Webcampista.com

mucho más que un foro

nueva modalidad de spam: te robo tu contraseña y publico con tu usuario registrado.

webmaster

Administrator
Os habreis dado cuenta que estamos sufriendo una ola de spam

para registrarse en el foro hay dos controles:

- hay que confirmar el email, pulsando un boton que esta dentro del mensaje que te llega al email que has puesto como email de registro.
- el webmaster lo tiene que aprobar

hay dias en que me llegan 50 registros nuevos de los cuales ... 45 los deniego por parecerme spam (en base a la experiencia) y de los 5 que apruebo ...... alguno de vez en cuando es un usuario para spam.

asi hemos conseguido mantener el spam en niveles relativamente bajos hasta ahora .... pero......


la nueva tecnica es probar contraseñas de usuario ya registrados y... de vez en cuando dan con la tecla, aciertan la contraseña y ponen spam a traves de usuario que llevan poco o mucho tiempo en el foro.

Asi que ... poco puedo hacer yo mas que borrar el mensaje y anular el usuario cuando me lo reportais.

Por todo ello os pido dos cosas:

1- Cambiad la contraseña a vuestro usuario en el caso de que no tengais una contraseña fuerte. (8 digitos minimo, letras (mayusculas y minusculas), signos de puntuacion y numeros ej: Mi$usuario-223).

2- reportarme los spam que veais. Sin vuestra colaboracion esto se llenara de spam en un rato, yo procuro mirar los reportes cada vez que puedo. (ya se que lo haceis habitualmente muchos de vosotros, muchas gracias) (como reportar un post al administrador del foro (webmaster))



P.D. si te he censurado o no te he aprobado el registro por error, lo primero pedirte disculpas, lo segundo escribeme (webmaster@webcampista.com) y lo solucionamos
 
Última edición:
Me di cuenta hace unos días, fui a reportar un spam , pero vi que el usuario que publicó este mensaje tenía algún otro mensaje sobre caravanas y lo deje pasar..
 
Pues si que estan suplantando. Y si se cierra la entrada a nuevos miembros mientras cambiamos de contraseña? Y asi damos tiempo al master a eliminar cuentas sospechosas.
Por otro lado, no se, hay posibilidad de capcha al crear cuenta? Para evitar bots
 
me habeis sugerido un reseteo general de contraseñas.... no es posible hacerlo, además mucho usuarios no sabrían pedir una nueva contraseña.... sería como eliminar a muchos usuarios de golpe

sigo pensando soluciones... de momento a ver si con las medidas aplicadas (no puedo contarlas como comprendereis) vamos atenuando la plaga

spam siempre ha habido y siempre va a haber... hay mucho dinero en juego, se trata de mantenerlo en "limites aceptables"
 
No solamente están atacando a este foro con sPam, a muchos otros, se podría plantear el ponerlos en conocimiento del grupo de delitos informáticos, algunotiene bastante mala pinta y parecen páginas porno
 
me habeis sugerido un reseteo general de contraseñas.... no es posible hacerlo, además mucho usuarios no sabrían pedir una nueva contraseña.... sería como eliminar a muchos usuarios de golpe

sigo pensando soluciones... de momento a ver si con las medidas aplicadas (no puedo contarlas como comprendereis) vamos atenuando la plaga

spam siempre ha habido y siempre va a haber... hay mucho dinero en juego, se trata de mantenerlo en "limites aceptables"
La otra es obligar a cambiar la contraseña en la siguiente conexión ;)
 
Si te la roban es igual la que tengas, pero no es el caso.
(...)
la nueva tecnica es probar contraseñas de usuario ya registrados y... de vez en cuando dan con la tecla, aciertan la contraseña y ponen spam a traves de usuario que llevan poco o mucho tiempo en el foro.
(...)
Se tata de ataques por fuerza bruta a base de diccionarios de contraseñas (sí, los hay):
DEFENDERSE DE LOS ATAQUES DE FUERZA BRUTA Y DE DICCIONARIO
El uso de una contraseña segura y poco común hará que el trabajo de un atacante sea mas difícil,pero no imposible.Afortunadamente hay mas medidas preventivas que los usuarios finales y empresas pueden tomar para prevenir o detectar estos intentos de ataque.

REDUZCA LA VELOCIDAD DE LOS INICIOS DE SESIÓN REPETIDOS
Esta es la contra medida mas simple disponible.Es poco probable que un usuario final note un retraso de 0.1 segundos al iniciar sesión,pero ese retraso se acumularía rápidamente para un atacante,especialmente si no pueden paralelizar sus intentos.

