Rodolfo Baz (a.k.a. Pr@fEsOr X) dio la conferencia titulada “Spoofing + Scamming + Pharming = Desastre”, dedicada a enseñar las bases solidas de algunas técnicas utilizadas para robar información. Desconozco si él escribió el siguiente manual el año pasado titulado exactamente igual que su charla y describiendo la misma actividad mostrada que hizo en Campus Party. Sin entrar en mayor detalle, sigamos con el tema.
Primero aclaremos las definiciones en el contexto de seguridad de redes:
- Spoofing, es el intento de suplantación de identidad en Internet.
- Scam (estafa en inglés), es la acción de estafar a través de un correo electrónico fraudulento o una página web fraudulenta.
- Pharming, es la explotación de una vulnerabilidad en los servidores o en los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio a un destino fraudulento.
En la charla Rodolfo nos explica y demuestra como, usando programas populares y ya viejos, se siguen pudiendo explotar estas 3 técnicas que juntas y con mala intención, pueden hacer muchísimo daño a la gran mayoría de los usuarios.
Básicamente la actividad de Rodolfo Baz, misma que puedes encontrar en los foros de dragonjar.org consiste en:
- Spoofear la red con el viejo programa CAIN & ABEL suplantar al router para que todos los paquetes pasen por la maquina del atacante.
- Después infectamos los DNS haciendo pharming para redireccionar a las víctimas que quieran entrar a Facebook por ejemplo, sean envíados a nuestro servidor web.
- Finalmente, hacemos una copia idéntica de la página de inicio de Facebook -esto es scam- para que el usuario escriba su contraseña ahí y capturarla nosotros en nuestro servidor web.
La mejor manera de evitar este tipo de ataques, es no conectándose en redes públicas y/o sin seguridad WPA. Puntos WiFi como en los Starbucks donde hay Internet, es uno de los lugares más vulnerables, ya que son redes que normalmente están abiertas sin seguridad y cualquier contraseña que escribamos ahí puede caer en manos equivocadas.
Si en su casa tienen una red inalámbrica, entren al router para verificar quien está conectado de vez en cuando y revisar que no hay ningún equipo desconocido. Ahora si que más vale prevenir, que lamentar.
Visto en la charla de Rodolfo Baz en Campus Party.
Bitacoras.com
Loading ...
JA,JA. Que ingenuos los que invitan a Rodo a sus conferencias: Tienes en tu comentario la clave de sus “ideotas”. Lo conozco. Te encargo que exijan revisar la curricula de los conferencistas. Un hacker es un hacker, un fraude es un fraude.
¿Te gusta este comentario?
0 
0
El riesgo de que cualquier persona pueda acceder a tutoriales, manuales y guías ocasiona que se auto nombren Profesores o Investigadores. El Sr. Rodolfo Baz, en lo personal, lo catalogo como el Carlos Trejo de la seguridad informática. Un académico respetado, o alguien que se jacte de serlo debe empezar por la ortografía; cometer errores ortográficos como aser, haiga, abra (del verbo haber), solo detona el nivel cultural de esta persona. Mas aun, un académico respetado no enseña a “crackear software” por una coca fría o no invita a enseñar a “hackear” por moda. Gente como el, no solo expone burdamente el trabajo que gente sería realiza con conciencia y profesionalismo, también pone en peligro la enseñanza de la seguridad informática exponiéndola como un tema de la que cualquiera puede ser parte. Dedicarse a la seguridad informática no es creer que es “cool” auto nombrarse hacker, correr herramientas y pensar que uno forma parte de anonymous por el simple hecho de haber descargado loic.
Por otra parte, que bueno que gente como el se delaten por si mismos ya que nos permite identificarlos plenamente, al menos en el CINVESTAV y en la SEPI del IPN, lo tenemos plenamente identificado. Mas cuidado con revisar el background de las personas a las que citas.
http://susideas.com/~bugcon/data/uploads/profx.JPG
¿Te gusta este comentario?
1 
0
jajajaja, que gran ” juaker”
¿Te gusta este comentario?
1 
0