Resultados 1 al 7 de 7

Tema: [Phising]Importante paso a paso, recomendado

  1. #1 [Phising]Importante paso a paso, recomendado 
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.703
    Descargas
    30
    Uploads
    8
    A ver, como no hay seccion especifica de estafas online lo posteo aqui, si LUK o algun moderador me indican un lugar emjor pueden moverlo, o incluso crear un subfuro particular.
    Bien, estoy hasta los gu***** de que me lleguen este tipo de correos asi que vamos a destripar juntos uno de estos correos.
    primero abrimos como cada mañana nuestro cliente de correo electronico. En mi caso estoy usando la distro de GNU/linux Ubuntu, y mi gestor de correo es Evolution, que viene de serie.

    Pues bien, miro mi correo y me aparece un supuesto correo de Cajamadrid indicandome que han sufrido varias estafas y que tienen que verificar mi cuenta, y me dan un enalce para que pinche.
    Primera cosa que me hace desconfiar, yo jamas he tenido cuenta en Cajamadrid. Aun asi hay melones que envian estas cosas sin ton ni son. Bueno alla ellos. Pero aunque yo tuviera cuenta alli, JAMAS NINGUNA ENTIDAD BANCARIA TE SOLICITA ESTA REINTRODUCCION DE DATOS; JAMAS.
    Y encima me dicen que si no lo hago antes de 24 horas me cerraran la cuenta. ¿Pero que cuenta? Vamos, no me jodas.

    Seguimos, como se me han cruzao los cables voy a buscar mas info, y pincho en el link :

    https://oi.cajamadrid.es/CajaMadrid/...oi/Login/login

    Bueno, al cargar me sale una pagina bastante parecida a la de Caja Madrid (¿alguien les podia decir a estos chicos que hay que currarse el diseño, por favor?).

    Viendo con mi Firefox el codigo fuente y veo que se han currado una falsificacion de URL guapa, ya que han leido que Cajamdrid solo pide los datos en https://oi.cajamadrid.es.
    Sin embargo, veo que la comprobacion se hace mediante javascript, cosa que nadie en su sano juicio se atreveria a hacer, mas que nada por motivos de seguridad.

    Meto unos datos en las casillas (obviamente falsos), y sorprendentemente la pantalla carga y vuelve a aparcer la misma pantalla y me pide que vuelva a introducir los datos. Es como si nada hubiese pasado. si fuera un desprevenido usuario, pensaria que ha habido un error de la pagina y ya esta (craso error, mis datos estarian ya muy lejos, capturados y he sido redireccionado a la pagina oficial de caja madrid). Vuelvo a introducir los mismos datos falsos pero ahora me indica que esos datos introducidos son erroneos. Que cosas.

    Pues volviendo al correo, paso el raton SIN hacer click sobre el y veo otra cosa. La direccion que me señala en la barra inferior es una direccion rarisisisisima, que nada tiene que ver con la de CajaMadrid (¿sorprendidos a estas alturas?). Pues bien, le digo que copie la ruta del enlace y la pego en la barra de direcciones de mi explorador Firefox, y me redirecciona a la pagina siguiente:

    http://a1mna.co.kr/AsaMall/data/lopslogpir2.php

    Si, correcto es lo que todos estabais pensando. es la primera pagina que se ha cargado en mi navegador al pinchar en el falso correo de Cajamadrid. Es la pecora que me ha robado los datos.
    Por ultimo, podria taratr de descargarme la pagina para ver el codigo php, ya que este se ejecuta del lado del servidor, pero esos deberes los dejos para ustedes.

    Como ultimo apunte, le digo con el boton derecho en el email "Ver todas las cabeceras del mensaje" y lo coloco para aqui, juzguen ustedes mismos, y lo dicho mucho cuidao.

    Código:
    Return-Path: <httpd@paris42.amenworld.com>
    Received: from paris42.amenworld.com ([62.193.203.70]) by smtp03.retemail.es (InterMail vM.6.01.04.03 201-2131-118-103-20050206) with ESMTP id <20051213003431.VLEX1154.smtp03.retemail.es@paris42.amenworld.com> for <tres@cable.es>; Tue, 13 Dec 2005 01:34:31 +0100
    Received: (from httpd@localhost) by paris42.amenworld.com (8.10.2/8.10.2) id jBD0YUO02050; Tue, 13 Dec 2005 01:34:30 +0100
    Fecha: Tue, 13 Dec 2005 01:34:30 +0100
    Message-Id: <200512130034.jBD0YUO02050@paris42.amenworld.com>
    Para: clarinetista@prostitutos.com :P  //Editado, obivamente
    Asunto: ID 375110 Caja MADRID Medidas de seguridad
    De: hijosputas@comospilleoscagais.com
    Responder a: hijosputas@comospilleoscagais.com
    MIME-Version: 1.0
    Content-Type: text/html
    Content-Transfer-Encoding: 8bit
    X-Evolution-Source: 
    //Parece provenir de francia, segun lo obtenido en el whois, aunque investigando la web, sale toda ella en caracteres asiaticos
    Recordad, JAMAS NINGUNA ENTIDAD BANCARIA TE SOLICITA TUS DATOS DE ACCESO A TRAVES DEL CORREO, JAMAS .
    Última edición por clarinetista; 14-12-2005 a las 16:48
    Citar  
     

