Phishing activo de Facebook !!!

El día de hoy identificamos un sitio que se hace pasar por el sistema de inicio de sesión de Facebook en inglés. A continuación se muestra el sitio de phishing.                    ¿Podrías determinar las diferencias?

 

Quizá la manera más rápida de identificar un sitio de phishing, es a través del dominio, sin embargo, se pueden mencionar algunos otros elementos que se describen a continuación:

 

  1. El dominio hxxp://www.fuizesbooks.com no se parece en nada al dominio oficial de facebook: https://www.facebook.com/login.php. De hecho, está reportado como malicioso y resuelve a una IP en Estados Unidos.

 

 



Por otro lado, la característica de seguridad (https) tampoco está habilitada.

 

   2.  En el sitio original, el nombre que describe al sitio es Log In|Facebook y en el de phishing aparece Login|Facebook.

   3.  En el sitio original, la opción “Keep me logged in” o “Mantenerme conectado” no está seleccionada por default, característica que sí está activada en el sitio de phishing.

   4. Los idiomas que aparecen son diferentes. En el sitio original, el Español aparece en primer lugar, ya que Facebook efectúa consultas para determinar la GEO-localización de la IP desde donde se está haciendo la petición a su sitio. En cambio, en el sitio de phishing aparece English (US), entre otras diferencias.

    5. Los creadores del sitio pasaron por alto el año del Copyright que está todavía en 2010, mientras que en el original está en 2011.

   6. En el sitio original aparecen 13 links hacia diferentes sitios de Facebook, mientras que en el de phishing sólo están presentes 7.

 

 

 



Quizá la característica más importante que se determinó de esta página de phishing es que el dominio pertenece a un tipo de red denominada fast-flux, en la cual, ese dominio responde a diferentes direcciones IPs. Esta característica dificulta demasiado dar de baja estos sitios, ya que se tendría que notificar cada una de las direcciones IPs, resultantes de la consulta, para poder desactivar completamente el sitio. Sin embargo, si el atacante da de alta nuevas direcciones IP, se crea un ciclo dificil de romper.

 

Uno de los resultados de la consulta DNS al sitio, realizada el día de hoy, se muestra en la siguiente imagen. Mañana podrían ser diferentes:

 

 



El objetivo principal de este tipo de sitios es capturar la mayor cantidad de información de inicio de sesión de los usuarios, por lo que habrá que estar siempre muy atentos en las pequeñas diferencias que puedan existir.

Enviado por ialvarado el Vie, 06/03/2011 - 20:16

Comentarios

Enviado por Anónimo el Lun, 08/15/2011 - 20:00

Yo tengo uno de estos montado en un servidor para un uso de prueba tienen varios errores otra cosa que les falto agregar es que hotmail y su nueva herramienta SmartScreen al recibir un correo con ligas externas o provenientes de un codigo en php lo manda spam pero hay una forma de evitar eso ,solo hace falta enviarlo con el correo de una persona que tenga agregada la victima(se tiene que revisar la cabecera del destinatario, que venga de facebook y no de un contacto) y listo! si gustan les paso la liga para que aqui vean el ejemplo mas claro!

Excelentes noticias .. espero y sigan publicando mas. salu2

Enviado por Anónimo el Sáb, 09/24/2011 - 07:36

instalarfaceplus.net.

ESTA ES OTRA DE LAS PAGINAS DE PISHING Q ESTA DANDO VUELTAS POR FACEBOOK, TUVE LA MALA SUERTE DE DARLE CLICK EN EL ENLACE Y AHORA NO PUEDO USAR MI FACEBOOK...

NO SE COMO SACARLO O DESACTIVARLO.....

AYUDAAAAAAAA