[MASOCH-L] Phishing NetFlix
Leandro
leandro at allchemistry.com.br
Thu Jan 11 14:01:12 -02 2018
Realmente punk Ednilson! Até eu achar uma solução definitiva, fiz um
quebra galho aqui.
Criei uma constante $NOREDIR, que serve para limitar quais URLs não
podem ser redirecionadas, fazendo com que o script pare antes do próximo
salto de redirecionamento:
https://www.dropbox.com/s/ywprjz3k2ric1m0/uribl.pl?dl=0
A ideia é colocar esses sites famosos e criticos nesta constante, para
que os farsantes não consigam enganar o script. O teste para este caso
funcionou:
ubuntu at mx-br:~$ ./uribl.pl http://pallas.localbox.org/aswe.php
pallas.localbox.org is listed in 'uribl.spfbl.net'.
Antes dessa mudança, estava retornando o host da NetFlix:
ubuntu at mx-br:~$ ./uribl.pl http://pallas.localbox.org/aswe.php
(www.netflix.com) is not listed in 'uribl.spfbl.net'.
O chato é ter que ficar atualizando essa constante $NOREDIR sempre que
um engraçadinho fazer esse tipo de palhaçada.
Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7190 (das 8h às 12h)
Em 11/01/2018 13:35, Ednilson Aureliano escreveu:
> Pelo que pesquisei... Se esse phising for do mesmo proprietario do dominio. Não vai ser facil.
>
>
>
> DOMAIN INFORMATION
>
> Domain:localbox.org
>
> Registration Date:2010-11-08
>
> Expiration Date:2018-11-08
>
> Updated Date:2018-01-09
>
>
>
> http://logs.nodejs.org/node.js/2012-03-25
>
> " 11:39:57 <nbari> that script is running here: http://live.localbox.org:3000/"
>
>
>
> https://godoc.org/github.com/nbari/violetear
>
> " Package violetear - HTTP router"
>
>
>
> Com base nos cabeçalhos, se faz os redirecionamentos.
>
>
>
>
>
> ---- On Qui, 11 jan 2018 12:30:55 -0200 Leandro <leandro at allchemistry.com.br> wrote ----
>
>
>
>
> Em 11/01/2018 11:45, Fabio De Martin escreveu:
>
> > Só pra complementar, alguns kits de phishing já tem este recurso
>
> > (limitar por geoip) embutido...
>
>
>
> Fábio. Você que tem muita experiência nessa área de segurança, saberia
>
> me dizer se existe algum parâmetro de requisição HTTP específico, ou
>
> então algum caminho dentro da URL, cuja resposta denuncie que o sujeito
>
> está usando um destes kits de phishing? Acho que não , mas vai que...
>
>
>
> >
>
> > ---
>
> > ::: Fabio De Martin
>
> > ::: +55 11 98515-1629
>
> > ::: skype:demartin
>
> >
>
> > On 1/11/18 11:39 AM, Leandro wrote:
>
> >> Em 11/01/2018 11:29, Fabio De Martin escreveu:
>
> >>> Este link está validando geo localização e possívelmente o User-Agent.
>
> >>>
>
> >>> Quando você faz uma requisição por um IP fora do brasil ele
>
> >>> redireciona para www.netflix.com.
>
> >>>
>
> >>> Se você fizer o teste pelo virtua, por exemplo, ele faz o
>
> >>> direcionamento para a página com o phishing.
>
> >>
>
> >> Cacete. O cara foi genial! O que fiz foi acessar por um EC2 da AWS de
>
> >> São Paulo, mas deve estar dando que esse IP é estrangeiro na geo
>
> >> localização.
>
> >>
>
> >> Teremos que avançar em nossa tecnologia de URIBL com técnica de
>
> >> redirecionamento. Vou refletir para achar uma solução.
>
> >>
>
> >>>
>
> >>> []s
>
> >>>
>
> >>> ---
>
> >>> ::: Fabio De Martin
>
> >>> ::: +55 11 98515-1629
>
> >>> ::: skype:demartin
>
> >>>
>
> >>> On 1/11/18 11:19 AM, Vinícius Santana wrote:
>
> >>>> Aparenta ser mesmo os parâmetros da requisição. User-agent talvez?
>
> >>>>
>
> >>>> Se fizer uma request mais completa, o redirecionamento é o mesmo
>
> >>>> que você
>
> >>>> encontrou no Firefox:
>
> >>>>
>
> >>>>
>
> >>>
>
> >>> __
>
> >>> masoch-l list
>
> >>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> >>
>
> >> __
>
> >> masoch-l list
>
> >> https://eng.registro.br/mailman/listinfo/masoch-l
>
> >
>
> > __
>
> > masoch-l list
>
> > https://eng.registro.br/mailman/listinfo/masoch-l
>
>
>
> __
>
> masoch-l list
>
> https://eng.registro.br/mailman/listinfo/masoch-l
>
>
>
>
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list