tag:blogger.com,1999:blog-74908175706521803122024-03-06T03:00:22.062-03:00Security HackSitio personal de Ariel M. Liguori De GottigAriel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.comBlogger3125tag:blogger.com,1999:blog-7490817570652180312.post-66967686152178959622009-06-04T09:36:00.000-03:002009-06-04T09:36:24.635-03:00Phishing a Banco Galicia (ARG).-Hoy me ha llegado un curioso correo, sobre todo era llamaba mi atención por pertenecer a una entidad de la que nunca forme parte, igualmente dejando mis lados humanos de lado mire un poquito (no mucho, saltaba a simple vista) y me encontre con un lindo caso de pishing. Lo que se intentaba era hacerle creer al usuario que se estaban actualizando las DB del Banco y que se debian actualizar los datos de cuenta (típico), obviamente el link "decía" llevarte a http://www.e-galicia.com.ar/homebanking (que dicho sea de paso, no es la URL correcta) pero en lugar de llevarnos ahí nos dirgia a http://www.XXXXXXXXX.de/webnews/modules/include/www.e-galicia.com/portal/ ... como el sitio aún está arriba no les paso el link correcto. Obviamente ha sido reportado y estamos a la espera de que deje de existir :)<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhhYh9tKLhACkVCYrR9gtWHyMAIUuyqvpSNXKV4oQoJP0U2E97eHJ1BfkXVmW3hG83UgtcXgdIolXf6SgUZp4DdqL2-fLFFKn90Ga6rU7V6Rd5KQcVfDceh3Ni1WweFFG5__DY4FufvKf8/s1600-h/pishing-galicia-04062009.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhhYh9tKLhACkVCYrR9gtWHyMAIUuyqvpSNXKV4oQoJP0U2E97eHJ1BfkXVmW3hG83UgtcXgdIolXf6SgUZp4DdqL2-fLFFKn90Ga6rU7V6Rd5KQcVfDceh3Ni1WweFFG5__DY4FufvKf8/s320/pishing-galicia-04062009.png" /></a></div><br />
Saludos!Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com3tag:blogger.com,1999:blog-7490817570652180312.post-51440749068712218842009-03-23T10:54:00.000-03:002009-03-23T10:54:35.057-03:00Creando un punto de acceso falso Y utilizándolo para phising.-El viernes pasado a último momento antes de salir de la oficina me encontré con una nota de <a href="http://opensec.es/">OpenSec</a> en la cual hacían referencia a la posibilidad de <a href="http://opensec.es/2009/03/20/creando-un-punto-de-acceso-falso-airbase-ng/">crear un punto de acceso falso con la utilizacion de airbase-ng</a> , en su post describen todo el procedimiento para lograr esta tarea. Tras leerlo me fue imposible no decirme a mi mismo.. que buena oportunidad para el Phising! Lamentablemente no es una buena noticia, no obstante es una realidad que seguramente ya esta ocurriendo.<br />
<br />
En que consiste este <i><b>nuevo concepto de Phising</b></i> en el cual la victima es la culpable por utilizar una red que no es de su propiedad. Supongamos que con el procedimiento redactado por la gente de OpenSec creamos un punto de acceso con un nombre llamativo y tentador (Wifi-HighSpeed Gratis o similares). Muchos usuarios se conectaran y en principio nada malo ocurriria salvo que un chico malo este detrás de todo esto. Y como podría ser.. simple creando páginas falsas de home banking, cuentas de email y demás, recordemos que él es el owner del punto de acceso y puede manejarnos a su antojo. No entrare en más detalles pero está claro que la configuracion de un servidor DNS para hacer este tipo de cosas no es demasiado dificil, tranquilamente podríamos crearnos un fake gmail,homebank, etc y redirigir esas peticiones a nuestro server (que inclusive puede estar localmente).<br />
<br />
Asi que tengan cuidado en las Redes que se coenctan!<br />
<br />
Saludos,Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-40249995663360586112008-12-30T08:21:00.010-02:002008-12-30T10:36:49.495-02:00Análisis de Phishing en Standard Bank (30/12/2008).-Hoy por la mañana he recibido un curioso correo de Standard Bank SA:<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgHuwuGEOUCyDak2ejOpWkDpmor0HWEyhj5HV4Gq6BRZnhvLm-XI_zHvr9GBKJ-9A1haeyJk9iTb2YytPtfs3PhkepK5TkoCCwQjNAeRqHuCRozNnf3oh-63U9NuqBpi25SRQhfkktGiqg/s1600-h/ej_pishing01.jpg"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 320px; height: 241px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgHuwuGEOUCyDak2ejOpWkDpmor0HWEyhj5HV4Gq6BRZnhvLm-XI_zHvr9GBKJ-9A1haeyJk9iTb2YytPtfs3PhkepK5TkoCCwQjNAeRqHuCRozNnf3oh-63U9NuqBpi25SRQhfkktGiqg/s320/ej_pishing01.jpg" border="0" alt=""id="BLOGGER_PHOTO_ID_5285526660184946994" /></a><br /><br />Todo parece muy correcto, sin embargo, nadie se cree que Standard Bank necesite verificar nuestros datos. Al margen de eso, el link que aparece en el email es el correcto de Standard Bank aunque si se fijan en detalle esos