lunes, 10 de septiembre de 2012

¡Me intentaron Hackear!

Ya estoy de vuelta de la Sierra de Madrid, y vaya una sorpresa me dió una apuesta chica llamada Carolina Fernandez, cuando activé el 3G de mi móvil en medio la montaña. Esta, se puso en contacto conmigo para compartir enlaces, pero claro... yo no voy regalando mi 3 en PageRank a cualquiera... ¡por muchas tetas que tenga! ¿O sí? =P


Me bastó con ver el mensaje original desde Gmail, para darme cuenta de que el enlace que se escondía detrás de la palabra LINK, no era del todo confiable.


Desde una máquina virtual e instalando la última versión de Google Chrome, copié el enlace y lo pegué directamente sobre la URL. Me llamó la atención que mi nombre de usuario de Gmail, apareciera en la caja de texto como recordado, cuando el navegador acababa de ser instalado.

Así que dando caña a los parámetros, supuse que las codificaciones de los mismos se basaban en base64. Rescatando el contenido que recogía el parámetro “u” de la segunda imagen, vería de que forma introdujeron mi correo electrónico en la plantilla del falso Gmail.


El parámetro “p” recoge un blog de posicionamiento... ¿Serán ellos los graciosos con fin de hacer Black Hat SEO?


Mientras que el parámetro “n”, nos mostraría a mi y a “mi señora”, un mensaje con el que me pasaría el reto personal :O


Todo lo visto en este ataque, se basa inicialmente en el envío de correo masivo SPAM, agregando de una forma automatizada el proceso del Phising, personalizándolo mediante técnicas de ingeniería social, con el objetivo de dar una mayor credibilidad a la hora de caer en la trampa...

Saludos 4n4les! ;)

18 comentarios:

  1. ¿Has dicho "cifrado base64"? ¿En serio? Venga hombre...

    base64 es una codificación ¿O acaso necesitaste una palabra secreta para obtener el texto legible?

    ResponderEliminar
    Respuestas
    1. Tienes razón Felipe, pero no creo que nadie se sienta tan dolido por una errata :O

      Eliminar
    2. No es errata, es ignorancia de tu parte.

      Eliminar
    3. Veo mucho hijoputismo en tus comentarios, Felipe.

      Eliminar
  2. Felipe estas un poco chalado ponerte asi por una simple errata.Deberias mirartelo ;)

    ResponderEliminar
  3. Por cierto German buen articulo y si quieres saber de donde te lo enviaron te paso la web :)

    ResponderEliminar
    Respuestas
    1. Hola Angel!

      compártela por aquí si quieres, me llamó la atención que llegase a la bandeja de correo normal y no a SPAM.

      Saludos y gracias! :)

      Eliminar
    2. Hola German aqui os dejo la pagina que se dedica a ello.Necesita registro(gratuito) y manda fakes o xploits a quien quieras.Si obtienen la password y quieres verla entonces pagas por ello.Saludos German :)http://www.lanzadorx.com

      Eliminar
  4. Hola, llevo un tiempo siguiendo el blog y he visto aquí algo que me resulta familiar... el "jaja parece ke sos vivo eh" ese, por ejemplo en una entrada de otro blog referida a un phishing de Hotmail.

    Así que, o circula por ahí algún kit comercial de phishing que simula al menos los accesos a Hotmail y Gmail, o el mismo "pavo" se dedica a ir montando el timo sobre diferentes dominios en cada ocasión. Hazles un whois a msg11.us y msg12.us, al msg79.info del post de arriba y también a un msg78.info que me encontré por esos mundos de Dios. ¡Oh, sorpresa! ¿Datos falsos o bien suplantación de identidad para registrar los dominios? Puede que sí o puede que no. ¿Coincidencia? No lo creo. :)

    ¡Saludos!

    ResponderEliminar
    Respuestas
    1. Parece que es un kit comercial como dices, accediendo a msg11.us, redirecciona automáticamente a un phising para Tuenti, en ese dominio que nombras.

      http://www.tuenti.com.msg79.com.es/?m=login

      Saludos y gracias! :)

      Eliminar
  5. Y como hacen para q aparezca la pagina con login.gmail.com... porq los q me suelen enviar se ve q estan en hosts como miarroba u otros, pero si me llega éste alli si q no distingo...

    ResponderEliminar
    Respuestas
    1. Simplemente es un subdominio... así juegan al despiste ;)

      Eliminar
    2. oh ya y el host es msg79.com.es o msg78.info o msg11.us.... verdad?? o me equivoco... :p

      Eliminar
  6. Buen articulo hombre, sin duda alguna hay que ser y estar hoy dia bastante cautelosos, la verdad que si hubieses hecho lo que vos detallo mas arriba quizas hubiese caido en esa broma pesada!

    Saludos!

    ResponderEliminar
  7. Vaya vaya German! Buena pillada que le hiciste a la señora, jajaja. No te dejes llevar por las tetas, es una tecnica de ingenieria social para gente simple :p y tu eres mas listo que eso, o no?
    Nos vemos!

    ResponderEliminar
  8. hola German, tengo rato leyendo tu blog y nunca habia comentado pero siempre atento a tus publicaciones, a veces no soy muy entendido lo que publicas porque siento que son temas para gente más avanzada en estas cuestiones, siempre trato de investigar para despejar mis dudas, me gustaria que profundizaras mas sobre este tema, claro esta si es que quieres o tienes un tiempo, me han llegado varios fakes de esta página.
    En que me gustaria que ahondaras?
    en todo lo que puedas publicar acerca de la técnica que ocupan, como analizar sus links, todo lo que puedas, gracias saludos.

    ResponderEliminar
    Respuestas
    1. Hay dios mio, estos temas son para novatos...
      Y a mi parecer la forma de explicar este post fue bastante presumida...
      Y haciendo tantas cosas "Anti-hacker", con solo poner el puntero sobre la palabra "LINK" se mira la url de destino. No me parece necesario abrir una maquina virtual. :P

      Eliminar
    2. Ya, bueno... al menos mi blog sigue en pie.

      Eliminar