[MASOCH-L] Phishing NetFlix
Ednilson Aureliano
ednilson at eddy.com.br
Thu Jan 11 13:35:19 -02 2018
Pelo que pesquisei... Se esse phising for do mesmo proprietario do dominio. Não vai ser facil.
DOMAIN INFORMATION
Domain:localbox.org
Registration Date:2010-11-08
Expiration Date:2018-11-08
Updated Date:2018-01-09
http://logs.nodejs.org/node.js/2012-03-25
" 11:39:57 <nbari> that script is running here: http://live.localbox.org:3000/ "
https://godoc.org/github.com/nbari/violetear
" Package violetear - HTTP router "
Com base nos cabeçalhos, se faz os redirecionamentos.
---- On Qui, 11 jan 2018 12:30:55 -0200 Leandro <leandro at allchemistry.com.br> wrote ----
Em 11/01/2018 11:45, Fabio De Martin escreveu:
> Só pra complementar, alguns kits de phishing já tem este recurso
> (limitar por geoip) embutido...
Fábio. Você que tem muita experiência nessa área de segurança, saberia
me dizer se existe algum parâmetro de requisição HTTP específico, ou
então algum caminho dentro da URL, cuja resposta denuncie que o sujeito
está usando um destes kits de phishing? Acho que não , mas vai que...
>
> ---
> ::: Fabio De Martin
> ::: +55 11 98515-1629
> ::: skype:demartin
>
> On 1/11/18 11:39 AM, Leandro wrote:
>> Em 11/01/2018 11:29, Fabio De Martin escreveu:
>>> Este link está validando geo localização e possívelmente o User-Agent.
>>>
>>> Quando você faz uma requisição por um IP fora do brasil ele
>>> redireciona para www.netflix.com.
>>>
>>> Se você fizer o teste pelo virtua, por exemplo, ele faz o
>>> direcionamento para a página com o phishing.
>>
>> Cacete. O cara foi genial! O que fiz foi acessar por um EC2 da AWS de
>> São Paulo, mas deve estar dando que esse IP é estrangeiro na geo
>> localização.
>>
>> Teremos que avançar em nossa tecnologia de URIBL com técnica de
>> redirecionamento. Vou refletir para achar uma solução.
>>
>>>
>>> []s
>>>
>>> ---
>>> ::: Fabio De Martin
>>> ::: +55 11 98515-1629
>>> ::: skype:demartin
>>>
>>> On 1/11/18 11:19 AM, Vinícius Santana wrote:
>>>> Aparenta ser mesmo os parâmetros da requisição. User-agent talvez?
>>>>
>>>> Se fizer uma request mais completa, o redirecionamento é o mesmo
>>>> que você
>>>> encontrou no Firefox:
>>>>
>>>>
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list