[MASOCH-L] Phishing NetFlix
Leandro
leandro at allchemistry.com.br
Thu Jan 11 12:10:52 -02 2018
Em 11/01/2018 11:50, Fabio De Martin escreveu:
> Leandro,
>
> A maneira mais rápida de gerar dano é enviar o link para a Netcraft:
> https://toolbar.netcraft.com/report_url
Saquei. O problema é que o SPFBL não trabalha com a URL inteira. A gente
usa um script externo para extrair todos os endereços dos HREFs,
inclusive mailto, e recortamos o hostname quando for URL. O SPFBL só
recebe e-mail, hostname e IP, quando o assunto for links do corpo.
A ideia geral é pegar o sujeito pela máquina onde se encontra o Phishing
e listar a máquina dele mesmo e não listar a URL original que leva ao
Phishing. Através de cruzamentos de dados, conseguirmos identificar
essas máquinas finais e bloquear elas para envio de HREF. Neste caso,
pouco importa se o sujeito mudar a URL que aponta exatamente para a
mesma máquina.
Nossa experiência está mostrando que fraudadores costumam usar uma mesma
máquina para disparar diversos Phishings, com hostnames diferentes,
inclusive usando encurtadores as vezes. Se você buscar a última URL de
uma cadeira de redirecionamento, em tese vai encontrar a máquina e vai
poder colocar ela nas suas estatísticas como fonte de Phishing.
No caso particular dos encurtadores, acredito que este seja o tendão de
aquiles dos serviços anti-phishing pois o sujeito cria vários
encurtadores completamente diferentes e consegue assim driblar estes
serviços, levando todos os usuários para a mesma máquina dele. É como
enxugar gelo.
>
> Se mandar pro phishtank, por exemplo, pode demorar dias até que alguma
> ação seja tomada.
>
> Pela Netcraft o takedown e a marcação de phishing pelo Safe Browsing é
> bem rápida.
>
> []s
>
> ---
> ::: Fabio De Martin
> ::: +55 11 98515-1629
> ::: skype:demartin
>
> On 1/11/18 11:47 AM, Leandro wrote:
>> Em 11/01/2018 11:43, Fabio De Martin escreveu:
>>> Leandro,
>>>
>>> Infelizmente isso é realmente muito comum.
>>
>> Beleza Fábio. Vou achar uma solução para isso, mesmo que demore meses.
>>
>> Não vou deixar eles escaparem assim tão fácil sem pelo menos tomarem
>> algum dano.
>>
>>>
>>> []s
>>>
>>> ---
>>> ::: Fabio De Martin
>>> ::: +55 11 98515-1629
>>> ::: skype:demartin
>>>
>>> On 1/11/18 11:39 AM, Leandro wrote:
>>>> Em 11/01/2018 11:29, Fabio De Martin escreveu:
>>>>> Este link está validando geo localização e possívelmente o
>>>>> User-Agent.
>>>>>
>>>>> Quando você faz uma requisição por um IP fora do brasil ele
>>>>> redireciona para www.netflix.com.
>>>>>
>>>>> Se você fizer o teste pelo virtua, por exemplo, ele faz o
>>>>> direcionamento para a página com o phishing.
>>>>
>>>> Cacete. O cara foi genial! O que fiz foi acessar por um EC2 da AWS
>>>> de São Paulo, mas deve estar dando que esse IP é estrangeiro na geo
>>>> localização.
>>>>
>>>> Teremos que avançar em nossa tecnologia de URIBL com técnica de
>>>> redirecionamento. Vou refletir para achar uma solução.
>>>>
>>>>>
>>>>> []s
>>>>>
>>>>> ---
>>>>> ::: Fabio De Martin
>>>>> ::: +55 11 98515-1629
>>>>> ::: skype:demartin
>>>>>
>>>>> On 1/11/18 11:19 AM, Vinícius Santana wrote:
>>>>>> Aparenta ser mesmo os parâmetros da requisição. User-agent talvez?
>>>>>>
>>>>>> Se fizer uma request mais completa, o redirecionamento é o mesmo
>>>>>> que você
>>>>>> encontrou no Firefox:
>>>>>>
>>>>>>
>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list