2010 January |

Most Commented

Loading....

Apocalipsa dupa Nemessis in (80 Visits)
Ce servicii de mail folositi? in (27 Visits)
This is the end in (22 Visits)
Hackersblog.org is now blog.rstcenter.com in (17 Visits)
La multi ani România, la multi ani românilor in (15 Visits)
Short news in (15 Visits)
Azi este ziua userilor hackersblog.org in (10 Visits)
Inca o pierdere de timp in (9 Visits)
Raportare vulnerabilitati in (8 Visits)
Update in (7 Visits)
Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac? in (227 Visits)
Hi5.com coders read this in (28 Visits)
SMS scam (1) in (20 Visits)
Phishing Bancpost in (7 Visits)
Dezinformare sau proasta informare? in (7 Visits)
Si tentativele de phishing pot fi amuzante in (5 Visits)
Phishing Raiffeisen cu atasament html in (4 Visits)
Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta in (74 Visits)
[Utilitare] Suna gratis de pe internet sau de pe iPhone in (40 Visits)
Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d. in (30 Visits)
Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in (29 Visits)
Ce nu se invata la scoala - (D)DOS (5) in (24 Visits)
Virusi in clipuri video [how to] in (22 Visits)
Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (20 Visits)
Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (17 Visits)
Yahoo! redirects - a big issue (with video) in (10 Visits)
Ca musca in... in (8 Visits)
usa.kaspersky.com hacked ... full database acces , sql injection in (123 Visits)
Simpatie.ro, matrimoniale3x.ro, apetisant.ro, deliciu.ro , etc Sql injection in (72 Visits)
Yahoo! epic fail - permanent xss unleashed in (69 Visits)
Telegraph.co.uk hacked, sql injection in (52 Visits)
RedTube.com ... The Free Sex Video Community in (41 Visits)
Kaspersky Thailand hacked by TinKode in (37 Visits)
Conquiztador Hacked Again in (32 Visits)
Telegraph.co.uk hacked - when will they learn? in (29 Visits)
F-Secure.com - SQL Injection + Cross Site Scripting in (27 Visits)
Ziua userilor - sinu.utcluj.ro in (26 Visits)
Wannabe Hackers [2] - cum sa faci un virus by sppy_hacker in (24 Visits)
Wannabe Hackers [1] - Cum sa hack-uiesti RapidShare-ul in (20 Visits)
Digital Photocopiers Loaded With Secrets in (15 Visits)
Hacker Uses XSS and Google Street View Data to Determine Physical Location in (12 Visits)
OWASP Phishing demo in (7 Visits)
Oldies but goodies - Freedom Downtime - The Story of Kevin Mitnick in (7 Visits)
Hope 2603 – Kevin Mitnick - Life a Computer Hacker – Revealed in (6 Visits)
Christopher "moot" Poole: The case for anonymity online in (6 Visits)
Owasp5005 Part1 - New zero-day browser exploits - ClickJacking in (5 Visits)
[Video] The History Of Hacking in (5 Visits)
Se poate sparge parola de Yahoo? in (251 Visits)
phpBB.ro hacked in (80 Visits)
Cand dorinta de afirmare depaseste granitele bunului simt - PaxNwo un leecher ordinar in (46 Visits)
Experiment social in (45 Visits)
"Hot" de id-uri messenger in (38 Visits)
Oare cum e pana la urma? in (38 Visits)
Experiment social II - andimoisescu.ro in (37 Visits)
Ce nu se invata la scoala – Vendetta (6) in (37 Visits)
Concurs fara premii in (36 Visits)
Forumul Andreei Balan spart in (32 Visits)

Top Users

Archive for January, 2010

Phishing de calitate cu news.vodafone.ro

4 Comments

Posted by 2fingers in Romanian News

Posted on January 15th, 2010

Vrei sa prostesti lumea sa dea click pe linkul tau?

Ai nevoie de un domeniu credibil pentru a-i face pe oameni sa inghita gogosile tale?

Nu stii cum sa iti imprastii troienii?

Foloseste news.vodafone.ro si vei avea parte de satisfactie garantata.

Azi am primit un mesaj pe id-ul de messenger. Un individ pe care nu il stiu, dar in a carei lista de spam se afla id-ul meu, s-a gandit sa prosteasca lumea cu un mesaj ca “vezi ca poti sa iti reincarci cartela de tel gratis cu 20 euro lunar si sa dai 30 smsuri pe zi daca folosesti programul de pe site-ul vodafone (LINK CENZURAT)”. Programul de fapt fiind un troian care era hostat pe un site de file sharing.

Partea frumoasa a respectivului scam o reprezenta linkul pe care il trimitea posibilelor victime, un link cat se poate de credibil pentru oricare dintre noi. Sa il analizam putin, putin modificat pentru a fi orice cititor in siguranta. Faza e noob friendly si oricine o poate face.

http://news.vodafone.ro/engine/link.php?URL=aHR0cDovL3d3dy55YWhvby5jb20&Name=&EncryptedMemberID=MjIyMjIyMjIyMg
&CampaignID=60&CampaignStatisticsID=100&Demo=0&Email=ZXhhbXBsZUBtYWlsLmNvbQ==

Parametrul URL= contine adresa site-ului catre care utilizatorul este redirectionat si este encodat in Base64. In cazul de fata aHR0cDovL3d3dy55YWhvby5jb20 reprezinta http://yahoo.com.

Parametrul EncryptedMemberID este total inutil pentru noi si nu necesita modificari. El contine “user id-ul” celui care acceseaza url-ul.

Parametrul Email este deasemeni inutil si nu necesita modificari. Contine mailul celui care acceseaza url-ul. Nu stiu exact de unde provine acest mail dar in cazul de fata ZXhhbXBsZUBtYWlsLmNvbQ== este example@mail.com.

Pentru a modifica parametrul URL tot ce trebuie sa facem este sa folosim un Base64 encoder si sa introducem o alta adresa web. Spre exemplu inlocuim aHR0cDovL3d3dy55YWhvby5jb20 cu aHR0cDovL2hhY2tlcnNibG9nLm9yZw pentru a face redirect catre http://hackersblog.org.

Avantajul unui astfel de redirect este ca nimeni nu vede cu ochiul liber existenta altei adrese web. Facand redirect catre un fisier .exe nici macar nu vedem trecerea de la un domeniu la altul ci ne apare din prima casuta de download a executabilului. Destul de elegant pot spune, daca doresti sa faci un malware spread de calitate.

Nu pot spune ca este o vulnerabilitate de calitate, de fapt nu este o vulnerabilitate in adevaratul sens al cuvantului, dar poate fi extrem de folositoare acest tip de redirectionare cand vrei sa ai un scam cat mai credibil.