Tagline gratis de hoy:

 
Inicio Descargas Foros Tu Cuenta Web Links  
Crear Una Cuenta
Menú Principal
Inicio (Noticias):
 Inicio
 Enviar Noticia
 Mapa de Noticias
 Noticias en Tu Web
 Noticias Destacadas
 Archivo de Noticias
 Búscar
 Topicos
Miembros:
 Lista de Usuarios
 Tu Cuenta
 Diario de Usuarios
 Mensaje Privados
 Comunidad:
 Foros de Aclantis
 Recetas de Cocina Gratis
 Juegos Gratis
 AvantGo de Descargas
 Buscar en Google
 Webs Amigas
 Bromas y Chistes
 Trucos de Juegos
 Trucos de Informática
 Guías y Análisis de Juegos
 Publicidad y Intercambios
 Referirnos
 Contáctenos
  Web Links
 
  Descargas
 
Estadísticas:
 Estadísticas
 Site Map
 Top 20
 Encuestas
Documentaciones:
 Artículos
 Agregar a Favoritos
 Herramientas WebMasters
 FAQ De Aclantis
Noticias recientes
Jueves, 26 noviembre
· Wikipedia crece en visitantes mientras sus voluntarios se marchan
Miércoles, 25 noviembre
· Twitter se plantea salir a bolsa y comprar nuevas empresas
· Los usuarios desconectados de la Xbox Live demandarán a Microsoft
· ¿Será Avatar el gran fiasco de la temporada?
· Como la web recopila nuestros datos personales
· Advierten sobre peligroso gusano para iPhone
· Ya es posible probar el sistema operativo Chrome OS
Martes, 24 noviembre
· SAW te regala su videojuego a cambio de tu peor pesadilla
· Twitter cambia su pregunta y ahora dice ¿Qué está pasando?
· Aparece el primer virus para el iPhone que permite controlar el celular a distan

Artículos Viejos
Como hackear cuentas de Correo de Hotmail, Yahoo, Lycos, etc...
Enviado el Martes, 21 enero a las 16:11:35 por Draving
Hackers / CrackersSi lo que estas buscando es como ingresar a una cuenta de correo ajena, ya sea de Hotmail, Yahoo!, etc. Aqui tienes la solucion. Este es un texto sobre como hackear cuentas de correo, considerando los metodos mas comunes y la explotacion de ciertas fallas.


( WebMail HacK By XyborG © 2003 )

Indice:

. Introduccion ...................................................... [0x00]
. Via Ingenieria Social ............................................. [0x01]
. Via Cookies (HotMail) ............................................. [0x02]
. Trampitas de Lamers ............................................... [0x03]
. Con acceso fisico a la PC de la Victima ........................... [0x04]
. Sin acceso fisico a la PC de la Victima (Acceso Remoto) ........... [0x05]
. Usando Crackeadores ............................................... [0x06]
. Explotando Fallas ................................................. [0x07]
. Despedida ......................................................... [0x08]

[0x00] Introduccion:

Mediante el siguiente texto, veremos de que formas podemos hackear una
cuenta de correo, del tipo llamado Web Mail, tales como: HotMail, Yahoo!,
Lycos, etc. Hasta les proporcionare un Exploit para ciertos servicios de
correo vulnerables.

Se debe tener en cuenta que el hecho de querer hackear una cuenta de
correo, esto tiene la casi la misma dificultad que el tratar de acceder a
cualquier sistema; por lo tanto si no es facil hacer lo ultimo, porque lo va
a ser lo primero?

Otra cosa a tener en cuenta es el hecho de que este texto es solo a modo 
educativo y no es el objetivo del mismo el que cometas actos que van en contra 
de la legislacion de ciertos paises, donde el robar cuentas ajenas es considerado 
un delito.

