Buenas tardes
Quisiera saber si es posible realizar el análisis de una página web fraudulenta ( Phishing ), por ejemplo el código en la cual hace el envío de los datos hacia el atacante o Phisher, como por ejemplo la información de Número de tarjetas, contraseña de la tarjeta, etc. Me están solicitando este análisis en la empresa donde laboro, por favor indicarme si es posible de realizar este tipo de análisis. Ya que gestiono equipos que pueden realizar estos bloqueos de casos de Phishing, pero me han solicitado lo indicado con anterioridad.
Por favor indicarme si es posible realizar este tipo de análisis, para poder adjuntar ficheros o archivos de los sitios fraudulentos que he detectado.
Además quiero felicitarros por el excelente foro que tienen, está buenísimo lo de compartir conocimientos.
MIL GRACIAS ;)
Saludos
Si se puede realizar segun se de el caso como un análisis de malware de ejemplo.
Regards,
Snifer
que yo sepa no, por lo que me dijeron en este foro no se pueden ver los codigos php de las paginas webs
Se puede realizar hacer el analisis rolth especialmente a los js ;) que gran parte hace uso de ellos segun el vector de ataque realizado.
Regards,
Snifer
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Se puede realizar hacer el analisis rolth especialmente a los js ;) que gran parte hace uso de ellos segun el vector de ataque realizado.
Regards,
Snifer
Ok Snifer, muchas gracias por tu pronta respuesta.. Ahora que detecte algún Phishing, adjuntaré el código para que me apoyen con el análisis de los js de los Phisher. Consulta, este foro es de algún País específico?
Gracias y saludos ;)
gracias por la correcion, asi voy aprendiendo cosas nuevas que hace falta jeje
Hacer el analisis como tal, dudo que podamos hacer aquí todo ya que gran parte como mi persona trabajamos y en tiempos muertos libres foreamos como mi persona pero si podremos colaborarte eso estoy seguro!
Regards,
Snifer
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Hacer el analisis como tal, dudo que podamos hacer aquí todo ya que gran parte como mi persona trabajamos y en tiempos muertos libres foreamos como mi persona pero si podremos colaborarte eso estoy seguro!
Regards,
Snifer
Ok, ya tengo un caso de Phishing detectado, lo que tengo que hacer es guardar la página como. (Pagina principal) ? O se requiere entrar sitio por sitio que yo quiero analizar? .. O solo requiero el formulario donde piden los datos bancarios?
Muchas gracias
Saludos
Algunos terminos que se manejan en el mundo del cyber crimen, en cuanto al phishing.
A la pagina clonada se le dice SCAM, al la web donde se alojara se le dice shell o cpanel (solo por el simple hecho de que en la web "hackeada", se obtuvo acceso al cpanel o se subió una web shell), el archivo con el que se envía spam es un mailer y muchas veces solo es cuestión de ver el código del correo para saber de donde vino, y ademas lo mas seguro es que no sea del mismo servidor donde esta alojado el scam, luego tendrías que hacer click para ver a donde seras redireccionado a "www.cualquierweb.com/TUBANCO.COM/DETALLES/CUENTAS/" por ejemplo, si quisieras podrias denunciar el scam o quizas hubiese la posibilidad de obtener acceso al servidor para tratar de localizar los correos a donde llegara los logs bueno eso depende del que audita ..
Saludos
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Hacer el analisis como tal, dudo que podamos hacer aquí todo ya que gran parte como mi persona trabajamos y en tiempos muertos libres foreamos como mi persona pero si podremos colaborarte eso estoy seguro!
Regards,
Snifer
Ok, ya tengo un caso de Phishing detectado, lo que tengo que hacer es guardar la página como. (Pagina principal) ? O se requiere entrar sitio por sitio que yo quiero analizar? .. O solo requiero el formulario donde piden los datos bancarios?
Muchas gracias
Saludos
Lo que puedes hacer es comenzar a analizar algun JS por ahi y como dice thyp0n si tienes acceso al sitio cpanel y demas ver que anda metido posteriormente a donde hace conexiones urls y demas!
Regards,
Snifer
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Algunos terminos que se manejan en el mundo del cyber crimen, en cuanto al phishing.
