Descubre 4n4lDetector Pro y Pescan.io

Analiza archivos de forma avanzada con 4n4lDetector Pro y prueba la versión online en Pescan.io. Todo desde tu navegador o tu escritorio.

Intelligent String para priorizar IOCs útiles, heurísticas de flujo anómalo, generación de reglas YARA con un clic, carving de encabezados PE, y detección de firmas Microsoft manipuladas. Compatible con 32/64-bit y formatos comunes (.exe, .dll, .sys, .ocx, .scr, .drv, .cpl). Funciona desde cualquier navegador o en tu escritorio con CLI, GUI y plataforma web integrada. Incluye hash intelligence, gamificación interna, Interest Words, y más de 10,000 reglas para detección avanzada de malware.

lunes, 10 de septiembre de 2012

¡Me intentaron Hackear!

Ya estoy de vuelta de la Sierra de Madrid, y vaya una sorpresa me dió una apuesta chica llamada Carolina Fernandez, cuando activé el 3G de mi móvil en medio la montaña. Esta, se puso en contacto conmigo para compartir enlaces, pero claro... yo no voy regalando mi 3 en PageRank a cualquiera... ¡por muchas tetas que tenga! ¿O sí? =P


Me bastó con ver el mensaje original desde Gmail, para darme cuenta de que el enlace que se escondía detrás de la palabra LINK, no era del todo confiable.


Desde una máquina virtual e instalando la última versión de Google Chrome, copié el enlace y lo pegué directamente sobre la URL. Me llamó la atención que mi nombre de usuario de Gmail, apareciera en la caja de texto como recordado, cuando el navegador acababa de ser instalado.

Así que dando caña a los parámetros, supuse que las codificaciones de los mismos se basaban en base64. Rescatando el contenido que recogía el parámetro “u” de la segunda imagen, vería de que forma introdujeron mi correo electrónico en la plantilla del falso Gmail.


El parámetro “p” recoge un blog de posicionamiento... ¿Serán ellos los graciosos con fin de hacer Black Hat SEO?


Mientras que el parámetro “n”, nos mostraría a mi y a “mi señora”, un mensaje con el que me pasaría el reto personal :O


Todo lo visto en este ataque, se basa inicialmente en el envío de correo masivo SPAM, agregando de una forma automatizada el proceso del Phising, personalizándolo mediante técnicas de ingeniería social, con el objetivo de dar una mayor credibilidad a la hora de caer en la trampa...

Saludos 4n4les! ;)
Publicado por Germán Sánchez Garcés en 0:02
Etiquetas: , ,

18 comentarios:

  1. Felipe Molina (@felmoltor)10 de septiembre de 2012 a las 0:29

    ¿Has dicho "cifrado base64"? ¿En serio? Venga hombre...

    base64 es una codificación ¿O acaso necesitaste una palabra secreta para obtener el texto legible?

    ResponderEliminar
    Respuestas
    1. Germán Sánchez Garcés10 de septiembre de 2012 a las 0:36

      Tienes razón Felipe, pero no creo que nadie se sienta tan dolido por una errata :O

      Eliminar
    2. Anónimo10 de septiembre de 2012 a las 3:04

      No es errata, es ignorancia de tu parte.

      Eliminar
    3. asdsdadasdsadasdas10 de septiembre de 2012 a las 9:51

      Veo mucho hijoputismo en tus comentarios, Felipe.

      Eliminar
  2. Angel10 de septiembre de 2012 a las 1:11

    Felipe estas un poco chalado ponerte asi por una simple errata.Deberias mirartelo ;)

    ResponderEliminar
  3. Angel10 de septiembre de 2012 a las 1:15

    Por cierto German buen articulo y si quieres saber de donde te lo enviaron te paso la web :)

    ResponderEliminar
    Respuestas
    1. Germán Sánchez Garcés10 de septiembre de 2012 a las 10:10

      Hola Angel!

      compártela por aquí si quieres, me llamó la atención que llegase a la bandeja de correo normal y no a SPAM.