links nos llevaran a otras URL's, no a las que tienen configuradas, dichas páginas son:<br /><br />http://standardbank.com.ar.webempresas.idkey26914511442100136208.secupends8.cn/ar_pers/ (para personas)<br /><br />http://standardbank.com.ar.webempresas.idkey2323415925205188159167.secupends8.cn/ar_corp/ (para empresas)<br /><br />Hemos encontrado algo interesante, estos no parecen los sitios de Standard Bank, veamos si encontramos en ellos algo interesante (explorando un poquito el código fuente):<br /><pre><code>var dummy = false;<br />var procesando = false;<br /><br /> function SetCookie (name, value) {<br /> expireDate = new Date;<br /> expireDate.setDate(expireDate.getDate()+10);<br /> document.cookie = name + '=' + value + ';expires=' + expireDate.toGMTString();<br /> }<br /><br /> function GetCookie (name) {<br /> var arg = name + "=";<br /> var alen = arg.length;<br /> var clen = document.cookie.length;<br /> var i = 0;<br /> while (i < clen) {<br /> var j = i + alen;<br /> if (document.cookie.substring(i, j) == arg)<br /> return getCookieVal (j);<br /> i = document.cookie.indexOf(" ", i) + 1;<br /> if (i == 0) break;<br /> }<br /> return null;<br /> }<br /><br /> function getCookieVal(offset) {<br /> var endstr = document.cookie.indexOf (";", offset);<br /> if (endstr == -1)<br /> endstr = document.cookie.length;<br /> return unescape(document.cookie.substring(offset, endstr));<br /> }<br /><br /><br /> function validateLogin (frmForm) {<br /> var strInput;<br /> var strError = '';<br /> var blnSucess = false;<br /> var strValidos = '1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';<br /><br /> with (frmForm) {<br /> //Valido nombre de usuario<br /> strInput = usuario.value;<br /> if (strInput.length < 1) {<br /> strError += 'Debe ingresar el nombre de usuario.\n';<br /> } else if (strInput.length < 8 || strInput.length > 12) {<br /> strError += 'El nombre de usuario debe tener ente 8 y 12 caracteres.\n';<br /> }<br /> else<br /> {<br /> strIngr = strInput.split("");<br /> for(j=0; (j<strIngr.length); j++)<br /> {<br /> if (strValidos.indexOf(strIngr[j])==-1)<br /> {<br /> strError += 'Debe ingresar sólo números o letras';<br /> break;<br /> }<br /> }<br /> }<br /> //Valido clave<br /> strInput = password.value;<br /> if (strInput.length < 1)<br /> {<br /> strError += 'Debe ingresar una clave de acceso.\n';<br /> }<br /> else if (strInput.length < 8 || strInput.length > 8)<br /> {<br /> strError += 'La clave de acceso debe tener 8 caracteres.\n';<br /> }<br /> else<br /> {<br /> strIngr = strInput.split("");<br /> for(j=0; (j<strIngr.length); j++)<br /> {<br /> if (strValidos.indexOf(strIngr[j])==-1)<br /> {<br /> strError += 'Debe ingresar sólo números o letras';<br /> break;<br /> }<br /> }<br /> }<br /> }<br /><br /> if (strError) {<br /> alert (strError);<br /> blnSucess = false;<br /> } else {<br /><br /> blnSucess = true;<br /><br /> if ( dummy == false )<br /> {<br /> dummy = true;<br /> }<br /> else<br /> {<br /> alert ('Aguarde, su transaccion esta siendo procesada . . .');<br /> blnSucess = false;<br /> }<br /> }<br /> return blnSucess;<br /> }<br /><br />function validaNavegador()<br />{<br /> var valida = false;<br /> if(navigator.appName=="Netscape")<br /> {<br /> if(parseFloat(navigator.appVersion) >= 4.75)<br /> {<br /> // version correcta 4.75<br /> valida = true;<br /> }<br /> //return;<br /> }<br /> else<br /> {<br /> var version = new String(navigator.appVersion);<br /> var i = version.indexOf("MSIE ");<br /> if(i >= 0)<br /> {<br /> var fVersion = parseFloat(version.substring(i + 5))<br /> if(fVersion >= 5.5) // version correcta 5.5<br /> valida = true;<br /> //return;<br /> }<br /> }<br /> if(!valida)<br /> {<br /><br /> }<br /> else<br /> {<br /> document.frmLogin.usuario.focus();<br /> }<br />}<br /><br />function load()<br />{<br /> // document.frmLogin.usuario.focus();<br /> validaNavegador();<br />}<br /><br />function KBgo(check, link)<br />{<br /> if (check.checked == true)<br /> {<br /> this.location.href="https://www.standardbank.com.ar:443/cgi-bin/preprd.dll/bkb/access.do?" + link + "&kb=s";<br /> }<br />}<br /></code></pre>Bueno, esto habla por si solo, espera a que ingresemos nuestro user y pass, los obtiene y luego nos redirecciona a la pagina real de Standard Bank, todo típico en un ataque de Phishing, es el modus operandi que se encuentra en cualquier libro. Tengan cuidado y fijense bien adonde entran, las diferencias entre las páginas es nula.<br /><br />Saludos,Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0