A la pagina clonada se le dice SCAM, al la web donde se alojara se le dice shell o cpanel (solo por el simple hecho de que en la web "hackeada", se obtuvo acceso al cpanel o se subió una web shell), el archivo con el que se envía spam es un mailer y muchas veces solo es cuestión de ver el código del correo para saber de donde vino, y ademas lo mas seguro es que no sea del mismo servidor donde esta alojado el scam, luego tendrías que hacer click para ver a donde seras redireccionado a "www.cualquierweb.com/TUBANCO.COM/DETALLES/CUENTAS/" por ejemplo, si quisieras podrias denunciar el scam o quizas hubiese la posibilidad de obtener acceso al servidor para tratar de localizar los correos a donde llegara los logs bueno eso depende del que audita ..
Saludos
Gracias por la respuesta, si tengo acceso actualmente al cpanel o phishing, lo que quisiera saber es detectar por ejemplo el código o la sintáxis en el cual estos Phishers envían sus logs o a que dirección de correo. Esta es la URL que acabo de detectar que es un Phishing, en mi red yo acostumbro bloquear la dirección IP publica de este sitio web, pero quisiera saber lo que comente con anterioridad.
Url Phishing:
http://bluemaxit.com/BN.com.pe/BN/
Muchas gracias
Saludos
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Hacer el analisis como tal, dudo que podamos hacer aquí todo ya que gran parte como mi persona trabajamos y en tiempos muertos libres foreamos como mi persona pero si podremos colaborarte eso estoy seguro!
Regards,
Snifer
Ok, ya tengo un caso de Phishing detectado, lo que tengo que hacer es guardar la página como. (Pagina principal) ? O se requiere entrar sitio por sitio que yo quiero analizar? .. O solo requiero el formulario donde piden los datos bancarios?
Muchas gracias
Saludos
Lo que puedes hacer es comenzar a analizar algun JS por ahi y como dice thyp0n si tienes acceso al sitio cpanel y demas ver que anda metido posteriormente a donde hace conexiones urls y demas!
Regards,
Snifer
No poseo los skills para analizar estos códigos de programación y como comenté a thyp0n si tengo acceso al cpanel pero no se como detectar hacia donde van los logs de autenticación.
Saludos
Y muchas gracias otra vez ;)
No es muy difícil amigo, ahí te envie un MP, si deseas me avisas y te doy una mano :)
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No es muy difícil amigo, ahí te envie un MP, si deseas me avisas y te doy una mano :)
Ok correcto, ya leí tu MP.. Muchas gracias, espero me puedas ayudar.
Saludos ;)
generalmente existe un archivo con extencion X, supongamos .php, el cual tiene el mail del atacante....
otro factor tambien puede ser q guarde los datos en el mismo servidor en un TXT, escondido por algun directorio...
Como lo pensas evitar eso?? (pregunta que te hago.)
Yo mi opinion personal es darle seguridad al servidor/web para que no tengan acceso. Porque si vos evitas el pishing de otra forma, corres el riesgo de que rooteen el servidor y cometerian su objetivo igual
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
generalmente existe un archivo con extencion X, supongamos .php, el cual tiene el mail del atacante....
otro factor tambien puede ser q guarde los datos en el mismo servidor en un TXT, escondido por algun directorio...
Como lo pensas evitar eso?? (pregunta que te hago.)
Yo mi opinion personal es darle seguridad al servidor/web para que no tengan acceso. Porque si vos evitas el pishing de otra forma, corres el riesgo de que rooteen el servidor y cometerian su objetivo igual
Gracias por comentar, bueno referente a tu pregunta en realidad no tengo gestión del servidor web legítimo yo simplemente lo que hago es que mis usuarios no se vean afectados por estos ataques de Phishing y por curiosidad queria entender como envían los logos hacia el atacante o en base a que código, en ataques de Phishing relacionados a BANCOS.
Yo personalmente hace años realizaba scams de sitios por cuestiones de conocimiento para capturas de un usuario y contraseña.. era sencillo poder capturar este login y lo terminaba alojando en un txt local en el hosting donde alojaba mi scam, pero si analizamos el caso de scam de un banco se dificulta algo más, a mi parecer.
Gracias
Saludos ;)
Si logras tener acceso directo puedes montar un sniffer de por medio y ver a donde envia los datos ;)
Regards,
Snifer
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Si logras tener acceso directo puedes montar un sniffer de por medio y ver a donde envia los datos ;)
Regards,
Snifer
Este sniffer lo colocaría en la supuesta "maquina victima"?
