[caiu] Santander!?
Rafael Cresci
rcresci em heavyswitch.com
Terça Fevereiro 7 21:03:00 BRST 2012
É como a Akamai trabalha.
E como o CloudFlare Pro também...
On 07/02/2012, at 21:00, Fabio Catunda wrote:
> Consultei mais uma vez e a resposta agora foi:
>
> $ dig +short www.santander.com.br
> santander.com.br.edgesuite.net.
> a1621.w26.akamai.net.
> 208.28.236.200
> 208.28.236.168
>
> Até ai não me assusta tanto, mas essa história do redirect para um hostname que não bate com o cn do certificado SSL não me cheira bem.
>
> Att,
>
> Catunda.
>
> On 07-02-2012 20:55, Rafael Cresci wrote:
>> Eles estão usando a Akamai, não tem nenhum problema nisso. Os IPs serão muitos distintos, todos da infra de CDN da Akamai.
>>
>> []s
>> Rafael Cresci
>>
>> On 07/02/2012, at 20:52, Fabio Catunda wrote:
>>
>>
>>> Caros,
>>>
>>> Obrigado pelas respostas.
>>>
>>> Inicialmente o que me chamou muita atenção foi o fato do browser me dar esta mensagem ao acessar:
>>> This is probably not the site you are looking for!
>>> You attempted to reach www.santander.com.br, but instead you actually reached a server identifying itself as a248.e.akamai.net. This may be caused by a misconfiguration on the server or by something more serious. An attacker on your network could be trying to get you to visit a fake (and potentially harmful) version of www.santander.com.br. You should not proceed.
>>>
>>> Pois bem, tendo mais de um link de acesso aqui na empresa, inclusive com DNSs distintos, resolvi trocar o proxy do meu browser e recebi a mesma mensagem.
>>>
>>> Resolvi então dar uma varrida nos meus servidores DNS para ver se era só dentro da minha rede que ocorria alguma resolução de nome que apontava para o lugar errado, ai vão meus "digs":
>>> $ dig +short www.santander.com.br @192.168.5.124 (este usa como forwarder o 200.169.208.2)
>>> santander.com.br.edgesuite.net.
>>> a1621.w26.akamai.net.
>>> 63.218.95.80
>>> 63.218.95.113
>>>
>>> No google:
>>> dig +short www.santander.com.br @8.8.8.8
>>> santander.com.br.edgesuite.net.
>>> a1621.w26.akamai.net.
>>> 65.120.60.34
>>> 65.120.60.16
>>>
>>> São respostas relativamente parecidas, mas com IPs bem distintos.
>>>
>>> Eu realmente não me sei de cabeça quais são os IPs do Santander, mas achei que havia algo estranho no site.
>>>
>>> Ao acessar pelo browser reparei que são feitas algumas consultas estranhas na barra de tarefas do próprio browser, consultas por "proxy tunnel" ou algo parecido, porém, não encontrei tais tentativas de acesso no log do proxy (estranho)
>>>
>>> Achando isso tudo muito estranho, resolvi ligar no "super linha" para cancelar qualquer cartão ou acesso, então bateu o desespero completo, a gravação da URA dizia uma ou duas opções e então a bela mensagem "caso tenha reparado alguma movimentação estranha em sua conta, entre em contato com seu gerente". Bom, me ferrei!
>>>
>>> Agora ainda estou tentando ligar naquela meleca, mas pelo visto todas as linhas estão ocupadas e não sou atendido nunca, a chamada fica simplesemente muda.
>>>
>>> Não sei se é normal, mas ao acessar o site www.santander.com.br sou direcionado diretamente para http://www.santander.com.br/pages/portal/home_pf.htm
>>> Esta página não está me parecendo a página normal do Santander, mas não sei afirmar com certeza o que está de errado.
>>>
>>> Enfim, resolvi mandar a mensagem para a lista para ver se alguém mais estava achando algo estranho.
>>>
>>> Att,
>>>
>>> Fábio Catunda.
>>>
>>>
>>>
>>> Depois no Google:
>>>
>>>
>>> On 07-02-2012 20:12, Victor Benincasa wrote:
>>>
>>>> Fábio, seja mais específico, o que está estranho? Por aqui aparentemente
>>>> tudo ok, e estou usando o DNS do Google.
>>>>
>>>> Uma possibilidade é sua máquina estar comprometida.
>>>>
>>>> Abraço,
>>>>
>>>> Victor Benincasa
>>>>
>>>>
>>>> On 7/2/2012 20:01, Fabio Catunda wrote:
>>>>
>>>>> Caros,
>>>>>
>>>>> O Santander está completamente hackeado ou são só os servidores DNS que eu uso (incluindo o do Google)!?
>>>>>
>>>>> Mais alguém reparou algo muito estranho ao acessar o site?
>>>>>
>>>>> Obrigado,
>>>>>
>>>>> Fábio Catunda.
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu em eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>
>>>> _______________________________________________
>>>> caiu mailing list
>>>> caiu em eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>>>
>>> _______________________________________________
>>> caiu mailing list
>>> caiu em eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>>>
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
Mais detalhes sobre a lista de discussão caiu