Como ustedes sabrán no nos gustan los lamm0s…
Intentaron hacer caer a un conocido en una web de phishing y les mostramos como cazar salames.

Vamos a enseñarles como denunciar una web con contenidos ilegales en internet. Y detectar a alguien que intenta robarles algo mediante phishing.

Le llega a un conocido un email con una invitacion a ver un poema de amor…

Received: from DataFull.datafull.org ([66.90.118.144]) (…)
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - DataFull.datafull.org
X-AntiAbuse: Original Domain - hotmail.com
X-AntiAbuse: Originator/Caller UID/GID - [99 99] / [47 12]
X-AntiAbuse: Sender Address Domain - DataFull.datafull.org
X-Source:
X-Source-Args:
X-Source-Dir:
Return-Path: nobody@DataFull.datafull.org

Ahí ya tenemos data del email.. En negrita aparece una IP.. pero es la de un servidor de la empresa datafull.org, es decir que el atacante utilizo probablemente un sistema con la función mail() de php para el envio del correo y que así no quede registrada su IP.

En el mail hay un link que al ingresar aparece una web igual al login de "hotmail"…

La url en cuestión es:

http://www.inlatin.com/by107fd.bay107.hotmail.msn.com.cgibin.hotmail.curmbox.00000000.2d0000.2d0000.2d00002d000000000001000000000000000000000000012777885554444200passport/login.php?fake=poemas&nombre=Vero&correo=Vero80@hotmail.com&retorno=rodrigogonzalez1981_20@hotmail.com&Postal=&nombre_from=Leo&correo_from=leonardinho@hotmail.com&mensaje=Te+va+a+gustar

Vamos a analizarla…

http://www.inlatin.com/ es el dominio que el lammer está utilizando para robar las claves.
by107fd.bay107.hotmail.msn.com.cgibin.hotmail.curmbox.00000000.2d0000.2d0000.2d00002d000000000001000000000000000000000000012777885554444200passport/ es una carpeta que creó para que en la barra de direcciones parezca que uno está en hotmail =P

login.php? Este es el archivo que creó el lammer… empieza a mostrar el contenido de una página igual a hotmail.

fake=poemas Esto significa que después de clickear en "iniciar sesión" nos va a dirigir a una página de poemas, probablemente tenga varias páginas… definitivamente nos dirije a: http://www.poemasdeamor.com.ar/Tarjetas.html (podemos pensar que esta web tiene algo que ver … o no.. en este caso no porque esta registrada desde el 2001, hosteada en un proveedor local, con datos verdaderos de su registrante, adsense funcionando y nada dirijido.. postales estandar para cualquiera que entra).

&nombre=Vero El nombre del destinatario de la postal.. en algun lado debería aparecer =P

&correo=Vero80@hotmail.com El email del destinatario .. (victima).

&retorno=rodrigogonzalez1981_20@hotmail.com Epa.. bueno.. .a este email va a llegar la información del usuario & pass ingresados.

&Postal= Esto está vacio.. no sabemos que significa

&nombre_from=Leo Nombre del remitente ficticio

&correo_from=leonardinho@hotmail.com Email del remitente ficticio

&mensaje=Te+va+a+gustar El mensaje que llegó por email.

Lo primero que hacemos es un whois al dueño del dominio…
http://www.whois.sc/inlatin.com

Bueno, acá lo tenemos.. dentro de esta web (inlatin.com) está el sistema de phishing… Y la web está registrada con datos falsos (nos damos cuenta en el whois) por lo que nos advertimos que seguramente no sea la web de alguien inocente… escondio los datos! algo oculta… =P

En este caso todo se trata de (talvez) un tal Alejandro Saez (alejandro_saez311@hotmail.com).

Todos los datos podrian ser falsos.

Tiene DNS's de datafull… es decir, hostea en datafull.org.
Nos interesa averiguar el teléfono de datafull porque el de inlatin.com evidentemente no existe.
http://whois.sc/datafull.org

Eehh.. un número de santiago del estero… vamos a www.nic.ar y buscamos por "datafull"… Ahora si! Hernan Arrojo es el dueño de datafull.. obtenemos su numero, llamamos, nos atiende una secretaria y nos pasa el número de datafull porque el que figura en nic es el de 4Kbezas.

Hablamos con Mariano de datafull le comentamos la situación y nos promete que en solo unos minutos la web estará dada de baja porque es evidente que los contenidos son ilegales.

Vamos a ver que pasa…. ¿cumplirá datafull? ¿O dejará que cualquiera hostee una web con contenidos ilegales?

Si quisieramos saber quien fue esta persona, no tenemos más que (abogados de por medio) comunicarnos con datafull y solicitar los datos de este cliente. Un juez puede solicitar y obtener estos datos (existen métodos rápidos mediante la ingeniería social…).

Si dicho atacante / lammer (no, no es un hacker) hizo todo (hasta el alta de su cuenta de hosting) con datos falsos y desde un locutorio… podría obtenerse la ip de dicho lugar y esperarlo en la puerta del locutorio con PFA división delitos informáticos, obtener huellas digitales del teclado / pc, saber que sitios visitó, como pagó el hosting… en algún video sin duda está.

También se podría contactar a Hotmail y solicitar los datos de acceso a las cuentas que utiliza para recibir las claves de sus victimas. Con datos de acceso me refiero IP's y datos de registro (estos ultimos seguramente serán falsos).

En fin, nadie está seguro, asique no te dejes caer.
Pensá, investigá, llevá todo al punto máximo de seguridad.
Demostrá que lo seguro no existe.
Demostrá que sos mejor que el que quiere hacerse el vivo.

Saludos y no hax0reen a gente inocente :-)