[MASOCH-L] Phishing NetFlix
Leandro
leandro at allchemistry.com.br
Thu Jan 11 14:17:45 -02 2018
Em 11/01/2018 14:03, Lucas Willian Bocchi escreveu:
> Leandro
> Te recomendaria fazer o seguinte: como você tem vários outros servidores
> rodando em vários locais diferentes, tentar enviar essas urls pra cada
> servidor fazer um acesso e retornar uma resposta. No caso seria necessário
> atualizar os servers que estão rodando spfbl por aí, porém é uma baita de
> uma mão na roda por que tem muitos hospedados fora e isso ajudaria demais.
Boa Lucas! Estava conversando com o Rubens justamente sobre essa
solução. Seria uma solução definitiva mesmo.
Mas melhor esperar a rede SPFBL ser grande o suficiente para valer o
esforço de implementar isso. Teria que ser uma rede Internacional para a
solução poder funcionar.
>
> Em 11 de janeiro de 2018 14:01, Leandro <leandro at allchemistry.com.br>
> escreveu:
>
>> Realmente punk Ednilson! Até eu achar uma solução definitiva, fiz um
>> quebra galho aqui.
>>
>> Criei uma constante $NOREDIR, que serve para limitar quais URLs não podem
>> ser redirecionadas, fazendo com que o script pare antes do próximo salto de
>> redirecionamento:
>>
>> https://www.dropbox.com/s/ywprjz3k2ric1m0/uribl.pl?dl=0
>>
>> A ideia é colocar esses sites famosos e criticos nesta constante, para que
>> os farsantes não consigam enganar o script. O teste para este caso
>> funcionou:
>>
>> ubuntu at mx-br:~$ ./uribl.pl http://pallas.localbox.org/aswe.php
>> pallas.localbox.org is listed in 'uribl.spfbl.net'.
>>
>> Antes dessa mudança, estava retornando o host da NetFlix:
>>
>> ubuntu at mx-br:~$ ./uribl.pl http://pallas.localbox.org/aswe.php
>> (www.netflix.com) is not listed in 'uribl.spfbl.net'.
>>
>> O chato é ter que ficar atualizando essa constante $NOREDIR sempre que um
>> engraçadinho fazer esse tipo de palhaçada.
>>
>> Leandro Carlos Rodrigues
>> TI All Chemistry do Brasil
>> (11) 3014-7190 (das 8h às 12h)
>>
>> Em 11/01/2018 13:35, Ednilson Aureliano escreveu:
>>
>>> Pelo que pesquisei... Se esse phising for do mesmo proprietario do
>>> dominio. Não vai ser facil.
>>>
>>>
>>>
>>> DOMAIN INFORMATION
>>>
>>> Domain:localbox.org
>>>
>>> Registration Date:2010-11-08
>>>
>>> Expiration Date:2018-11-08
>>>
>>> Updated Date:2018-01-09
>>>
>>>
>>>
>>> http://logs.nodejs.org/node.js/2012-03-25
>>>
>>> " 11:39:57 <nbari> that script is running here:
>>> http://live.localbox.org:3000/"
>>>
>>>
>>>
>>> https://godoc.org/github.com/nbari/violetear
>>>
>>> " Package violetear - HTTP router"
>>>
>>>
>>>
>>> Com base nos cabeçalhos, se faz os redirecionamentos.
>>>
>>>
>>>
>>>
>>>
>>> ---- On Qui, 11 jan 2018 12:30:55 -0200 Leandro &
>>> lt;leandro at allchemistry.com.br> wrote ----
>>>
>>>
>>>
>>>
>>> Em 11/01/2018 11:45, Fabio De Martin escreveu:
>>>
>>> > Só pra complementar, alguns kits de phishing já tem este recurso
>>>
>>> > (limitar por geoip) embutido...
>>>
>>>
>>>
>>> Fábio. Você que tem muita experiência nessa área de segurança, saberia
>>>
>>> me dizer se existe algum parâmetro de requisição HTTP específico, ou
>>>
>>> então algum caminho dentro da URL, cuja resposta denuncie que o sujeito
>>>
>>> está usando um destes kits de phishing? Acho que não , mas vai que...
>>>
>>>
>>>
>>> >
>>>
>>> > ---
>>>
>>> > ::: Fabio De Martin
>>>
>>> > ::: +55 11 98515-1629
>>>
>>> > ::: skype:demartin
>>>
>>> >
>>>
>>> > On 1/11/18 11:39 AM, Leandro wrote:
>>>
>>> >> Em 11/01/2018 11:29, Fabio De Martin escreveu:
>>>
>>> >>> Este link está validando geo localização e possívelmente o
>>> User-Agent.
>>>
>>> >>>
>>>
>>> >>> Quando você faz uma requisição por um IP fora do brasil ele
>>>
>>> >>> redireciona para www.netflix.com.
>>>
>>> >>>
>>>
>>> >>> Se você fizer o teste pelo virtua, por exemplo, ele faz o
>>>
>>> >>> direcionamento para a página com o phishing.
>>>
>>> >>
>>>
>>> >> Cacete. O cara foi genial! O que fiz foi acessar por um EC2 da
>>> AWS de
>>>
>>> >> São Paulo, mas deve estar dando que esse IP é estrangeiro na geo
>>>
>>> >> localização.
>>>
>>> >>
>>>
>>> >> Teremos que avançar em nossa tecnologia de URIBL com técnica de
>>>
>>> >> redirecionamento. Vou refletir para achar uma solução.
>>>
>>> >>
>>>
>>> >>>
>>>
>>> >>> []s
>>>
>>> >>>
>>>
>>> >>> ---
>>>
>>> >>> ::: Fabio De Martin
>>>
>>> >>> ::: +55 11 98515-1629
>>>
>>> >>> ::: skype:demartin
>>>
>>> >>>
>>>
>>> >>> On 1/11/18 11:19 AM, Vinícius Santana wrote:
>>>
>>> >>>> Aparenta ser mesmo os parâmetros da requisição.
>>> User-agent talvez?
>>>
>>> >>>>
>>>
>>> >>>> Se fizer uma request mais completa, o redirecionamento é
>>> o mesmo
>>>
>>> >>>> que você
>>>
>>> >>>> encontrou no Firefox:
>>>
>>> >>>>
>>>
>>> >>>>
>>>
>>> >>>
>>>
>>> >>> __
>>>
>>> >>> masoch-l list
>>>
>>> >>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>> >>
>>>
>>> >> __
>>>
>>> >> masoch-l list
>>>
>>> >> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>> >
>>>
>>> > __
>>>
>>> > masoch-l list
>>>
>>> > https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>>
>>>
>>> __
>>>
>>> masoch-l list
>>>
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>>
>>>
>>>
>>>
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list