[MASOCH-L] Phishing NetFlix

Leandro leandro at allchemistry.com.br
Thu Jan 11 12:30:58 -02 2018


Em 11/01/2018 11:45, Fabio De Martin escreveu:
> Só pra complementar, alguns kits de phishing já tem este recurso 
> (limitar por geoip) embutido...

Fábio. Você que tem muita experiência nessa área de segurança, saberia 
me dizer se existe algum parâmetro de requisição HTTP específico, ou 
então algum caminho dentro da URL, cuja resposta denuncie que o sujeito 
está usando um destes kits de phishing? Acho que não , mas vai que...

>
> ---
> ::: Fabio De Martin
> ::: +55 11 98515-1629
> ::: skype:demartin
>
> On 1/11/18 11:39 AM, Leandro wrote:
>> Em 11/01/2018 11:29, Fabio De Martin escreveu:
>>> Este link está validando geo localização e possívelmente o User-Agent.
>>>
>>> Quando você faz uma requisição por um IP fora do brasil ele 
>>> redireciona para www.netflix.com.
>>>
>>> Se você fizer o teste pelo virtua, por exemplo, ele faz o 
>>> direcionamento para a página com o phishing.
>>
>> Cacete. O cara foi genial! O que fiz foi acessar por um EC2 da AWS de 
>> São Paulo, mas deve estar dando que esse IP é estrangeiro na geo 
>> localização.
>>
>> Teremos que avançar em nossa tecnologia de URIBL com técnica de 
>> redirecionamento. Vou refletir para achar uma solução.
>>
>>>
>>> []s
>>>
>>> ---
>>> ::: Fabio De Martin
>>> ::: +55 11 98515-1629
>>> ::: skype:demartin
>>>
>>> On 1/11/18 11:19 AM, Vinícius Santana wrote:
>>>> Aparenta ser mesmo os parâmetros da requisição. User-agent talvez?
>>>>
>>>> Se fizer uma request mais completa, o redirecionamento é o mesmo 
>>>> que você
>>>> encontrou no Firefox:
>>>>
>>>>
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l



More information about the masoch-l mailing list