BLOQUEAR CUENTAS
Aun mejor un sistema se puede configurar para bloquear una cuenta después de un numero especifico de intentos de inicio de sesión. Muchos sitios web activaran protecciones adicionales para cuentas con intentos repetidos de contraseña incorrecta.

ACTUALIZAR CONTRASEÑAS
Los sistemas generalmente requieren que los usuarios cambien las contraseñas regularmente.Algunos entornos corporativos requieren que los usuarios cambien las contraseñas cada 90 días o tal vez incluso cada 30 días. La razón detrás de esto es que un atacante que esta intentando un ataque de fuerza bruta contra una contraseña compleja necesitaría semanas para tener éxito. Si la contraseña cambia durante ese periodo de tiempo el atacante deberá comenzar de nuevo.Sin embargo como muchos usuarios confiesan estos estrictos requisitos de contraseña pueden ser contraproducentes ya que los usuarios eligen contraseñas secuenciales mas débiles.Un atacante intentaría rápidamente incrementar la contraseña.

Cómo evitar los ataques de diccionario​

Comprender qué es un ataque de diccionario y cómo funciona es un paso para evitar que se produzcan. Pero para los que se toman en serio la prevención de ataques de diccionario, estos consejos pueden ayudar:

Evita las contraseñas siempre que sea posible: la forma más fácil e infalible de evitar la piratería de diccionario es eliminar por completo el uso de contraseñas. En su lugar, cuando exista la opción, utiliza soluciones de autenticación sin contraseña e inicios de sesión biométricos para mantener la seguridad de tus cuentas.

Utiliza contraseñas aleatorias: evita crear contraseñas que incorporen datos personales como fechas de nacimiento, nombres de mascotas u otra información que pueda descubrirse fácilmente. Un administrador de contraseñas puede ayudar a crear, almacenar e ingresar las contraseñas en un formato seguro.

Evita lo obvio: resulta sorprendente que muchos usuarios utilicen como contraseñas combinaciones básicas de palabras y números fáciles de piratear, como "Contraseña123" o "abcd1234". Estas son las más susceptibles de ser pirateadas, porque los ataques de diccionario están específicamente diseñados para descifrar contraseñas fáciles de adivinar.

Escoge una frase secreta: en lugar de elegir una combinación de palabra y número como contraseña, crea frases completas para acceder a las cuentas. Son mucho más difíciles de adivinar, pero suelen ser fáciles de recordar para los usuarios. Por ejemplo, a alguien a quien le guste el fútbol americano podría utilizar la frase "Quiero ser defensa de los Patriots". Para que la frase de contraseña sea aún más segura, puedes agregar números, caracteres y letras mayúsculas aleatorios, convirtiéndola en "QU1er0S3RDef3nSaDeL05P4tr0TS!".

Utiliza la autenticación de dos factores: configura las cuentas para que cada inicio de sesión requiera dos (o más) factores de autenticación. Por ejemplo, una contraseña, una contraseña de un solo uso generada por una aplicación de autenticación y una huella dactilar.

Utiliza aplicaciones de autenticación: siempre que sea posible, intenta utilizar aplicaciones de autenticación en lugar de contraseñas, o utiliza ambas. Muchas de estas aplicaciones se descargan fácilmente en un teléfono móvil y se vinculan a una cuenta concreta, para proporcionar contraseñas de un solo uso generadas aleatoriamente para cada intento de inicio de sesión.

Restringe los intentos de inicio de sesión: algunos sitios web y aplicaciones ahora restringen la cantidad de intentos de inicio de sesión permitidos dentro de un período de tiempo determinado. Si esta es una opción, habilítala en todas las cuentas para evitar ataques de diccionario.

Obliga el restablecimiento: la piratería de diccionario suele basarse en muchos intentos para descifrar una contraseña. Reduce al mínimo la probabilidad de que un ataque sea exitoso al obligar a restablecer la contraseña después de una cierta cantidad de intentos fallidos. Si no es una opción que puedas habilitar automáticamente en tus cuentas, puedes implementar una versión más manual y hacer que las cuentas en línea te envíen un correo electrónico en caso de un intento fallido de inicio de sesión. Si se te notifica que alguien está intentando acceder a una cuenta, sobre todo si recibes varias notificaciones de este tipo seguidas, puedes entrar y cambiar tu contraseña para protegerla.

Evita utilizar determinadas palabras: evitar el uso de palabras habituales en todas tus contraseñas aumenta la protección de la seguridad de tu cuenta.
 
Arriba
© 2004-2024 Webcampista.com