Prima pagină > Viata de zi cu zi > Phishing de la Vodafone

Phishing de la Vodafone

Vrei sa prostesti lumea sa dea click pe linkul tau?
Ai nevoie de un domeniu credibil pentru a-i face pe oameni sa inghita gogosile tale?
Nu stii cum sa iti imprastii troienii?
Foloseste news.vodafone.ro si vei avea parte de satisfactie garantata.

Azi am primit un mesaj pe mail, de la un individ necunoscut, cu urmatorul continut “vezi ca poti sa iti reincarci cartela de telefon gratis cu 20 euro lunar si sa dai 30 sms-uri pe zi daca folosesti programul de pe site-ul vodafone (LINK CENZURAT)”. Programul de fapt era un troian hostat pe un site de file sharing.

Partea frumoasa a respectivului scam o reprezenta linkul pe care il trimitea posibilelor victime, un link cat se poate de credibil pentru oricare dintre noi. Sa il analizam putin, putin modificat pentru a fi orice cititor in siguranta. Faza e noob friendly si oricine o poate face.

http://news.vodafone.ro/engine/link.php?URL=aHR0cDovL3d3dy55YWhvby5jb20&Name=&EncryptedMemberID=MjIyMjIyMjIyMg
&CampaignID=60&CampaignStatisticsID=100&Demo=0&Email=ZXhhbXBsZUBtYWlsLmNvbQ==

Parametrul URL= contine adresa site-ului catre care utilizatorul este redirectionat si este encodat in Base64. In cazul de fata aHR0cDovL3d3dy55YWhvby5jb20 reprezinta http://yahoo.com.

Parametrul EncryptedMemberID este total inutil pentru noi si nu necesita modificari. El contine “user id-ul” celui care acceseaza url-ul.

Parametrul Email este deasemeni inutil si nu necesita modificari. Contine mailul celui care acceseaza url-ul. Nu stiu exact de unde provine acest mail dar in cazul de fata ZXhhbXBsZUBtYWlsLmNvbQ== este example@mail.com.

Pentru a modifica parametrul URL tot ce trebuie sa facem este sa folosim un Base64 encoder si sa introducem o alta adresa web. Spre exemplu inlocuim aHR0cDovL3d3dy55YWhvby5jb20 cu aHR0cDovL21pc3Nib29icy53b3JkcHJlc3MuY29t pentru a face redirect catre https://missboobs.wordpress.com.

Avantajul unui astfel de redirect este ca nimeni nu vede cu ochiul liber existenta altei adrese web. Facand redirect catre un fisier .exe nici macar nu vedem trecerea de la un domeniu la altul ci ne apare din prima casuta de download a executabilului. Destul de elegant pot spune, daca doresti sa faci un malware spread de calitate.

Nu pot spune ca este o vulnerabilitate de calitate, de fapt nu este o vulnerabilitate in adevaratul sens al cuvantului, dar poate fi extrem de folositoare acest tip de redirectionare cand vrei sa ai un scam cat mai credibil.

Exemplu:
redirect catre prima pagina a acestui blog – http://news.vodafone.ro/engine/link.php?URL=aHR0cDovL21pc3Nib29icy53b3JkcHJlc3MuY29t&Name=&EncryptedMemberID=MjIyMjIyMjIyMg&CampaignID=60&CampaignStatisticsID=100&Demo=0&Email=ZXhhbXBsZUBtYWlsLmNvbQ==

Anunțuri
  1. Rob
    19 Ianuarie 2010 la 21:03

    Foarte tare :D. Imi place ca te pricepi. Succes in continuare, imi place blogul tau 😀 Miss Boobs, eh? Poate Miss Intelligent Boobs.

    Rob.

  2. gogu
    19 Ianuarie 2010 la 23:03

    Am apreciat articolul tau, merci.

    Dar. Se scrie phishing, nu phising. In al doilea rand nu cred ca e corect sa acuzi vodafone de phishing ci mai degraba de vulnerabilitatea de pe siteul lor. Cel mult o poti numi o vulnerabilitate cross-site. Oricum se pare ca nu mai merge acum.

  3. 23 Ianuarie 2010 la 09:57

    Se pare ca in cele din urma a fost corectata vulnerabilitatea. Multumesc pentru atentionare in ceea ce priveste cuvantul „phishing”, am modificat. Se mai intampla…din neatentie.

  4. gogu
    26 Ianuarie 2010 la 19:53

    cu placere, d-ra Boobs.

  1. No trackbacks yet.

Lasă un răspuns

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s

%d blogeri au apreciat asta: