Se armó un revuelo bastante grande por la publicación anónima de miles de usuarios y contraseñas pertenecientes a Hotmail, Gmail, Yahoo y otros webmails. En realidad el revuelo lo armaron los propios portales de noticias, algunos blogs y medios... desde el primer momento Microsoft descartó una filtración en sus sistemas y dejó sobre la mesa al phishing, incluso en la publicación daban consejos para evitarlo.

Sin embargo, en más de un sitio llegué a leer cosas como que ahora todos los usuarios debíamos cambiar nuestras contraseñas lo antes posible...

10, 20 mil cuentas... no son nada:

La siguiente imagen pertenece a una página que permite robar contraseñas de Hotmail, Gmail, Yahoo, Facebook y MySpace.
¿Como roban contraseñas?
Si observas el menú de la izquierda notarás que incluso hay instrucciones para utilizar el sitio, cualquiera lo puede hacer, hasta el usuario con menos conocimientos, de hecho cuando se captura una víctima su contraseña nos llega por correo. También hay un menú con los que "Ya Cayeron" y las "Víctimas Pendientes"... más intuitivo no lo podían hacer.

En las instrucciones se explica el funcionamiento de todo el mecanismo, por ejemplo para robar cuentas de Facebook se pueden enviar mensajes que simulan ser invitaciones de amigos, la víctima cuando abre el correo y pincha en el enlace recibido accede a una web falsa que, si bien en apariencia es similar a Facebook, en realidad es la web de los atacantes (basta con chequear la URL para notar que se está en otro sitio).
Hotmail
contraseñas
Parece Facebook, pero en realidad es otro sitio -ver URL-, al introducir la contraseña se envía a los atacantes.

Como vemos, robar contraseñas de esta forma es muy sencillo, no tenemos que tener muchos conocimientos -ni para evitar ser víctimas- y además, no sólo nosotros las podemos ver, también los administradores del sitio

La web del ejemplo está actualmente operativa y es muy conocida, de hecho está en el Top 100 mil de Alexa, lo que se traduce en un tráfico diario de visitas bastante interesante (2 o 3 mil por día aproximadamente).

¿Cuántas contraseñas almacenadas tendrán en su base de datos?, dado el perfil de muchos internautas que desconocen los métodos de phishing y suelen introducir su contraseña en cualquier sitio, yo apostaría seguro a más de 10 mil.
Fuente