Robo de cuentas en phishings a Hotmail

· de · en ecrime. ·

Los servicios como “Mira quien te tiene bloqueado” o “Obtén el nombre de los usuarios que te han eliminado de MsN”, es un servicio que suele atraer a usuarios curiosos.

Este tipo de servicio son un engaño total a usuario final, de manera que el único fin es infectar al usuario o el robo de contraseñas en si mismo.

En este caso, mi sistema anti-spam bloqueó un correo de este tipo, así que haremos un pequeño análisis.

La verdad es que es un poco sospechoso no?

Si miramos el código fuente de la página vemos las funciones mas importantes

function validaForm(){
d = document.form1;
var filter = /^([\w-]+(?:\.[\w-]+)*)@((?:[\w-]+\.)*\w[\w-]{0,66})\.([a-z]{2,6}(?:\.[a-z]{2})?)$/i;

if (!(filter.test(d.txtmail.value))){
alert(“O email não é válido”);
d.txtmail.focus();
return false;
}

Esta función comprueba que el email sea válido así se aseguran de recoger solo direcciones de correo válidas.

Cuando rellenas los campos de email y de contraseña:

<form name=”form1″ method=”post” action=”./action.php” onsubmit=”return validaForm()”>

Se envían los datos a un PHP que los recoge.

Cuando se envían los datos al usuario se le muestra la siguiente pantalla

En realidad esta página lo que nos muestra es:

 <span>HTTP-EQUIV</span>=’<span>Refresh</span>’ <span>CONTENT</span>=’<span>4;URL=http://hotmail.com</span>’&gt;</span><span>

En realidad la web nos muestra un mensaje y nos redirige a la web de Hotmail, de Microsoft, es decir, la web original.

Cuando se envían los datos en el submit, el servidor enviaría los siguientes datos

http://viajandopelasruas.com/cadastrando/cadastro/action.php

POST /cadastrando/cadastro/action.php HTTP/1.1
Host: viajandopelasruas.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Referer: http://viajandopelasruas.com/cadastrando/cadastro/
Content-Type: application/x-www-form-urlencoded
Content-Length: 65
txtmail=a%40hotmail.com&txtsenha=jujujujujuju&envia=Carregando…
HTTP/1.1 200 OK
Date: Fri, 15 Jun 2012 15:41:30 GMT
Content-Type: text/html
Connection: keep-alive
Keep-Alive: timeout=15
Server: Apache
Content-Length: 294

Una de las cosas que me sorprende es que el servicio de antiphishing de Hotmail que le deben de llegar como REFERER esta URL, no hayan mandado el cierre de dicha URL.

El controlar las URL que vienen de REFERER es muy importante y te da un valor añadido de conocimiento de que pueden estar haciendo contra ti.

About these ads

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Cancelar

Conectando a %s