Vrei sa prostesti lumea sa dea click pe linkul tau?

Ai nevoie de un domeniu credibil pentru a-i face pe oameni sa inghita gogosile tale?

Nu stii cum sa iti imprastii troienii?

Foloseste news.vodafone.ro si vei avea parte de satisfactie garantata.

Azi am primit un mesaj pe id-ul de messenger. Un individ pe care nu il stiu, dar in a carei lista de spam se afla id-ul meu, s-a gandit sa prosteasca lumea cu un mesaj ca “vezi ca poti sa iti reincarci cartela de tel gratis cu 20 euro lunar si sa dai 30 smsuri pe zi daca folosesti programul de pe site-ul vodafone (LINK CENZURAT)”. Programul de fapt fiind un troian care era hostat pe un site de file sharing.

Partea frumoasa a respectivului scam o reprezenta linkul pe care il trimitea posibilelor victime, un link cat se poate de credibil pentru oricare dintre noi. Sa il analizam putin, putin modificat pentru a fi orice cititor in siguranta. Faza e noob friendly si oricine o poate face.

http://news.vodafone.ro/engine/link.php?URL=aHR0cDovL3d3dy55YWhvby5jb20&Name=&EncryptedMemberID=MjIyMjIyMjIyMg
&CampaignID=60&CampaignStatisticsID=100&Demo=0&Email=ZXhhbXBsZUBtYWlsLmNvbQ==

Parametrul URL= contine adresa site-ului catre care utilizatorul este redirectionat si este encodat in Base64. In cazul de fata aHR0cDovL3d3dy55YWhvby5jb20 reprezinta http://yahoo.com.

Parametrul EncryptedMemberID este total inutil pentru noi si nu necesita modificari. El contine “user id-ul” celui care acceseaza url-ul.

Parametrul Email este deasemeni inutil si nu necesita modificari. Contine mailul celui care acceseaza url-ul. Nu stiu exact de unde provine acest mail dar in cazul de fata ZXhhbXBsZUBtYWlsLmNvbQ== este example@mail.com.

Pentru a modifica parametrul URL tot ce trebuie sa facem este sa folosim un Base64 encoder si sa introducem o alta adresa web. Spre exemplu inlocuim aHR0cDovL3d3dy55YWhvby5jb20 cu aHR0cDovL2hhY2tlcnNibG9nLm9yZw pentru a face redirect catre http://hackersblog.org.

Avantajul unui astfel de redirect este ca nimeni nu vede cu ochiul liber existenta altei adrese web. Facand redirect catre un fisier .exe nici macar nu vedem trecerea de la un domeniu la altul ci ne apare din prima casuta de download a executabilului. Destul de elegant pot spune, daca doresti sa faci un malware spread de calitate.

Nu pot spune ca este o vulnerabilitate de calitate, de fapt nu este o vulnerabilitate in adevaratul sens al cuvantului, dar poate fi extrem de folositoare acest tip de redirectionare cand vrei sa ai un scam cat mai credibil.

Exemplu (redirect catre http://yahoo.com) aici

Related Posts

• December 12, 2009 -- Atentie la teapa Vodafone
• February 3, 2009 -- Subtitrari spyware?
• February 1, 2009 -- Ce nu se invata la scoala – Tipuri si tehnici spam/Hi5 (4)
• January 31, 2009 -- Ce nu se invata la scoala – Tipuri si tehnici spam (3)
• January 28, 2009 -- filefront.com, permanent XSS + virus propagat prin el