[0x01] Via Ingenieria Social:

La "Ingenieria Social", es muy conocida en el ambiente de la Seguridad
Informatica y/o derivados, ya que se llama asi al hecho de aplicar ciertos
conocimientos psicologicos sobre la gente, conocimientos que radican sobre
todo en las relaciones sociales, por llamarlo asi, ya que para la obtencion de
datos de una persona, utilizamos distintas artima~as y/o enga~os para obtener
los datos que necesitemos de una persona.

Por ejemplo:
Si quisieramos saber el numero de DNI - que en
Argentina, ese es el nombre que se le da al Documento Nacional de Identidad -
de cierta persona, podriamos tomar ciertos hechos de la vida cotidiana para
obtener el mismo.
Les hablare de como hice esto una vez, aprovechando ciertos
hechos ocurridos en mi ciudad. Hace unos a~os, en el Registro Civil, se
habian extraviados ciertos papeles, relacionados a actas de nacimientos, y esto
fue dado en el noticiero local, por lo tanto casi toda la ciudad lo supo.
En esos dias, yo queria ingresar a la cuenta de una persona, un
adolescente de 15 a~os aprox. del que tenia varios datos, pero no poseia su DNI
el cual supuestamente, como acostumbra muchas personas lo utilizan como password
ya que todos deber saber el suyo; como los Yankees su numero de Seguro Social.
Como les iba diciendo, al enterarme de esta noticia, se me ocurrio hacer una
llamado, en un horario en el que estuviera solamente su madre, ya que debido a su
edad y falta de experiencia en informatica, seria mas facil obtener los datos.
Al llamar, dije ser del Registro Civil, y que estabamos revisando ciertos archivos
personales, para ver si estaba todo completo, y que yo le haria ciertas preguntas
y ella deberia responderme si eran correctas; entonces comence una largo
cuestionario, realizado con anterioridad, sobre datos que ya poseia, de manera
de confirmarlos, y una vez de haber hecho varias preguntas, y que la madre de la
victima entro un poco en confianza, ya que al hacerle preguntas sobre datos
personales correctos, creyo que efectivamente yo era un empleado del Reg. Civil,
entonces le pregunte si el numero de DNI era XX.XXX.XXX y ella, respondio que no,
como debia ser, porque le habia dicho cualquier numero, entonces le dije si
podia decirme el DNI correcto, y ella con mucho gusto dijo: "... si es 28.456.???"
y asi, obtuve el DNI, y para que la madre no sospechara, hice un par de preguntas
mas, y luego me despedi muy amablemente.
Luego de 10 segundos, ya habia ingresado a la cuenta de la victima
y habia obtenido lo que queria mediante el uso de una rama de la Ing. Social.

Como dije anteriormente, solo utilice una rama de la Ingenieria Social, ya
que, otra forma de aplicar esta, es mediante el estudio de los gustos personales
y la vida de la victima, ya que es muy habitual el uso de nombre de mascotas,
novias/os, universidades, artistas, cantantes, deportistas, sobrenombres, fechas,
aniversarios, etc. Y con obtener estos datos en ciertas ocasiones basta y sobra,
y no hace falta la interaccion con la victima.

Otra forma de utilizar la Ing. Social es interactuando con la victima, y 
poniendonos en contacto con esta, con ciertas excusas, como por ejemplo en el caso
de ser la victima concurrente a ciertos canales de Chat, y si utilizara un nick que 
conocemos, podriamos hacer contacto con ella diciendole que estamos buscando amigos, 
etc. De esta forma podriamos 'hacernos amigos' y charlar sobre gustos personales, 
entre otras cosas con el unico objetivo de reunir informacion.

