Asunto: [HACK] Luchar contra el phising - ¿ Cómo ?

Tue Jun 14 09:59:30 CEST 2005

Se me ocurre hacer un script/programa/demonio que lea frecuentemente la cuenta
de correo que recibe los correos de phising y lea los valores del "form action="
para identificar al atacante y el "src" "href", etc... para detectar a la
victima. Una vez obtenido esto solo queda crear un correo de aviso a la victima
de manera automatica, y dejarlo para tu posterior revision, o que se envie
directamente. Podrian quedarse en un directorio almacenados los correos que
el programa no consiguiera identificar, para que manualmente tu, los identificaras.
No obstante te quitaria bastante trabajo.

El problema que veo aqui es obtener de manera automatica los correos de la
victima y administrador del servidor atacante. Aunque podria mediante un
script leer la pagina de inicio, buscar "contacto" y luego palabras como
"webmaster", "sistemas", etc... Aunque en los bancos creo que asi no conseguiriamos
nada.

¿Alguna otra idea? 
Espero que sea esto a lo que te referias.

Saludos.
>-- Mensaje original --
>Date: Mon, 13 Jun 2005 19:27:14 +0200
>From: zumbi <zumbita at conket.com>
>To: hacking at argo.es
>Subject: [HACK] Luchar contra el phising - ¿ Cómo ?
>Reply-To: "http://www.argo.es/~jcea/artic/hack-faq.htm" <hacking at argo.es>
>
>
>Hola listeros,
>
> * Problema:
> 
>  Lucha contra el phising.
>  
> * Posible solución:
>  
>  Hasta ahora he localizado dónde se encontraba el servidor fraudulento
>y he ido notificando a los administradores de los sistemas que tenían
>hospedada una página que se dedicaba al fraude. Por ejemplo,
> 
>    1. Me llega un correo que me pide claves de usuario, le doy a Enviar
>y me lleva a la web del banco.
>        Si se lee en html del fichero nos encontramos con la siguiente
>línea:
>
><--! snipet -->
>
><form name="f1" method="post" action="http://www.testsway.com/script.php">
><table align="center" border="0" width="590"><tbody><tr><td
>align="center" valig
>n="top" width="275">
><table border="0" cellpadding="0" cellspacing="0"
>width="239"><tbody><tr><td><im
>g alt="Caja Madrid"
>src="https://oi.cajamadrid.es/CajaMadrid/oi/imagenes/logocm.
>gif" border="0" height="43" vspace="13"
>width="115"></td></tr><tr><td><img alt="
>" src="https://oi.cajamadrid.es/CajaMadrid/oi/imagenes/imagengr.jpg"
>border="0"
>height="106" width="239"></td></tr><tr><td height="55"
>valign="bottom"><img alt=
>"Oficina Internet | Caja Madrid"
>src="https://oi.cajamadrid.es/CajaMadrid/oi/ima
>genes/logooi_08.gif" border="0" height="42"
>width="239"></td></tr></tbody></tabl
>e>
>
><--! end snipet -->
>
>    Buscando la cadena form nos indica donde se enviará el formulario:
>http://www.testsway.com/script.php
> 
>    $ host www.testsway.com
>    www.testsway.com       A       xx.235.220.67
>
>    $ whois xx.235.220.67
>    --> Obtendremos el correo electrónico donde podemos denunciar este
>hecho al administrador para que obrando de buena voluntad, retire la
>página web de su dominio.
>
>  2. En otras ocasiones no hará ni falta mirar el html, pues
>directamente, el correo te dirigirá al site malintencionado. Se procede
>con el host y el whois y podemos denunciar estos hechos al administrador
>del sistema.
>
>
>  * Pegas:
>
>    Resulta que he estado denunciando estos hechos, pero después de unas
>cuantas páginas retiradas me empiezo a cansar de hacerlo. Entonces me
>gustaría preguntarles si alguno conoce alguna herramienta libre que
>realize este proceso o si no existiera a alguno se le ocurre que se
>podría hacer para luchar contra esto.
>
>    ¿ Alguno de ustedes conoce alguna forma alternativa de obrar que
>merezca la pena, notificarlo al banco, a policia.es, ... ?
>
>
>  Gracias por su atención,
>    zumbi
>
>		
>______________________________________________ 
>Renovamos el Correo Yahoo! 
>Nuevos servicios, más seguridad 
>http://correo.yahoo.es
>_______________________________________________
>Lista - http://mailman.argo.es/listinfo/hacking
>FAQ - http://www.argo.es/~jcea/artic/hack-faq.htm
>"una-al-dia" para estar siempre informado - http://www.hispasec.com/