[HACK] Localización por IP

G. Mallen mallen at chispa.com.mx
Thu Jan 4 19:59:04 CET 2001 

Hace tiempo tuve una situación similar: unos tios estaban mandando
correos electronicos obsenos a un par de chicos desde unas cuentas en
hotmail. Afortunadamente los mensajes de hotmail tienen un campo de
encabezado en el que dicen desde qué IP estaba conectado el remitente
cuando mandó el mensaje.

Con la IP averigüé fácilmente de qué ISP se trataba con un simple
comando host <IP>.
Una vez hecho esto hablamos con el ISP para que revisara sus bitácoras.
Un técnico muy decente echó un vistazo y nos dijo que ya tenía el dato,
pero que requería una orden del juez para decir qué cuenta estaba
conectada en ese momento. Le pedimos que guardara la información
mientras sacábamos la orden, cosa que tardó seis meses y finalmente
cayeron los dos estúpidos que abusaban del correo.

En general los ISP no usan el sistema de identificación de llamadas y no
tienen el número que originó la llamada, pero siempre tienen la cuenta
que se usó. 

Es posible que el lamer use una cuenta de acceso robada, en cuyo caso el
ISP te daría el número telefónico correspondiente al modem usado y las
horas de inicio y terminación de la sesión. Con estos datos (y otra
orden del juez) la telefónica te puede decir desde qué número se originó
la llamada. Aquí el problema en contra es el tiempo pues en general una
vez hecha la facturación mensual de la telefónica los archivos se borran
y no siempre tienen respaldos de datos muy viejos.

El escenario más malo se presenta cuando el atacante usa un cibercafé o
entra desde una computadora de uso comunitario en una universidad, pues
lo mas lejos que puedes llegar es hasta la máquina y luego vas a sufrir
para identificar a la persona que estaba sentada frente a esa máquina en
ese momento.

Buena caza.

Guillermo

Alejandro wrote:
> 
> (jcea, me haces un favor si lo dejas pasar, porfavor)
> 
> Hola a todos
> 
> Vereis, un familiar mío ha sido victima de un intento de fraude a traves
> de internet con los numeros de su tarjeta de crédito. Gracias a dios, la
> tarjeta solo tenía un crédito de 25000 pts y la operación que se intentó
> superaba con creces esta cantidad. Cuando me enteré de todo el asunto, el
> banco había cerrado pero se lo contaron todo a él y la central del banco
> en Madrid dió el aviso a la sucursal y se canceló la tarjeta. Mañana a
> primera hora pienso ir a hablar con el director de la sucursal a ver si
> poniendose en contacto con Madrid me pueden hacer llegar más datos acerca
> del imbecil que ha intentado esto.
> Mi pregunta es: si consigo por los medios que sean la IP del lamer ¿con
> quien debería ponerme en contacto para que me dieran el num. de tlf al que
> pertenece la IP en el horario determinado? Sé que cada ISP suele empezar
> sus IP's dinámicas con el mismo numero (como eresmas q lo hace con el
> 62.x.x.x)
> 
> Os agradecería la ayuda, porque el desgraciado este es de mi ciudad y mi
> familiar me ha contado que solo utilizó la tarjeta en unos grandes
> alamcenes, un almacén de bricolage, y en una gasolinera un par de veces.
> 
> A ver si me ayudais y puedo coger al lamer este y darle una buena
> pal... estoooo... un aviso ':-)
> 
> Si locojo os contaré todos los detalles (a menos q no os gusten las pelis
> de violencia)
> 
> Gracias a todos
> 
> EOT
> 
>                  --- LODOSS ---
> (@gpul.org, @freenet.nether.net, @cyberspace.org)
> 
>                 CLUG/GPUL member
>        Registered Linux User num.  #179198
>        TraSNo Member (Translation Project)
>        -------- ICQ    #103165731 -------
> 
> _______________________________________________
> Lista - http://mailman.argo.es/listinfo/hacking
> FAQ - http://www.argo.es/~jcea/artic/hack-faq.htm
> "una-al-dia" para estar siempre informado - http://www.hispasec.com/

More information about the hacking mailing list