miércoles, 4 de julio de 2012

mails de phishing news-story24.com

Buenos días!!! hoy va una entrada medio express porque tengo que ponerme a avanzar un poco con la tesis así que ahí vamos.

Resulta que esta mañana viendo los correos, me encuentro con que alguien que jamás me escribió, me mandó un link (http://moneyathomestor e.com/wp-admin/ultrup.html?rwz=bhhqeu). El mail no llama para nada la atención, no tiene asunto ni texto mas allá del propio enlace.

A simple vista se ve que se trata de un sitio hecho en wordpress (por el wp-admin). Como bien saben hay un dicho que dice "La curiosidad mató al gato", así que allá fue: copie la el link y lo pegué en el browser.

El link no nos lleva a al home del sitio principal, sino a algo similar a esto:


 Cuyo código (precario) es:


<h1>
You are here because one of your friends <br> have invited you.<br>
Page loading, please wait....
h1>
<meta http-equiv="refresh" content="3; url=http://news-story24.com/">


nos redirije a news-story24.com. Simpático!!! Analizando ese sitio con virustotal.com (https://www.virustotal.com/url/a7bb4e464122a7917a0b1fad660287c2ba7ec6e1fa80c423e69f7fb117888785/analysis/1341407178/) nos dice que es un sitio fraudulento y que se dedica al phishing, que raro xD.

Bien, veamos de qué se trata don news-story24!!! 

A simple vista el sitio se ve muy bonito:


Pero si empezamos a leerla y a pasear el mouse sobre ella nos encontramos con algo muy particular:

-Todos los links internos llevan a http://news-story24.com/hcg.php?s= , raro no?

Podemos ver todos los links disponibles en el sitio con:

$ curl news-story24.com 2>/dev/null| perl -n -e '/href=\"(.*?)\"/ && print "$1\n"'
Encontramos con 26 links a hcg.php?s=, y el resto son links de perfiles de facebook.

El link en cuestión nos redirije (por 301, moved permanently) a http://www984.hcg-diet-ultra.com/order.php?s= (también sospechoso https://www.virustotal.com/url/16574b392a4d0e682574573da7b073e7b297051a5b21ddc62a3884fef15cb374/analysis/1341411688/). Donde vemos todas las ofertas disponibles. 

Como nos morimos de ganas de comprar un producto para combatir nuestro exceso de peso (cuak!), procedemos a llenar el formulario. Notamos:

-Que en la parte baja del sitio tenemos imágenes como


Por las cuales uno podría pensar que se trata de un sitio seguro y confiable, pero no existe conexión https, y de hecho el formulario es procesador por el script http://www420.hcg-diet-ultra.com/success.php . 

A ver... puede que se trate de un sitio de ventas genuino, pero:

-Están utilizando spam entre otras cosas para promocionarse.
-No utilizan conexiones seguras para que el usuario pueda ingresar sus datos privados de manera confiable.

No hay comentarios:

Publicar un comentario