Me encontre un lammer y le cague la web.

Buenas a todos.

Antes de empezar queria aclarar que no es mi intencion copiarle al conocido user @nanopene, el cual hace posts que me gustan mucho.

No se si contarlo a modo de relato como hace nanopene pero no se me ocurre otra forma.


Eran las 3 AM , estaba viendo un par de T! at nites , hablando con unos amigos. Y veo que me salta la ventanita del msn diciendo que habia recibido un correo electronico de facebook.

Pienso: que raro ya que habia deshabilitado hace muucho las notificaciones al mail. Entro a hotmail (sisi hotmail) y me encuentro con esto.



Despues de verlo muy por encima, al toque me di cuenta que era un fake. Lo que se llama Pishing.
Ahi les marque con rojo, algo que hacen estos lammers muuuuy tipico y recontra visto.

Cuando no pueden poner la letra "L" por alguna razon (puede ser que hay ciertas direcciones que si el proveedor de correo detecta que tiene dentro del emisor la palabra "hotmail" lo desecharia directamente, siendo muy evidente que se trata de pishing)

Vemos que la letra L en minuscula en algunas fuentes es similar al numero 1 entonces a veces pasa desapercibido.

l1

l1

l1

l1

En el segundo caso, utilizando la fuente Courier New se aprecia que son muuy parecidos.

Al hacer click en el link que te ofrece el mail. Echo en html, por eso parece verdadero.
Es decir yo puedo poner www.google.com y que cuando haces click te manda a www.poringa.net.

Te manda a este fake:



Marque con lineas rojas, las cosas que se tienen que fijar cuando desconfian de una web.
En primer lugar, la url es muuy trucha, ni parecida.
Otra vez apela a la letra L en minuscula para cambiar (porque no le queda otra) la direccion de la web lo minimo posible para que no se note... Pero despues tira todo a la mierda con el "msg1.ws".


Y de ultima lo que esta despues de login.php es bastante comun en facebook, es "creible".

Otra cosa bastante comun en los fakes es que, al estar echos muy rapidos sin demasiadas preocupaciones mas que sea esteticamente similar a la pagina que estan imitando es que no crean la pagina en varios idiomas. Por eso si ustedes clickean en cambiar idioma a chino por ejemplo, seguramente les aparecera la pagina devuelta en el idioma que estaba inicialmente.

En este caso clickeamos en chino y aparece esto:



Que es la pagina de facebook original (con el login que sinceramente no se xq aparece si ya aparezco logueado como ven arriba a la derehca)

Esto sirve para los bancos tambien, siempre fijense detenidamente la url y si no estan seguros prueben cambiando de idioma (aunque puede ser que el fake este bien echo, y si cambie de idioma, no es lo comun.)




Despues de leer este supuesto mail de facebook y ver este asqueroso fake . Hablo con un amigo que siempre tuvo fantasias de hackear algun facebook, para decirle que vea el formato. (Yo ya pensaba que por ahi venia la mano).

Yo: No te acaba de llegar un mail de facebook?
El: Nono
Yo: Ok tene cuidado xq estan mandando fakes, no le hagas click.
El: jajaja
Yo: Fuiste vos eh?, que lammer que sos.
El: jaja haces click y tengo tu pass, asi de rapido.
Yo: Si fijate lo que te llego de pass.
(Habia puesto un pass como "lammerasqueroso"
El: No me llego nada
Yo: Entonces te anda como el orto.
El: Es de una paginita

Bueno , ahi insisto para que me de la pagina, la cual resulta ser:



Ahi me cago de risa un poco, porque esta web ya la habia visto varias veces hace mucho tiempo.

Entren y vean. Es una web por demas de asquerosa, te registrar y te permite mandar xploits pero para que te muestren la contraseña tenes que mandar un mensaje a XXXX que te cobra como 5$....Lamentable, tanto el creador de la web como los que entran en ella.

Ahora volviendo al mail. Para poder mandar mails con una direccion cualquiera puede ser tanto @faceboolk.com tanto como @robertito.com. Se necesita un servidor SMTP el cual lo podes crear en tu propia pc (que es bastante tedioso) o te lo pueden ofrecer los distintos hosting webs, generalmente pagos. Basicamente teniendo un servidor SMTP a tu servicio, podes mandar mails con cualquier direccion. Puede ser con fines nobles, como las empresas que lo usan para contactos desde paginas web (php funcion mail() ) y claro... esta esta pobre gente.
Este servidor SMTP ya sea el de hotmail, uno casero o el que te provee el hosting aparece en lo que se llama el codigo de fuente de un mail. A este codigo de fuente puede acceder cualquiera desde cualquier proveedor de correo. Vendria a ser como las entrañas del mail.
En hotmail particularmente se accede asi:



Click derecho sobre el mail, y click en codigo de fuente.

Una vez en el codigo de fuente aparece esto que analizandolo sin muchas tecnicidades facilmente se distingue:



Lo que marque en AZUL me gustaria saber que es, no tengo ni la menor idea.[/i]


Vemos que aparece varias veces "valuehost.ru" asi que sin miedo entro y resulta ser un hosting de Rusia...Como era de esperar.
Y bien, pero bien buchonaso. Solicito un chat con algun operador del hosting y le cuento que estaban usando su SMTP para mandar xploits.

Aca esta la conversacion con el operador.



Efectivamente probe mandar un xploit nuevamente desde www.lanzadorx.com y no funciona
El usuario SMTP fue bloqueado.
Ahora la pagina sigue en pie ya que esta alojado en otro servidor (4trap). No tengo intenciones de hacer un deface y si las tuviera, creo que carezco de conocimiento para hacerlo. Igual prefiero que la web siga en pie, los llamer entren y pierdan tiempo tratando de mandar xploits.
El deface de la web se lo dejo a otro


Mi intencion no es copiarle a nanopene, no le llego ni a los talones, solo mostrar que teniendo tan pocos conocimientos de informatica como yo pueden hacer un poco para que estas lacras desaparezcan. Simplemente avisenle al hosting de la manera que hize yo.

Chau.