[MASOCH-L] Phishing NetFlix
Vinícius Santana
vinicius at vegbrasil.com
Thu Jan 11 11:19:33 -02 2018
Aparenta ser mesmo os parâmetros da requisição. User-agent talvez?
Se fizer uma request mais completa, o redirecionamento é o mesmo que você
encontrou no Firefox:
curl -v 'http://pallas.localbox.org/aswe.php' -H 'Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8'
-H 'Connection: keep-alive' -H 'Accept-Encoding: gzip, deflate' -H
'Accept-Language: en-US,en;q=0.9' -H 'Upgrade-Insecure-Requests: 1' -H
'User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML,
like Gecko) Chrome/63.0.3239.132 Safari/537.36' --compressed
* Trying 186.221.160.126...
* Connected to pallas.localbox.org (186.221.160.126) port 80 (#0)
> GET /aswe.php HTTP/1.1
> Host: pallas.localbox.org
> Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
> Connection: keep-alive
> Accept-Encoding: gzip, deflate
> Accept-Language: en-US,en;q=0.9
> Upgrade-Insecure-Requests: 1
> User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML,
like Gecko) Chrome/63.0.3239.132 Safari/537.36
>
< HTTP/1.1 302 Found
< Date: Thu, 11 Jan 2018 13:17:47 GMT
< Server: Apache
< Location: *./netflixPT/?577=/SSL/zichehosso/Versao/=577*
< Content-Length: 0
< Keep-Alive: timeout=15, max=100
< Connection: Keep-Alive
< Content-Type: text/html; charset=UTF-8
<
* Connection #0 to host pallas.localbox.org left intact
Em 11 de janeiro de 2018 11:01, Leandro <leandro at allchemistry.com.br>
escreveu:
> Pessoal,
>
> Estou estudando uma nova fraude do NetFlix e estou quebrando a cabeça aqui
> para descobrir uma inconsistência de redirecionamento:
>
> http://pallas.localbox.org/aswe.php
>
> Olhando os cabeçalhos HTTP, percebam que no Firefox ele retorna o Location
> de uma subpasta local do mesmo host:
>
> https://prnt.sc/hyz3by
>
> Porém, quando tento puxar os cabeçalhos pelo curl, retorna Location
> externo para o site do NetFlix:
>
> ubuntu at mx-br:~$ curl -I http://pallas.localbox.org/aswe.php
> HTTP/1.1 302 Found
> Date: Thu, 11 Jan 2018 12:56:48 GMT
> Server: Apache
> Location: http://www.netflix.com
> Content-Type: text/html; charset=UTF-8
>
> Rapaz, eu faço a menor ideia do que está rolando. :-(
>
> Alguém consegue me ajudar a descobrir o que causa essa mudança do Location
> de FireFox para curl? Parâmetros de request header talvez?
>
> --
> Leandro Carlos Rodrigues
> TI All Chemistry do Brasil
> (11) 3014-7190 (das 8h às 12h)
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list