Tambien podriamos buscarla mediante el Mensajero ICQ, de saber que la victima es 
usuaria de este; y siempre con la misma excusa, de la que (casi) nadie sospecha, la 
de hacer amigos :). Una cosa para tener en cuenta, es que si debemos tener contacto 
con la victima, o sea chatear o algo asi, nos conviene hacernos pasar por otra persona,
pero en especial por una mujer, ya que muy pocos sospecharian de ellas. (Ojo! esto ultimo
no es para ofender al sexo femenino, solo lo digo, porque funciona en la mayoria de los 
casos ;)

Algo que se me olvidaba, y que a algunos les sonara medio Lamo, seria intentar 
utilizar el servicio que ofrecen todos los webmail's, que es el del recordatorio de 
contrase~a, que comunmente es mediante una pregunta secreta; y de ser asi nos resultaria 
facil si tuviesemos los datos necesarios. Por ejemplo si la victima coloco como 
pregunta secreta: ¿Como es el apellido de soltera de mi madre? (muy comun), y lo sabemos 
listo!, ya estamos adentro..

Bueno esto de la Ingenieria Social, depende de cada uno, ya que como su nombre lo dice, 
es cuestion de Ingenio, que nos es igual para todas las personas :)

[0x02] Via Cookies (HotMail):

Nota: El metodo siguiente, ha sido extraido de una web de noticias, esta falla, al parecer
sigue vigente.

Para obtener acceso a una cuenta de Hotmail solo hace falta es capturar el archivo de 
cookies del navegador del usuario cuya cuenta queramos hackear. 

En concreto las cookies de MSN.com, "MSPAuth" y "MSPProf" son las llaves digitales que le 
permiten a un presunto hacker acceder al correo de la víctima sin necesidad de contrase~a. 

No hace falta disponer de la contrase~a, de hecho los cambios de contrase~a por parte del 
usuario legal, no afectan a la vulnerabilidad, dado que una vez en poder de las cookies los 
hackers pueden volver a obtener la nueva. 

Una vez que disponemos de la cookies de alguien tenemos acceso eterno a la cuenta de 
la víctima. 

Además y dado los fallos de seguridad de Internet Explorer es bastante fácil emplear 
uno de ellos para robar cookies sin necesidad de tener acceso físico a la máquina de 
la víctima. 

El boquete de seguridad ha sido descubierto por Eric Glover, un programador de 
Nueva Jersey doctorado en ciencias de la computación en la Universidad de Michigan. 

Los empleados de Microsoft anunciaron que estaban trabajando frenéticamente para 
solucionar el problema de seguridad, y que esperan en breve tenerlo solucionado.

0x03] Trampitas de Lamers:

Se me estaba olvidando algo, existen muchas personas que para obtener cuentas 
ajenas de HotMail, Yahoo!, etc. sin importar a quienes le pertenezcan; crean cuentas 
con nombre del tipo: retrievepwd@hotmail.com, pwd_bot@yahoo.com, forgotten_pwd@hotmail.com, 
etc. Y luego colocan y/o dejan mensajes en varios sitios, foros, etc. diciendo que si 
envias un mensaje a una de esas cuentas y pones TU user y TU pass, junto con el de la 
supuesta victima, te devuelven el pass de la victima.

Todo esto no es otra cosa que trampas creadas por ciertos individuos que se la dan 
de 'hackers' cuando no son mas que Lamers aprovechandose de la inocencia de los novatos 
hambrientos de conocimientos y con ganas de 'hackear'.

Asi que ya saben, no existe tal servicio de tales caracteristicas, el cual permita 
obtener la contrase~a de otra persona enviando la nuestra (???), es solo cuestion de 
razonar un poco, y de no confiar demasiado.

[0x04] Con acceso fisico a la PC de la Victima:

En el caso de tener acceso fisico al equipo de la victima y el tiempo necesario 
como para realizar ciertas tareas en el, podriamos fijarnos si la victima utiliza 
algun cliente de correo, estilo Outlook Express, The Bat!, etc. seria facil de obtener 
su contrase~a si esta persona por razones de comodidad y por no andar ingresando su 
password cada vez que chequea una cuenta, tiene seleccionada la opcion 'Guardar 
contrase~a'. De ser asi, solo deberiamos valernos de alguna aplicacion del tipo 
'Revealer' que nos permite ver el contenido de campos en asteriscos con solo arrastrar 
l cursor del Mouse sobre el.

