Google



miércoles, enero 23, 2008

¿Quieres saber quién te tiene no admitido/eliminado en el MSN?

A raíz del resurgimiento de estos sitios fraudulentos, donde lo mínimo que hacen es robarte las direcciones de correo electrónico de todos tus contactos para llenarlos de spam (correo no deseado), me di a la tarea de postear estos artículos de Victor Pimentel de GenBeta.

¿Quieres saber quién te tiene no admitido/eliminado en el MSN?
Pues no des tu contraseña a desconocidos
Víctor Pimentel

Parece mentira que después de tanto tiempo (¡años ya!) del invento de este fraude todavía haya gente que siga cayendo en él. Es muy simple, y seguro que muchos lo conocéis, simplemente se trata de páginas que ofrecen el servicio de mostrarte quién te tiene como no admitido o te ha eliminado del mésenyer a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña. Creía que este negocio ya estaba más que muerto, pero hoy mismo un par de contactos míos me han saltado con la típica ventanita que me acceda a una de esas páginas para que me lea el futuro.

Como norma general, dar la contraseña de tu correo a alguien que no pertenezca a tu familia ya es un suicidio tecnológico, y en este caso sería como darle la contraseña de tu tarjeta de crédito a una persona desconocida para que te muestre el dinero que tienes. ¿Quieres saber qué es lo que hacen? La mayoría de páginas, después de mostrarte esa información, se conectan a tu cuenta varias veces al día para molestar a todos tus contactos con spam descarado. Lo que es peor, esto puede colapsar tu cuenta y no sería raro que la perdieras para siempre, o al menos que la conexión sea pésima. Así que ya sabes, no des tu contraseña a ningún sitio web, o atente a las consecuencias.

Pero claro, ¡tú quieres saber quién te tiene como no admitido! Sorpresa: esos sitios, además de ser peligrosos, no funcionan. Microsoft cambió hace tiempo el protocolo para que los servidores de msn no difundieran esta información. Antes sí podías, pero ahora mismo ni siquiera puedes saber el estado de otra persona sin que ella te invite/admite o sin saber la contraseña de la cuenta (sin cambiar la configuración de la cuenta). Sin rebuscar demasiado, algunos sitios fraudulentos que siguen esta práctica serían: blockoo.com, scanmessenger.com, detectando.com, quienteadmite.info, checkmessenger.net, blockstatus, etc… Todos ellos son potenciales phishing, y ninguno funciona más allá de recolectar cuentas de correo.

Disculpad los lectores avanzados que ya habéis dejado atrás este tipo de engaños facilones hace mucho tiempo, pero es que hoy me he vuelto a conectar al messenger por obligación y me he dado cuenta de que las cosas han cambiado muy poquito.


¿Cómo funcionan los servicios que te dicen quién te ha bloqueado en el MSN?
Víctor Pimentel

El otro día, en la entrada avisando sobre los peligros de dar la contraseña de tu correo a servicios extraños y sobre todo a aquellos que te dicen que te van a decir quién te ha bloqueado en el msn, surgió una conversación bastante interesante en los comentarios. Además, el responsable de uno de estos servicios, Alejandro Sena de Blockoo explicó cómo funcionan estos servicios. A continuación os reproduzco el algoritmo, que hace uso de bots para llevar a cabo esta operación:

1. Para empezar el usuario le da sus datos al servicio (en este caso Blockoo).
2. El servicio se conecta al servidor de Microsoft con su cuenta, recolecta una lista con todos sus contactos, y mediante un bot los va invitando uno por uno.
3. A medida que los usuarios van aceptando el bot, se recopilan datos suficientes para indicar si le tienen bloqueado o no: si al bot le aparece como conectado pero al usuario como desconectado es que le tiene bloqueado (o no admitido o eliminado o no aceptado).

Una vez explicado cómo funciona, me sigo mostrando muy reticente a usar este tipo de servicios:

* Para empezar el usuario le da sus datos al servicio (en este caso Blockoo). Sigue sin existir ninguna garantía de que tus datos sean preservados y tu cuenta salga indemne de este servicio. Repito: dar la contraseña de tu email, y más si es el centro de tu vida digital, es una muy mala idea.

* Aunque puede funcionar, en realidad es bastante difícil que se den todas esas circunstancias para poder decidir que está bloqueado. Vamos, que las probabilidades de acierto deben ser ridículamente bajas (sobre todo cuando bloquear a alguien no es una acción demasiado usual), y cuando se den deben ser parciales.

* Como todavía el cliente de Microsoft no soporta conectarse desde varios sitios a la vez, si te registras en uno de estos servicios no podrás conectarte desde casa durante un tiempo (¿minutos, horas?).

* Es loable que Alejandro intente defender su servicio web, y eso dice bastante de que efectivamente no “roba” cuentas. Pero por otro lado la propia Microsoft ha baneado de sus servidores cualquier url que contenga blockoo (intenta poner un link, ya verás), hasta hace poco cambiaba el nick (como muchos competidores) y por defecto envía un mensaje a todos tus contactos (además de agregarlos), a menos que desmarques una casilla. De hecho, en Mayo se escribió este interesante artículo comentando su uso, y aunque ha corregido alguna mala práctica, los peligros intrínsecos al servicio todavía siguen ahí. Está claro que algo sospechoso debe haber en el servicio si consigue esas reacciones.

* Sigo sin verle ningún sentido, es tan infantil como lo de dile a Pepe que está enfrente mío que no le hablo.

* Si un contacto mío es tan tonto como para aceptar un bot externo que ni siquiera ha pedido… (acabad vosotros la frase).

* Quién lo use estará molestando a TODOS sus contactos para conseguir información de como mucho dos o tres personas.

Como veis, mi opinión no ha cambiado demasiado, y más con este método tipo matar moscas a cañonazos. Si de verdad quieres saber quién te ha bloqueado, existen métodos de ingeniería social muchísimo más eficientes, sin tener que dar la contraseña a nadie, solo con tener una pista de quién puede ser:

* Preguntárselo a esa persona directamente.

* Preguntárselo a un contacto común.

* Crearte una cuenta adicional y agregar a las personas que quieras a esa lista. Para mejorar la efectividad te recomiendo que si es un chico te crees una cuenta con nombre de chica (y si pones en el nick “69” y “cachonda” mucho mejor), y a la vez si es una chica te crees una cuenta con nombre de chico (y si pones en el nick una frase poética mucho mejor).

En fin, creo que ya tenéis datos suficientes como para confiar o no en este servicio, o al menos para tener una opinión mucho más completa.


Saludos

Publicado por MasterPoX en 09:47 AM

Comparte en:
  • Agregar a Technorati
  • Agregar a Del.icio.us
  • Agregar a DiggIt!
  • Agregar a Yahoo!
  • Agregar a Google
  • Agregar a Meneame
  • Agregar a Furl
  • Agregar a Reddit
  • Agregar a Magnolia
  • Agregar a Blinklist
  • Agregar a Blogmarks

Suscribirse a: Enviar comentarios (Atom)

MasterPox - Ultimos posts en mis Espacios

MasterPoX Space in Live.com


masterpox in del.icio.us