u otras técnicas fáciles. Luego utilizamos la misma clave que utilizó y voilá! en el 90% de los casos funciona.
6) Hackeando nivel DIOS #1: hackear el servidor! ¿Y por qué no? , salvo que quieras hackear hotmail, gmail o grandes empresas/coporaciónes que invierten millones en seguridad, una técnica perfectamente válida, aunque avanzada, consiste en comprometer el servidor que contiene los correos electrónicos.
7) Shoulder surfing: o espiar sobre el hombro. Algo tan básico como ponerse cerca de la víctima para lograr captar visualmente las teclas que utiliza al ingresar su clave.
8) Hackeando nivel DIOS #2: existen infinidad de tecnologías de alta gama para poder realizar hackeos avanzados, como cámaras ocultas, keyloggers físicos (usb) , exploits zero day hechos a medida (por uno mismo o por hackers que ganan usd$1.000.000 al año). Sin embargo, éstas técnicas no están disponibles salvo que uno trabaje para una agencia de inteligencia o sea un super genio y multimillonario :-)
9) Ingeniería social: a veces la misma víctima puede darte la clave si se le pedís en forma correcta (engaño de por medio). Pero éste punto excede el motivo de post y será ampliado en futuras publicaciónes.
10) Trashing: o basureo. Una técnica muy propia de los años 80 que consiste en "revisar la basura" de la víctima para obtener información valiosa.
11) Mezcla y variantes de todas las anteriores: cada técnica se puede combinar con otras para lograr el objetivo, asi como también crear variantes, principalmente en el área del phishing e ingeniería social no hay límites y de ésta forma obtener un 100% de efectividad.
Buenas prácticas para asegurar una cuenta de correo electrónico:
- Uitlizá claves fuertes entre 8 a 12 caracteres, que incluyan mayúsculas, minúsculas, números y caracteres especiales.
- Cambiá tu clave periódicamente o al menos una vez al año.
- Nunca utilices la misma clave en diferentes sitios.
- Nunca utilices claves que puedan adivinarse (ej: documento, teléfono, tunombre123, el nombre de tu pareja, etc)
- Utilizá un buen antivirus (y actualizado) para evitar keyloggers o troyanos.
- Utilizá software actualizado. Los virus/troyanos/keyloggers "entran" por no utilizar software actualizado o por utilizar cracks en software pirata.
- Verificá que cuando accedes a un sitio, éste sea el sitio que dice ser. Los ataques de phishing consisten en que los atacantes
clonan un sitio para que se vea similar y accedas a él. Para evitar ésto solo hay que asegurarse que el nombre del dominio al que se accede es correcto.
- Nunca escribas tu clave en papel ni mucho menos la dejes a la vista de alguien, ya sea en papel o formato digital.
¿Te fue útil?
Bienvenidos comentarios, críticas y consultas.
Hasta la próxima!
Comentarios
Publicar un comentario