[SOLUCIONADO] Análisis Phishing

Buenas tardes

Quisiera saber si es posible realizar el análisis de una página web fraudulenta ( Phishing ), por ejemplo el código en la cual hace el envío de los datos hacia el atacante o Phisher, como por ejemplo la información de Número de tarjetas, contraseña de la tarjeta, etc. Me están solicitando este análisis en la empresa donde laboro, por favor indicarme si es posible de realizar este tipo de análisis. Ya que gestiono equipos que pueden realizar estos bloqueos de casos de Phishing, pero me han solicitado lo indicado con anterioridad.

Por favor indicarme si es posible realizar este tipo de análisis, para poder adjuntar ficheros o archivos de los sitios fraudulentos que he detectado.

Además quiero felicitarros por el excelente foro que tienen, está buenísimo lo de compartir conocimientos.

MIL GRACIAS 
Saludos

Si se puede realizar segun se de el caso como un análisis de malware de ejemplo.

Regards,
Snifer

que yo sepa no, por lo que me dijeron en este foro no se pueden ver los codigos php de las paginas webs

Se puede realizar hacer el analisis rolth especialmente a los js que gran parte hace uso de ellos segun el vector de ataque realizado.

Regards,
Snifer

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Se puede realizar hacer el analisis rolth especialmente a los js que gran parte hace uso de ellos segun el vector de ataque realizado.

Regards,
Snifer

Ok Snifer, muchas gracias por tu pronta respuesta.. Ahora que detecte algún Phishing, adjuntaré el código para que me apoyen con el análisis de los js de los Phisher. Consulta, este foro es de algún País específico?

Gracias y saludos

gracias por la correcion, asi voy aprendiendo cosas nuevas que hace falta jeje

Hacer el analisis como tal, dudo que podamos hacer aquí todo ya que gran parte como mi persona trabajamos y en tiempos muertos libres foreamos como mi persona pero si podremos colaborarte eso estoy seguro!

Regards,
Snifer

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hacer el analisis como tal, dudo que podamos hacer aquí todo ya que gran parte como mi persona trabajamos y en tiempos muertos libres foreamos como mi persona pero si podremos colaborarte eso estoy seguro!

Regards,
Snifer

Ok, ya tengo un caso de Phishing detectado, lo que tengo que hacer es guardar la página como. (Pagina principal) ? O se requiere entrar sitio por sitio que yo quiero analizar? .. O solo requiero el formulario donde piden los datos bancarios?

Muchas gracias
Saludos

Algunos terminos que se manejan en el mundo del cyber crimen, en cuanto al phishing.

A la pagina clonada se le dice SCAM, al la web donde se alojara se le dice shell o cpanel (solo por el simple hecho de que en la web "hackeada", se obtuvo acceso al cpanel o se subió una web shell), el archivo con el que se envía spam es un mailer y muchas veces solo es cuestión de ver el código del correo para saber de donde vino, y ademas lo mas seguro es que no sea del mismo servidor donde esta alojado el scam, luego tendrías que hacer click para ver a donde seras redireccionado a "www.cualquierweb.com/TUBANCO.COM/DETALLES/CUENTAS/" por ejemplo, si quisieras podrias denunciar el scam o quizas hubiese la posibilidad de obtener acceso al servidor para tratar de localizar los correos a donde llegara los logs bueno eso depende del que audita ..


Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hacer el analisis como tal, dudo que podamos hacer aquí todo ya que gran parte como mi persona trabajamos y en tiempos muertos libres foreamos como mi persona pero si podremos colaborarte eso estoy seguro!

Regards,
Snifer

Ok, ya tengo un caso de Phishing detectado, lo que tengo que hacer es guardar la página como. (Pagina principal) ? O se requiere entrar sitio por sitio que yo quiero analizar? .. O solo requiero el formulario donde piden los datos bancarios?

Muchas gracias
Saludos

Lo que puedes hacer es comenzar a analizar algun JS por ahi y como dice thyp0n si tienes acceso al sitio cpanel y demas ver que anda metido posteriormente a donde hace conexiones urls y demas!

Regards,
Snifer

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Algunos terminos que se manejan en el mundo del cyber crimen, en cuanto al phishing.

A la pagina clonada se le dice SCAM, al la web donde se alojara se le dice shell o cpanel (solo por el simple hecho de que en la web "hackeada", se obtuvo acceso al cpanel o se subió una web shell), el archivo con el que se envía spam es un mailer y muchas veces solo es cuestión de ver el código del correo para saber de donde vino, y ademas lo mas seguro es que no sea del mismo servidor donde esta alojado el scam, luego tendrías que hacer click para ver a donde seras redireccionado a "www.cualquierweb.com/TUBANCO.COM/DETALLES/CUENTAS/" por ejemplo, si quisieras podrias denunciar el scam o quizas hubiese la posibilidad de obtener acceso al servidor para tratar de localizar los correos a donde llegara los logs bueno eso depende del que audita ..


