Acabo de recibir un mensaje de texto de suplantación de identidad, ¿cómo podría haber funcionado?

2

Recibí un mensaje de texto de phishing que pretendía ser mi banco. Tenía un enlace que iba a un sitio que redirigía al siguiente script:

<html><script language="javascript">var page = "Login.php?sslchannel=true&sessionid=XXX”; top.location = page; </script></html>

Cuando hice un wget en esa página con el resto de la URL completa, se ejecutó el siguiente script:

<script>
    window.googleJavaScriptRedirect = 1
</script>
<script>
    var n = {
        navigateTo: function(b, a, d) {
            if (b != a && b.google) {
                if (b.google.r) {
                    b.google.r = 0;
                    b.location.href = d;
                    a.location.replace("about:blank");
                }
            } else {
                a.location.replace(d);
            }
        }
    };
    n.navigateTo(window.parent, window, "https://www.banksite.com/");
</script><noscript><META http-equiv="refresh" content="0;URL='https://www.banksite.com/'"></noscript>

Desde una perspectiva técnica, estoy tratando de averiguar qué podría haber hecho este texto de phishing en el peor de los casos.

    
pregunta mergesort 17.05.2017 - 03:42
fuente

2 respuestas

2

Para investigar lo que un servidor web atrapado podría intentar hacer en tu sistema, tendrás que pretender ser uno de los principales navegadores dirigidos: Internet Explorer .

Con wget y curl , esta ingeniería inversa de ataque se puede llevar a cabo con el uso del argumento --user-agent . Aquí hay un ejemplo típico:

wget --user-agent "Mozilla/5.0 (compatible, MSIE 11, Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko"

Esta es una de las web de referencia fácil donde podría obtener otro user-agent válido para probar en este ataque ingeniería inversa:

Cadena de agente de usuario

Como regla de protección básica, le aconsejo que ejecute estas pruebas en un entorno de usuario dedicado que no arriesgue nada a su nivel de sistema ni a su nivel de red. Para esto, cree un nuevo usuario ad hoc que no tenga privilegios y que no se conozca en ninguno de sus servidores de directorio ( LDAP o AD ) para evitar cualquier ataque lateral creando un gran usuario de acceso en otros sistemas .

    
respondido por el daniel Azuelos 18.06.2017 - 15:58
fuente
0

El punto es la URL que falta en "var page=" /Login.php?sslchannel=true& ": para una muestra, consulte este sitio de informes de seguridad: enlace

Esta URL falsa o de suplantación de identidad (phishing) simulará ser un sitio de banco real o un inicio de sesión en Apple Cloud o PayPal. Después de escribir sus credenciales, simulará un error y lo redireccionará a su banco real o cualquier otra cosa.

Otro punto importante es que este sitio web puede brindarle respuestas diferentes según su remitente y su agente de usuario (por ejemplo, si usa wget obtendrá otro resultado si usa un explorador de Internet). El script que descargaste parece estar bien hasta ahora (solo la reescritura de Google habitual para rastrear tus búsquedas).

El peor escenario es perder sus credenciales bancarias y su dinero o obtener un troyano a través de una vulnerabilidad del navegador y el troyano roba su contraseña y destruye toda su vida digital (fotos, documentos, inicios de sesión, compras) ...

    
respondido por el user689443 19.05.2017 - 00:34
fuente

Lea otras preguntas en las etiquetas