Gracias por comentar.
Saludos ;)
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Si logras tener acceso directo puedes montar un sniffer de por medio y ver a donde envia los datos ;)
Regards,
Snifer
Este sniffer lo colocaría en la supuesta "maquina victima"?
Gracias por comentar.
Saludos ;)
No, creo q a lo que se refiere es un sniffer en el servidor que esta el scam, me parece.
De cualquier forma, la mayoria estan programados en PHP, por lo cual si sabes php y lees el codigo (ya que dijiste q tenias acceso al panel), vas a entender adonde lo envia. No todos los scam son iguales, y seguramente vas a encontrar muchos q son diferentes, si queres encontrar un patron en comun, olvidate, no es una solucion buena.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Si logras tener acceso directo puedes montar un sniffer de por medio y ver a donde envia los datos ;)
Regards,
Snifer
Este sniffer lo colocaría en la supuesta "maquina victima"?
Gracias por comentar.
Saludos ;)
No, creo q a lo que se refiere es un sniffer en el servidor que esta el scam, me parece.
De cualquier forma, la mayoria estan programados en PHP, por lo cual si sabes php y lees el codigo (ya que dijiste q tenias acceso al panel), vas a entender adonde lo envia. No todos los scam son iguales, y seguramente vas a encontrar muchos q son diferentes, si queres encontrar un patron en comun, olvidate, no es una solucion buena.
Ezephp la sugerencia que indico es para que el usuario se ponga a revisar ;) en el caso de que no se tenga acceso fisico se puede monitorear las conexiones o solicitudes que se realizan desde el browser.
Regards,
Snifer
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Si logras tener acceso directo puedes montar un sniffer de por medio y ver a donde envia los datos ;)
Regards,
Snifer
Este sniffer lo colocaría en la supuesta "maquina victima"?
Gracias por comentar.
Saludos ;)
No, creo q a lo que se refiere es un sniffer en el servidor que esta el scam, me parece.
De cualquier forma, la mayoria estan programados en PHP, por lo cual si sabes php y lees el codigo (ya que dijiste q tenias acceso al panel), vas a entender adonde lo envia. No todos los scam son iguales, y seguramente vas a encontrar muchos q son diferentes, si queres encontrar un patron en comun, olvidate, no es una solucion buena.
Ezephp la sugerencia que indico es para que el usuario se ponga a revisar ;) en el caso de que no se tenga acceso fisico se puede monitorear las conexiones o solicitudes que se realizan desde el browser.
Regards,
Snifer
Pero me parece que al colocar un sniffer en la máquina de un usuario solo vería conexiones hacia donde está alojado el sitio web o me equivoco?
Saludos y gracias por comentar ;)
Aver..., un snifer no vas a poder poner en la maquina del atacante, como crees q lo lograras?, ademas la pregunta principal esta orientada a que queres protejer tus CLIENTES de este tipo de ataques..., que colocaras un snifer a cada atacante?? xDD...
Por eso dije lo del sniffer en el servidor web. Que puede ser mas logico. ya que podrias controlar mejor las entradas y salidas.
Igualmente nose porque se esta haciendo extenso este tema. Fleshed dice que tiene acceso al CPANEL, es tan simple como entrar a los archivos php y buscar el de configuracion del scam, ahi vas a tener la respuesta.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Aver..., un snifer no vas a poder poner en la maquina del atacante, como crees q lo lograras?, ademas la pregunta principal esta orientada a que queres protejer tus CLIENTES de este tipo de ataques..., que colocaras un snifer a cada atacante?? xDD...
Por eso dije lo del sniffer en el servidor web. Que puede ser mas logico. ya que podrias controlar mejor las entradas y salidas.
Igualmente nose porque se esta haciendo extenso este tema. Fleshed dice que tiene acceso al CPANEL, es tan simple como entrar a los archivos php y buscar el de configuracion del scam, ahi vas a tener la respuesta.
Yo dije que puedo poner el Sniffer en la maquina "victima", para ver las conexiones hacia donde envía dicho tráfico, pero me parece que solo veré conexiones hacia la dirección IP donde esté alojado los archivos fraudulentos.
Ya tube acceso al Control panel, desde ahi logré localizar el correo hacia donde se enviaba los logos. Muchas gracias por la ayuda de todos.
Solicito cerrar el post.
MUCHAS GRACIAS A TODOS
SALUDOS. ;)