Primer Phisihng sobre Google Checkout

Thursday, October 25, 2007
######################################################
Primer Phishing Sobre Google Checkout
Vendor url:http://checkout.google.com/
original article:http://lostmon.blogspot.com/2007/10/
primer-phishing-sobre-google-checkout.html
#######################################################


Google Checkout es uno mas de los servicios de Google,
el cual permite buscar y comprar con google, atraves
de compradores y vendedores en un sistema analogo o
parecido al de ebay o algunos otros.

Tanto para comprar como para vender se necesita una
cuenta de google y ademas varios datos bancarios como
como son una targeta de credito.


Hoy me llego un correo en el cual se me instaba a verificar
mi cuenta de Gmail.

[imagen correo]



Mirando bien parte de las cabeceras del Email enseguida vemos
que su procedencia es ilegitima :

Received-SPF: neutral (google.com: 194.100.2.122 is neither
permitted nor denied by best guess record for domain of
anonymous@tarmo.citius.info) client-ip=194.100.2.122;

Authentication-Results: mx.google.com; spf=neutral
(google.com: 194.100.2.122 is neither permitted nor denied
by best guess record for domain of anonymous@tarmo.citius.info)
smtp.mail=anonymous@tarmo.citius.info
Received: from
tarmo.citius.info (unknown [62.237.50.26])



Despues de seguir el link hacia el cual lleva esta estafa,
veo que en lugar de ir como se supone a un intento de robo
de contraseñas , lleva directamente a Google Checkout , lo
cual creo que es el primer Phishing dirijido hacia un
servicio de Google , ya que al intentar robar el numero de
targeta de credito , o bien en si dinero puede entonces
considerarse Phishing y no un simple Scam.

[foto del Scam]



Si nos fijamos bien en la url del engaño vemos varias cosas

1- se ha intentado imitar el dominio de Gmail atraves de un
subdominio que nada tiene que ver con Gmail.
2- Se ha intentado imitado la url de Gmail añadiendo varias
variables como la de 'Auth'
3- La url directa del mail en si no funciona pues se han
descuidado de poner '?' para que la url funcione directamente.
4- se puede entrar directamente al engaño en el raiz del web.

http://www.gmail.com.update.digitalwestex.org/auth=DQAAAHIAAAA
PQ-JRZfCChKlJsPpjaMLWnBzKRWEZQ02EbWrMJOO3uhnTGKoqpILRxFd_k0EdD
8g6a6dANfaOogLt1fjcqR0JYdy4mGaSf8R6XjoZXrHiiHXeDk8h93nAKGZBhZb
mpHOYevyYbPCp52S3Mz4y8EAtWF5o7-QGpnluuZvu1h11Lw&shva=0.html

Como siempre , no se porque nos Phishers no se esmeran y
dejan como siempre el directorio donde se guardan los archivos
al descubierto...


http://www.gmail.com.update.digitalwestex.org/
Welcome to Google Checkout!_fichiers/

[foto del directorio]



En el directorio en si encontramos varios archivos javascript,

1- 112228238-addressjs.js
2- creditcard.js
3- ukcreditcard.js
4- XmlHttp.js
5- TimeZones.js

Los cuales sin especificar, entre otras cosas se encargan de
gestionar de donde venimos, si hemos clicado en el enlace del
email,cacheara nuestra sesion y ademas intentara interceptar
varias de las acciones que tomemos despues de visitar la pagina
entre ellas validar si es correco el numero de targeta introducido.

El interesante en si es 112228238-addressjs.js :)

Si miramos el codigo fuente de la pagina vemos ademas que si
introducimos datos en el formulario del engaño estos aparte
ser cacheados ,se crea una cuenta nueva de Google Checkout.

Recordad que hace poco fue descubierta una nueva vulnerabilidad
sobre Google Gmail , la cual permite interactuar y establecer
filtrosen nuestro correo , con lo cual atraves de un scam malicioso
ademas de crear una cuenta en Checkout , podria en Gmail redirijir
los mensajes a otra cuenta sin conocimiento del usuario victima.

[referencia vulnerabilidad]
http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

recomiendo ,aparte de como siempre no fiarnos de este tipo de
correos y de comprobar que el sitio que se visita es realmente
el sitio lejitimo,aparte de las medidas habituales , si usais
explorer con la barra de google cerrar siempre la sesion en el
navegador(el boton verde) antes de navegar a otro sitio y si
usais firefox o otros navegadores , cerrar la sesion con el
link de la web logout, asi evitaremos la muchas de las
posibilidades de intentar hacerse con nuestra sesion.


Gracias a Imydes de www.imydes.com por su soporte.
Gracias a FalconDeOro por su paciencia.

atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....

Robo de contraseñas mediante un Scam de Google Gmail

Thursday, October 04, 2007
#####################################################
Robo de contraseñas mediante un Scam de Google Gmail
Robo de contraseñas mediante phishing en E-bullion
Descubridores e investigadores: Lostmon(1) Imydes(2)
Articulo original: http://www.imydes.com/?p=117
Fecha: 03/10/2007
####################################################

Este articulo procede de un trabajo conjunto con
Imydes la direccion del Articulo original: http://www.imydes.com/?p=117

--
Como seguramente todos sabreis, Google tiene bastantes
servicios a sus espaldas, por citar algunos:
Google Adsense, Google Docs, Gmail, Blogger, Picassa…

Mediante este Scam de Gmail Accounts cuyo objetivo es
robar la contraseña del internauta despistado podría
dar acceso a todos estos servicios de oogle mencionados.

El Scam en cuestión consiste en simular un formulario
de Google cuyo título es “My Account” simulando ser un
gestor para editar información personal de la cuenta de
Google.

En el formulario en cuestión encontramos los siguientes campos:

Username
Password
First name
Last name
Nick name
Zip code
Country

(Una pequeña nota, el usuario intermedio si pica por primera
vez podrá ver un pequeño fallo y es que el campo Password no
está protegido por **** y sale la contraseña a simple vista
y en el campo Country sale un desplegable con varios paises
y al no estar codificado con UTF-8 salen con “carácteres extraños”)

Gmail Accounts Scam Imydes

Si llenamos los campos antes nombrados y le damos a “Save”,
veremos que nos direcciona hacia “update.php” donde seguramente
se almacene la información introducida en el formulario desconozco
si es en BBDD o en un fichero).

Por otra parte, si entramos en la web directamente sin poner
www veremos que los creadores del Scam se han olvidado de
poner una página inicial para que no puedas ver el contenido
del servidor raiz.

En este descuido podemos ver un sistema para enviar e-mails
masivos del Scam (concretamente la dirección web es esta: http://us-gmail.com/mail.php).

También podemos ver una página web que seguramente sigue la
misma dinámica que el Scam de Gmail pero es con e-Bullion
(web http://us-gmail.com/e-lbullion/). Podemos ver que en
el caso de e-bullion se dirige a “/secure/update.php”.

E-bullion Phishing

Créditos:

Imydes (Documentación del Scam e investigación)(www.imydes.com)
Lostmon (El descubridor de este Scam e investigación) (http://lostmon.blogspot.com)
Lostmon Group (http://groups.google.com/group/lostmon)

Gracias a XiuX, MARNI, itimad, Yeremat, Soed, Newcastle por confiar en mi.

Latest OSVDB Vulnerabilities

 

Browse

About:Me

My blog:http://lostmon.blogspot.com
Mail:Lostmon@gmail.com
Lostmon Google group
Lostmon@googlegroups.com

La curiosidad es lo que hace
mover la mente...