Saludos

Gracias por la respuesta, si tengo acceso actualmente al cpanel o phishing, lo que quisiera saber es detectar por ejemplo el código o la sintáxis en el cual estos Phishers envían sus logs o a que dirección de correo. Esta es la URL que acabo de detectar que es un Phishing, en mi red yo acostumbro bloquear la dirección IP publica de este sitio web, pero quisiera saber lo que comente con anterioridad.

Url Phishing:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Muchas gracias
Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hacer el analisis como tal, dudo que podamos hacer aquí todo ya que gran parte como mi persona trabajamos y en tiempos muertos libres foreamos como mi persona pero si podremos colaborarte eso estoy seguro!

Regards,
Snifer

Ok, ya tengo un caso de Phishing detectado, lo que tengo que hacer es guardar la página como. (Pagina principal) ? O se requiere entrar sitio por sitio que yo quiero analizar? .. O solo requiero el formulario donde piden los datos bancarios?

Muchas gracias
Saludos

Lo que puedes hacer es comenzar a analizar algun JS por ahi y como dice thyp0n si tienes acceso al sitio cpanel y demas ver que anda metido posteriormente a donde hace conexiones urls y demas!

Regards,
Snifer

No poseo los skills para analizar estos códigos de programación y como comenté a thyp0n si tengo acceso al cpanel pero no se como detectar hacia donde van los logs de autenticación.

Saludos
Y muchas gracias otra vez

No es muy difícil amigo, ahí te envie un MP, si deseas me avisas y te doy una mano 

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No es muy difícil amigo, ahí te envie un MP, si deseas me avisas y te doy una mano 

Ok correcto, ya leí tu MP.. Muchas gracias, espero me puedas ayudar.

Saludos

generalmente existe un archivo con extencion X, supongamos .php, el cual tiene el mail del atacante....


otro factor tambien puede ser q guarde los datos en el mismo servidor en un TXT, escondido por algun directorio...

Como lo pensas evitar eso?? (pregunta que te hago.)


Yo mi opinion personal es darle seguridad al servidor/web para que no tengan acceso. Porque si vos evitas el pishing de otra forma, corres el riesgo de que rooteen el servidor y cometerian su objetivo igual

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
generalmente existe un archivo con extencion X, supongamos .php, el cual tiene el mail del atacante....


otro factor tambien puede ser q guarde los datos en el mismo servidor en un TXT, escondido por algun directorio...

Como lo pensas evitar eso?? (pregunta que te hago.)


Yo mi opinion personal es darle seguridad al servidor/web para que no tengan acceso. Porque si vos evitas el pishing de otra forma, corres el riesgo de que rooteen el servidor y cometerian su objetivo igual

Gracias por comentar, bueno referente a tu pregunta en realidad no tengo gestión del servidor web legítimo yo simplemente lo que hago es que mis usuarios no se vean afectados por estos ataques de Phishing y por curiosidad queria entender como envían los logos hacia el atacante o en base a que código, en ataques de Phishing relacionados a BANCOS.
Yo personalmente hace años realizaba scams de sitios por cuestiones de conocimiento para capturas de un usuario y contraseña.. era sencillo poder capturar este login y lo terminaba alojando en un txt local en el hosting donde alojaba mi scam, pero si analizamos el caso de scam de un banco se dificulta algo más, a mi parecer.

Gracias
Saludos

Si logras tener acceso directo puedes montar un sniffer de por medio y ver a donde envia los datos

Regards,
Snifer

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si logras tener acceso directo puedes montar un sniffer de por medio y ver a donde envia los datos

Regards,
Snifer

Este sniffer lo colocaría en la supuesta "maquina victima"?

Gracias por comentar.
Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si logras tener acceso directo puedes montar un sniffer de por medio y ver a donde envia los datos

Regards,
Snifer

Este sniffer lo colocaría en la supuesta "maquina victima"?

Gracias por comentar.
Saludos

No, creo q a lo que se refiere es un sniffer en el servidor que esta el scam, me parece.

De cualquier forma, la mayoria estan programados en PHP, por lo cual si sabes php y lees el codigo (ya que dijiste q tenias acceso al panel), vas a entender adonde lo envia. No todos los scam son iguales, y seguramente vas a encontrar muchos q son diferentes, si queres encontrar un patron en comun, olvidate, no es una solucion buena.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si logras tener acceso directo puedes montar un sniffer de por medio y ver a donde envia los datos

Regards,
Snifer

Este sniffer lo colocaría en la supuesta "maquina victima"?

Gracias por comentar.
Saludos

No, creo q a lo que se refiere es un sniffer en el servidor que esta el scam, me parece.

De cualquier forma, la mayoria estan programados en PHP, por lo cual si sabes php y lees el codigo (ya que dijiste q tenias acceso al panel), vas a entender adonde lo envia. No todos los scam son iguales, y seguramente vas a encontrar muchos q son diferentes, si queres encontrar un patron en comun, olvidate, no es una solucion buena.

Ezephp la sugerencia que indico es para que el usuario se ponga a revisar en el caso de que no se tenga acceso fisico se puede monitorear las conexiones o solicitudes que se realizan desde el browser.

Regards,
Snifer