+ Puedes obtener el 'Revealer' en la seccion descargas de mi web:
> http://www.rzweb.com.ar

Otra manera seria instalando un keylogger, solo debes buscar en la red, existen de 
todos los gustos y sabores :)

[0x05] Sin acceso fisico a la PC de la Victima (Acceso Remoto):

En caso de no tener acceso fisico a la PC de la victima, y no haber podido lograr 
nada con los otros metodos, puedes intentar algo un poco mas Lamer, o sea la utilizacion 
de Troyanitos :), y asi despues mediante un keylogger, obtener los datos necesarios.

Pero de tener acceso a su PC puedes mirar sus documentos, ya que muchas personas 
guardan sus contrase~as en archivos de texto, y casi siempre usan nombres para ellos 
como: pas.txt, pass.doc, contrase~as.txt, etc. Solo es cuestion de buscar un poco.

Nota: Ciertos troyanos, por no decir todos, son detectados por los antivirus mas comunes 
al igual que algunos keyloggers, asi que dependera de tu ingenio como lograr esto.
Tambien debes tener en cuenta que de tener la victima un FireWall, sera informado 
rapidamente de una nueva actividad y/o de algun nuevo programa/aplicacion que intente
acceder a Internet.

[0x06] Usando Crackeadores:

Este metodo, puede resultar cansador y tambien puede consumirnos mucho tiempo, dependiendo 
del password de la victima. Estamos hablando de utilizar algun crackeador de passwords, o 
aplicacion que nos permita, mediante el uso de 'Fuerza Bruta', WordList, etc. obtener la 
contrase~a correcta.

- WordList:

Para comenzar esta tarea, deberiamos reunir ciertos datos de la victima, que de ser 
alguien conocido para nosotros, no deberia ser de mucha dificultad; de esta forma asi 
podriamos generar una especie de lista de posibles contrase~as, tomando en cuenta datos como 
la fecha de nacimiento, nombre de su/sus mascota/s, apellido de la madre, deportista favorito, 
nombre de su colegio o facultad/universidad, su barrio, ciudad, nombre del padre, actor favorito, 
cantante o grupo preferido, etc. Para formar una lista de supuestas contrase~as o mejor 
conocida como WordList (lista de palabras). Tambien puedes bajarte algunos archivos de cotrase~as 
comunes, que podras encontrar en miles de sitios under en la red.

Una vez que haz recopilado la informacion necesaria, solo deberias valerte de una 
herramienta como el HotHack, el cual es facil de usar y esta realizado especialmente para 
realizar este tipo de tareas.

- Brute Force:

Al hablar de 'Brute Force' o 'Fuerza Bruta', nos estamos refiriendo al hecho de crackear 
una cuenta mediante el uso de fuerza bruta, ya que este metodo intenta loguearse usando 
contrase~as (o sea cadenas de caracteres) generadas automaticamente, y de esta forma intentar
con todas las combinaciones posibles de numeros, letras y hasta simbolos.

El uso de este metodo suele consumir mas tiempo, ya que dependera del ancho de caracteres 
del password y de su complejidad. Siempre es recomendable utilizar este metodo bajo una 
conexion a Internet de alta velocidad o del tipo ADSL, y con una PC lo bastante rapida 
tambien.

[0x07] Explotando Fallas:

Bueno, con esto me voy despidiendo. Tambien podemos ingresar a cuentas ajenas, mediante 
la explotacion de ciertas fallas, como la de las cookies mencionada anteriormente.

Hoy en dia, existen varios servicios de correo que tienen cierta fallas, la cual nos 
permite ingresar a una cuenta determinada, con solo obtener la URL de algun mensaje o 
carpeta de la cuenta de la victima. Este es el caso de GMX.Net, MixMail (en su momento), 
Terra en algunos paises y por ultimo sitios como 'http://www.com.ar' que brindan el servicio 
de webmail gratuito utilizando para esto un sistema llamado 'VisualOffice 4.0' cuyo aplicacion 
para webmail es el 'VisualMail'.