  2. #2  
    Moderador HH
    Fecha de ingreso
    Dec 2001
    Ubicación
    Galiza
    Mensajes
    3.129
    Descargas
    0
    Uploads
    0
    Hecharé un vistazo (en cuanto arregle mi ordenador) pero veo que el tema pinta bien para aprender
    Citar  
     

  3. #3  
    Avanzado
    Fecha de ingreso
    Jun 2005
    Ubicación
    Sevilla
    Mensajes
    330
    Descargas
    0
    Uploads
    0
    UUUMMM, me he jodido los ligamentos de la rodilla jugando al basket, con lo cual estoy haciendo reposo (delante del ordenador) las 24h del día. Así que creo que ya tengo en que entrenerme....
    Más sabe el diablo por viejo que por diablo.
    Citar  
     

  4. #4  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.280
    Descargas
    7
    Uploads
    0
    Cita Iniciado por clarinetista
    Meto unos datos en las casillas (obviamente falsos), y sorprendentemente la pantalla carga y vuelve a aparcer la misma pantalla y me pide que vuelva a introducir los datos. Es como si nada hubiese pasado. si fuera un desprevenido usuario, pensaria que ha habido un error de la pagina y ya esta (craso error, mis datos estarian ya muy lejos, capturados y he sido redireccionado a la pagina oficial de caja madrid). Vuelvo a introducir los mismos datos falsos pero ahora me indica que esos datos introducidos son erroneos. Que cosas.
    Es extraño, a mí me dió contraseña errónea a la primera.

    Y la php ( http://a1mna.co.kr/AsaMall/data/lopslogpir2.php ) me da forbidden. Algunos datos que hay por ahí

    El rollo de los datos y tal que te sueltan está aquí --> pop_up_seguridad_oi.PDF

    Más aún --> ensite:oi.cajamdrid.es (google ;) )

    forbidden
    algunos datos

    www.cajamadrid.es has address 213.164.164.74
    oi.cajamadrid.es has address 213.164.164.68

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  5. #5  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.703
    Descargas
    30
    Uploads
    8
    Si, esta mañana me he dao cuenta de que habian chapao el garito.
    pero tengo el correo original, si quereis alguno os lo paso para investigar mas.
    j8, la direccion que posteo era una redireccion, y sospecho que no era la unica, pero yo solo tengo la direccion inicial y final de la misma.

    joder, mientras escribo este post he encontrado una nueva direccion, pero presiente que solo durara esta noche, daos prisa si quereis echar un ojo.

    http://www.webnlaw.com/zeroboard/icon/lopslogpir2.php

    Y al final como ya dije en mi anterior post te envian al la de Cajamadrid, oi.cajamadrid.es, que es la direccion htpps real de Cajamadrid
    Última edición por clarinetista; 15-12-2005 a las 00:43
    Citar  
     

  6. #6  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.280
    Descargas
    7
    Uploads
    0
    Ésta funciona tal y como describiste la primera. Sólo que pide la firma después del falso login

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  7. #7  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.703
    Descargas
    30
    Uploads
    8
    Bien, pero sigue pidiendo la firma desde el falso servidor, y luego te redirecciona a cajamadrid.
    Citar  
     

Temas similares

  1. Elaborar TDJ con separadores y soporte. Paso a paso.
    Por tache en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 5
    Último mensaje: 11-02-2009, 00:59
  2. Sencilla pero interesante dipolo en Equis (X), paso a paso.
    Por tache en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 0
    Último mensaje: 12-01-2009, 20:33
  3. Biquad con DD como reflector. Paso a paso.
    Por tache en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 2
    Último mensaje: 09-01-2009, 12:35
  4. Respuestas: 5
    Último mensaje: 10-07-2006, 00:33
  5. Como instalar un gentoo paso a paso
    Por |RooT| en el foro LINUX - MAC - OTROS
    Respuestas: 1
    Último mensaje: 01-11-2003, 11:53

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •