Para que no se crean que tengo algo particular contra Google, hoy voy a mostrar que no es el único que no controla sus páginas de redirecciones adecuadamente.
Al revisar mi correo el día de hoy, me encontré, para variar, con un nuevo ejemplo de phishing, otro de los tantos que recibo a diario. En este caso, dice venir del Departamento del Tesoro estadounidense, diciendo que han encontrado que tengo dinero a recuperar por mis impuestos.
En el mensaje, se me pide que haga click en un enlace, que al revisar, tiene la siguiente forma:
http://www.aol.com/redir.adp?_url=http://www.ines-und-kai.de/[XXXXXX]/login.html
[Algunas partes de la URL fueron removidas para no hacer pública la dirección del phishing]
Si miran la primera parte de la dirección web, verán que la misma es para acceder a un script (redir.adp), que está alojado en la página www.aol.com. Esta página pertenece a America OnLine, uno de los principales proveedores de servicios de Internet de Estados Unidos.
La página en cuestión es utilizada por AOL para varios de sus sitios web, a fin de redireccionar enlaces dentro de sus páginas, a otros sitios, y no tiene nada de malo por si misma, pero parece que no tiene los controles necesarios, dado que permite hacer redirecciones a cualquier sitio que se incluya como parámetro (lo que viene después de “url=”).
Asimismo, este redir.adp puede ser usado no solo para redirigir a páginas de Internet, sino también a descargas de ejecutables, cosa que acabo de comprobar, de la misma manera que el script iclk de Google.
¿Por qué me preocupa tanto el tema de estas redirecciones no controladas? Básicamente, porque ayudan, indirectamente, a que el usuario confíe en el mensaje de phishing recibido, dado que al ver un dominio conocido como enlace (aol.com), tendrán más confianza al hacer click en el mismo, y sin saberlo, terminarán siendo redirigidos a un sitio malicioso.
De esa manera, se les da una herramienta adicional para engañar a quienes están detrás de estas acciones maliciosas, todo debido a que la página aquí mencionada de AOL como la de Google que vengo mencionando hace rato, tienen un pobre diseño de seguridad.
Repito por enésima vez: no importa de quien diga venir algo, sino lo solicitaste, no lo aceptes.
“is”
lunes, 12 de mayo de 2008
Google no es el único usado para redirecciones
Suscribirse a:
Enviar comentarios (Atom)
2 comentarios:
buenas, se que no tiene que ver con el tema, pero bueno.
me acaba de llegar un mail, diciendo supuestamente que es para confirmar mi subscripcion al feed del blog, pero como ya me han llegado avisos a mi casilla, me resulta sospechoso, aparte la direccion de donde viene no inspira confianza, por eso lo posteo aca.
De: confirmations@emailenfuego.net
A: XXXXXXXXXX@yahoo.com.ar
Asunto: Activate your Email Subscription to: Virus Attack!
Fecha: Thu, 8 May 2008 11:59:57 -0500 (CDT)
Hello there,
You recently requested an email subscription to Virus Attack!. We can't
wait to send the updates you want via email, so please click the
following link to activate your subscription immediately:
http://www.feedburner.com/fb/a/emailconfirm?k=UZOLunN95Y&i=10317950
Hola Shadeus,
emailenfuego.net es el dominio usado para los avisos de correo usados por FeedBurner, que es el publicador de feeds RSS que usamos, por lo que el email que recibiste es normal cuando completas el campo de suscribirte de este blog.
Saludos!
Publicar un comentario