      Saludos y gracias! :)

      Eliminar
    2. Angel17 de septiembre de 2012 a las 21:46

      Hola German aqui os dejo la pagina que se dedica a ello.Necesita registro(gratuito) y manda fakes o xploits a quien quieras.Si obtienen la password y quieres verla entonces pagas por ello.Saludos German :)http://www.lanzadorx.com

      Eliminar
  4. Ramón Sola10 de septiembre de 2012 a las 1:43

    Hola, llevo un tiempo siguiendo el blog y he visto aquí algo que me resulta familiar... el "jaja parece ke sos vivo eh" ese, por ejemplo en una entrada de otro blog referida a un phishing de Hotmail.

    Así que, o circula por ahí algún kit comercial de phishing que simula al menos los accesos a Hotmail y Gmail, o el mismo "pavo" se dedica a ir montando el timo sobre diferentes dominios en cada ocasión. Hazles un whois a msg11.us y msg12.us, al msg79.info del post de arriba y también a un msg78.info que me encontré por esos mundos de Dios. ¡Oh, sorpresa! ¿Datos falsos o bien suplantación de identidad para registrar los dominios? Puede que sí o puede que no. ¿Coincidencia? No lo creo. :)

    ¡Saludos!

    ResponderEliminar
    Respuestas
    1. Germán Sánchez Garcés10 de septiembre de 2012 a las 10:14

      Parece que es un kit comercial como dices, accediendo a msg11.us, redirecciona automáticamente a un phising para Tuenti, en ese dominio que nombras.

      http://www.tuenti.com.msg79.com.es/?m=login

      Saludos y gracias! :)

      Eliminar
  5. Anónimo10 de septiembre de 2012 a las 3:18

    Y como hacen para q aparezca la pagina con login.gmail.com... porq los q me suelen enviar se ve q estan en hosts como miarroba u otros, pero si me llega éste alli si q no distingo...

    ResponderEliminar
    Respuestas
    1. Germán Sánchez Garcés10 de septiembre de 2012 a las 10:16

      Simplemente es un subdominio... así juegan al despiste ;)

      Eliminar
    2. Anónimo12 de septiembre de 2012 a las 7:53

      oh ya y el host es msg79.com.es o msg78.info o msg11.us.... verdad?? o me equivoco... :p

      Eliminar
  6. Anónimo10 de septiembre de 2012 a las 4:00

    Buen articulo hombre, sin duda alguna hay que ser y estar hoy dia bastante cautelosos, la verdad que si hubieses hecho lo que vos detallo mas arriba quizas hubiese caido en esa broma pesada!

    Saludos!

    ResponderEliminar
  7. Raquel10 de septiembre de 2012 a las 10:27

    Vaya vaya German! Buena pillada que le hiciste a la señora, jajaja. No te dejes llevar por las tetas, es una tecnica de ingenieria social para gente simple :p y tu eres mas listo que eso, o no?
    Nos vemos!

    ResponderEliminar
  8. Anónimo21 de octubre de 2012 a las 18:23

    hola German, tengo rato leyendo tu blog y nunca habia comentado pero siempre atento a tus publicaciones, a veces no soy muy entendido lo que publicas porque siento que son temas para gente más avanzada en estas cuestiones, siempre trato de investigar para despejar mis dudas, me gustaria que profundizaras mas sobre este tema, claro esta si es que quieres o tienes un tiempo, me han llegado varios fakes de esta página.
    En que me gustaria que ahondaras?
    en todo lo que puedas publicar acerca de la técnica que ocupan, como analizar sus links, todo lo que puedas, gracias saludos.

    ResponderEliminar
    Respuestas
    1. Anónimo5 de abril de 2013 a las 2:41

      Hay dios mio, estos temas son para novatos...
      Y a mi parecer la forma de explicar este post fue bastante presumida...
      Y haciendo tantas cosas "Anti-hacker", con solo poner el puntero sobre la palabra "LINK" se mira la url de destino. No me parece necesario abrir una maquina virtual. :P

      Eliminar
    2. Germán Sánchez Garcés5 de abril de 2013 a las 17:39

      Ya, bueno... al menos mi blog sigue en pie.

      Eliminar

Suscribirse a: Enviar comentarios (Atom)