La falla a la que me refiero es la que permite lo siguiente:
(Lo veremos con un ejemplo)

EL usuario 'A' tiene una cuenta 'X' de email en el server 'Y'. Si el usuario 'A' entra a 
su cuenta 'X'; y otra persona 'B' obtiene la URL de cualquier carpeta o de algun mensaje de 
la cuenta 'X' del usuario 'A' en el server 'Y'; y el usuario 'A' no cierra su sesion al 
terminar de leer sus mensajes; podriamos decir que la cuenta 'X' queda abierta, o sea la 
sesion, y como la persona 'B' obtuvo la URL de un mensaje por ejemplo, esta puede ingresar 
a la cuenta 'X' del usuario 'A' sin la autorizacion de 'A', y sin saber la contrase~a.

Las URL's a las que me refiero son del tipo:

http://sitio_vulnerable/cgi-bin/global?id=XXXXXXXXXXXXXXXXXXXXXXX&xsl=today.xsl
http://sitio_vulnerable/cgi-bin/inbox?id=XXXXXXXXXXXXXXXXXXXXXXX

Donde XXXXXXXXXXXXXXXXXXXXXXX es el ID del usuario generado cuando el mismo inicia sesion, 
el cual sigue siendo valido hasta que el propietario de la cuenta cierra sesion o, en caso 
de quedar abierta, cuando la inicia nuevamente.

Para obtener esta URL, puedes valerte de algun exploit realizado en lenguajes como 
PHP, desde el cual podrias obtener el $http_referer haciendo que la victima ingrese a 
cierto sitio desde su casilla de correo mediante algun mensaje falso que podrias enviarle 
y luego guardarias dicha contenido de la variable en una base de datos, un archivo o hasta 
incluso enviartelo por email. De esta forma obtendrias estas URL's.

Otra cosa a tener en cuenta en el tema de fallas, es que te suscribas a listas de correo 
del tipo de la BugTraq, donde hora a hora aparecen decenas de fallas, y sobre cualquier tipo 
de aplicacion, no solamente sobre servicios de correo. Asi podras estar al tanto de como 
explotar ciertas fallas no solucionadas para obtener esa bendita cuenta de correo AJENA.

[0x08] Despedida:

Bueno, eso es todo, y espero que les sea de gran utilidad. Y como dije anteriormente:
[...] "este texto es solo a modo educativo" [...] asi que Ojo! con lo que haces por ahi.

Y desde Argentina les mando un saludo; en especial a la gente FIH.

( WebMail HacK By XyborG © 2003 )
xyborg@bigfoot.com | rzweb.com.ar

 
Enlaces Relacionados
· Más Acerca de Hackers / Crackers
· Noticias de Draving


Noticia más leída sobre Hackers / Crackers:
Como hackear juegos online

Votos del Artículo
Puntuación Promedio: 3.8
votos: 55


Por favor tómate un segundo y vota por este artículo:

Excelente
Muy Bueno
Bueno
Regular
Malo

Opciones

 Versión Imprimible Versión Imprimible

 Enviar a un Amigo Enviar a un Amigo
Puntos
Los comentarios son propiedad de quien los envió. No somos responsables por su contenido.

No se permiten comentarios Anónimos, Regístrate por favor
Theme Design By Aclantis Hosting    Powered By PHP-Nuke

Inicio | Top 20 | Articulos | Descargas | Noticias - © (2000 - 2008) - Aclantis by Draving - Contactanos 



[ Script generation time: 0.0496s (PHP: 59% - SQL: 41%) ] - [ SQL queries: 48 ] - [ Pages served in past 5 minutes : 389 ] - [ GZIP disabled ] - [ Debug off ]