Los servicios como “Mira quien te tiene bloqueado” o “Obtén el nombre de los usuarios que te han eliminado de MsN”, es un servicio que suele atraer a usuarios curiosos.
Este tipo de servicio son un engaño total a usuario final, de manera que el único fin es infectar al usuario o el robo de contraseñas en si mismo.
En este caso, mi sistema anti-spam bloqueó un correo de este tipo, así que haremos un pequeño análisis.
La verdad es que es un poco sospechoso no?
Si miramos el código fuente de la página vemos las funciones mas importantes
function validaForm(){d = document.form1;var filter = /^([\w-]+(?:\.[\w-]+)*)@((?:[\w-]+\.)*\w[\w-]{0,66})\.([a-z]{2,6}(?:\.[a-z]{2})?)$/i;if (!(filter.test(d.txtmail.value))){alert(“O email não é válido”);d.txtmail.focus();return false;}
Esta función comprueba que el email sea válido así se aseguran de recoger solo direcciones de correo válidas.
Cuando rellenas los campos de email y de contraseña:
<form name=”form1″ method=”post” action=”./action.php” onsubmit=”return validaForm()”>
Se envían los datos a un PHP que los recoge.
Cuando se envían los datos al usuario se le muestra la siguiente pantalla
En realidad esta página lo que nos muestra es:
<span>HTTP-EQUIV</span>=’<span>Refresh</span>’ <span>CONTENT</span>=’<span>4;URL=http://hotmail.com</span>’></span><span>
En realidad la web nos muestra un mensaje y nos redirige a la web de Hotmail, de Microsoft, es decir, la web original.
Cuando se envían los datos en el submit, el servidor enviaría los siguientes datos
http://viajandopelasruas.com/cadastrando/cadastro/action.phpPOST /cadastrando/cadastro/action.php HTTP/1.1Host: viajandopelasruas.comUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateConnection: keep-aliveReferer: http://viajandopelasruas.com/cadastrando/cadastro/Content-Type: application/x-www-form-urlencodedContent-Length: 65txtmail=a%40hotmail.com&txtsenha=jujujujujuju&envia=Carregando…HTTP/1.1 200 OKDate: Fri, 15 Jun 2012 15:41:30 GMTContent-Type: text/htmlConnection: keep-aliveKeep-Alive: timeout=15Server: ApacheContent-Length: 294
Una de las cosas que me sorprende es que el servicio de antiphishing de Hotmail que le deben de llegar como REFERER esta URL, no hayan mandado el cierre de dicha URL.
El controlar las URL que vienen de REFERER es muy importante y te da un valor añadido de conocimiento de que pueden estar haciendo contra ti.