Furoner.CAT

A principis del passat mes d’octubre, va apareixer a la pàgina web pastebin.com una llista de més de 20 mil credencials (nom d’usuari i contrasenya) robades de correu web de proveidors com ara Gmail, Hotmail o Yahoo. Després d’un rumor inicial que especulava sobre la possibilitat que algú havia aconseguit hackejar aquests llocs web, les dues tesis més probables sobre l’origen de la llista van anar prenent cos en la comunitat d’investigadors sobre seguretat informàtica. Qui fos que havia publicat la llista, l’havia obtingut o bé a base de virus-troians en ordinadors que es dediquen a robar credencials d’aquest tipus, o bé mitjançant la tècnica de la pesca electrònica (phishing en anglès).

Què és el Phishing?

El Phishing és aquell procés criminalment fraudulent mitjançant el qual s’intenta adquirir informació sensible (noms d’usuari, constrasenyes, números de targetes de crèdit, números d’identitat, etc) fent-se passar per una persona o entitat de confiança per a la víctima en una comunicació electrònica (e-mail, missatgeria instantània tipus xat, xarxes socials tipus facebook, etc). Tals comunicacions normalment dirigeixen els usuaris a llocs web que semblen o són quasi totalment iguals als originals, però que es dissenyen exclusivament per a l’objectiu del frau electrònic.

La llista en qüestió contenia una gran majoria de comptes d’usuari i contrasenyes en llengua castellana, el que porta a pensar que el més probable és que fos realment una campanya de phishing l’originària del robatori de credencials. No us han ofert mai aquell programa que “t’ajuda” a detectar qui et té bloquejat al Messenger d’MSN? Existeixen molts llocs web dedicats al respecte, però és un mite doncs tot són intents d’aconseguir les vostres credencials.

Què en treuen d’aquest tipus de phishing?

El 99% de les credencials de correu web robades seràn usades per enviar correu brossa (spam en anglès). Al voltant del 85% del correu electrònic mundial que es genera és correu brossa. I aquest xifra no compta aquell spam realitzat a través d’altres mètodes (fòrums, comentaris a blocs, facebook, twitter, myspace, xats, sms, etc).

Posaré com a exemple un cas que ha tingut com a víctima una amiga que tinc al meu compte de Facebook. Aquest matí en llevar-me he mirat el compte per mirar les actualitzacions d’estat que no haia pogut fer ahir. La meva amiga, a qui anomenarem Gilda, havia afegit en plena matinada un missatge en anglès al seu mur molt sospitós:

A part de l’obvietat que és un típic missatge d’spam del tipus “FesDinerRàpid”, el fet de que estigués escrit en anglès quan la Gilda escriu els missatges quasi sempre en castellà o català ja hauria de posar-nos a l’aguait. Com és evident en qualsevol spam-frau d’aquesta índole, NO FEU MAI CLICK a sobre dels possibles links ni seguiu les instruccions que us hi posen.

Què fer si en sou víctima o coneixeu algú que ho ha sigut?

Els passos següents son els que he escrit a la meva Gilda per correu, però serveixen per a qualsevol altre tipus de credencial perduda (Gmail, Hotmail, Yahoo, entre altres):

1. Reseteja el teu password de facebook IMMEDIATAMENT. Ho pots fer anant al link “Has oblidat la teva contrasenya?” de la pàgina inicial o anant a la pàgina de configuració del teu compte si estàs logejat/ada.
2. Si no pots resetejar el password del teu compte perquè han canviat el correu electrònic amb el qual entres normalment a facebook, o el teu compte ha sigut deshabilitat, contacta amb el Centre d’Ajuda de Facebook per recuperar-lo.
3. Passa un programa antivirus actualitzat amb les últimes definicions pel teu ordinador, doncs probablement el teu sistema operatiu contingui software maliciós que ha sigut el causant del problema. Si no tens un programa antivirus o no el tens actualitzat, pots usar-ne un de gratuït a través d’interenet. Qualsevol dels següents és bo i vàlid:
   • http://www.kaspersky.com/virusscanner
   • http://security.symantec.com
   • http://us.mcafee.com/root/mfs/scan.asp?affid=56
   • http://www.bitdefender.com/scan8
   • http://onecare.live.com/site/en-us/default.htm
   • http://ca.com/securityadvisor/virusinfo/scan.aspx
   • http://www.ewido.net/en/onlinescan
   • http://www.pandasecurity.com/homeusers/solutions/activescan
   • http://www.eset.com/onlinescan
   • http://housecall.trendmicro.com
4. Tant si l’antivirus troba programes maliciosos al teu ordinador com si no, seria bo que fessis còpia de seguretat dels teus arxius personals i reinstal·lessis el teu sistema operatiu, formatejant el disc dur en el procés.
5. Entra en tots els teus comptes de correu i altres xarxes socials (hotmail, gmail, yahoo, myspace, flickr, fotolog, picasa, tuenti, linkedin, etc) i canvia’n el password. Si encara no has formatejat el teu disc dur, fes-ho des d’un altre ordinador que sàpigues que és segur.
6. Potser et semblarà una mica paranoic, però si has fet recentment compres online, vés al banc i demana que et cancelin la targeta de crèdit que vas usar i te’n facin una altra. Digues que t’ha entrat un virus a l’ordinador i ho fas com a mesura preventiva, doncs sospites que te la poden haver robat online.

Si no us ha afectat a vosaltres però coneixeu a qui si, sempre els podeu ajudar indicant-los els passos a seguir. Des de la setmana passada, s’està extenent una forta campanya d’spam a tot el món que usa molts mitjans diferents (entre ells Facebook i Twitter) per expandir-se, i que és la que ha afectat a la meva amiga Gilda. Podeu informar-vos més sobre aquesta campanya aquí, aquí i aquí.

A tenir en compte a l’hora de triar la nova contrasenya

La llista de credencials que he mencionat al principi de l’escrit va ser analitzada per un analista de l’empresa de seguretat Acunetix, i en va treure la conclusió que una gran majoria dels usuaris d’internet encara utilitza contrasenyes molt poc segures.

Al voltant d’un 40% dels passwords contenien només lletres en minúscula i un 20% més eren passwords amb només caracters numèrics. Els dos passwords més utlitzats eren 123456 i 123456789, seguits de contrasenyes utilitzant noms comuns com ara alejandra o alberto. La llargada mitjana d’una contrasenya d’entre la mosta estudiada era de 8 caracters, tot i que els més usuals eren els de 6 o 7 caracters.

La millor manera de triar una contrasenya nova és doncs usar-ne una que contingui lletres en minúscula i en majúscula, números i a poder ser també caracters especials (per exemple: %&$!?), i d’una llargada mínima de 10 caracters. Avui en dia, molts proveidors de correu web ja us avisen si la contrasenya que esteu triant és fluixa o forta, basant-se en els criteris anteriorment descrits.

Ja sabeu, no obriu correus estranys ni cliqueu sobre d’enllaços que us semblin sospitosos, encara que provinguin de persones suposadament amigues o de confiança!