Resulta que esta mañana viendo los correos, me encuentro con que alguien que jamás me escribió, me mandó un link (http://moneyathomestor e.com/
A simple vista se ve que se trata de un sitio hecho en wordpress (por el wp-admin). Como bien saben hay un dicho que dice "La curiosidad mató al gato", así que allá fue: copie la el link y lo pegué en el browser.
El link no nos lleva a al home del sitio principal, sino a algo similar a esto:
Cuyo código (precario) es:
<h1> You are here because one of your friends <br> have invited you.<br> Page loading, please wait.... h1> <meta http-equiv="refresh" content="3; url=http://news-story24.com/">
nos redirije a news-story24.com. Simpático!!! Analizando ese sitio con virustotal.com (https://www.virustotal.com/url/a7bb4e464122a7917a0b1fad660287c2ba7ec6e1fa80c423e69f7fb117888785/analysis/1341407178/) nos dice que es un sitio fraudulento y que se dedica al phishing, que raro xD.
Bien, veamos de qué se trata don news-story24!!!
A simple vista el sitio se ve muy bonito:
Pero si empezamos a leerla y a pasear el mouse sobre ella nos encontramos con algo muy particular:
-Todos los links internos llevan a http://news-story24.com/hcg.php?s= , raro no?
Podemos ver todos los links disponibles en el sitio con:
$ curl news-story24.com 2>/dev/null| perl -n -e '/href=\"(.*?)\"/ && print "$1\n"'
Encontramos con 26 links a hcg.php?s=, y el resto son links de perfiles de facebook.
El link en cuestión nos redirije (por 301, moved permanently) a http://www984.hcg-diet-ultra.com/order.php?s= (también sospechoso https://www.virustotal.com/url/16574b392a4d0e682574573da7b073e7b297051a5b21ddc62a3884fef15cb374/analysis/1341411688/). Donde vemos todas las ofertas disponibles.
Como nos morimos de ganas de comprar un producto para combatir nuestro exceso de peso (cuak!), procedemos a llenar el formulario. Notamos:
-Que en la parte baja del sitio tenemos imágenes como
Por las cuales uno podría pensar que se trata de un sitio seguro y confiable, pero no existe conexión https, y de hecho el formulario es procesador por el script http://www420.hcg-diet-ultra.com/success.php .
A ver... puede que se trate de un sitio de ventas genuino, pero:
-Están utilizando spam entre otras cosas para promocionarse.
-No utilizan conexiones seguras para que el usuario pueda ingresar sus datos privados de manera confiable.
