20 jun 2012

Robo de cuentas en phishings a Hotmail

Los servicios como “Mira quien te tiene bloqueado” o “Obtén el nombre de los usuarios que te han eliminado de MsN”, es un servicio que suele atraer a usuarios curiosos.

Este tipo de servicio son un engaño total a usuario final, de manera que el único fin es infectar al usuario o el robo de contraseñas en si mismo.

En este caso, mi sistema anti-spam bloqueó un correo de este tipo, así que haremos un pequeño análisis.

La verdad es que es un poco sospechoso no?

Si miramos el código fuente de la página vemos las funciones mas importantes

function validaForm(){d = document.form1;var filter = /^([\w-]+(?:\.[\w-]+)*)@((?:[\w-]+\.)*\w[\w-]{0,66})\.([a-z]{2,6}(?:\.[a-z]{2})?)$/i;if (!(filter.test(d.txtmail.value))){alert(“O email não é válido”);d.txtmail.focus();return false;}

Esta función comprueba que el email sea válido así se aseguran de recoger solo direcciones de correo válidas.

Cuando rellenas los campos de email y de contraseña:

<form name=”form1″ method=”post” action=”./action.php” onsubmit=”return validaForm()”>

Se envían los datos a un PHP que los recoge.

Cuando se envían los datos al usuario se le muestra la siguiente pantalla

En realidad esta página lo que nos muestra es:

 <span>HTTP-EQUIV</span>=’<span>Refresh</span>’ <span>CONTENT</span>=’<span>4;URL=http://hotmail.com</span>’&gt;</span><span>

En realidad la web nos muestra un mensaje y nos redirige a la web de Hotmail, de Microsoft, es decir, la web original.

Cuando se envían los datos en el submit, el servidor enviaría los siguientes datos

http://viajandopelasruas.com/cadastrando/cadastro/action.phpPOST /cadastrando/cadastro/action.php HTTP/1.1Host: viajandopelasruas.comUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateConnection: keep-aliveReferer: http://viajandopelasruas.com/cadastrando/cadastro/Content-Type: application/x-www-form-urlencodedContent-Length: 65txtmail=a%40hotmail.com&txtsenha=jujujujujuju&envia=Carregando…HTTP/1.1 200 OKDate: Fri, 15 Jun 2012 15:41:30 GMTContent-Type: text/htmlConnection: keep-aliveKeep-Alive: timeout=15Server: ApacheContent-Length: 294

Una de las cosas que me sorprende es que el servicio de antiphishing de Hotmail que le deben de llegar como REFERER esta URL, no hayan mandado el cierre de dicha URL.

El controlar las URL que vienen de REFERER es muy importante y te da un valor añadido de conocimiento de que pueden estar haciendo contra ti.

2 comentarios:

  1. Hotmail no puede controlar todos los referidos, y menos comprobar si tras éste existe una página de phishing (a no ser que el dominio tenga un nombre similar o un número elevado de visitas desde la página). Por lo tanto, si varios usuarios no lo reportan como phishing o el POST se envía posteriormente hacia Hotmail para iniciar sesión, con hacer una simple redirección pasaría desapercibido.

    ResponderEliminar