sábado, 27 de octubre de 2007

Primer Phishing sobre Google Checkout

Google Checkout es uno mas de los servicios de Google, el cual permite buscar y comprar con google, atraves de compradores y vendedores en un sistema analogo o parecido al de ebay o algunos otros. Tanto para comprar como para vender se necesita una cuenta de google y ademas varios datos bancarios como como son una targeta de credito.

Hoy me llego un correo en el cual se me instaba a verificar mi cuenta de Gmail.

Mirando bien parte de las cabeceras del Email enseguida vemos que su procedencia es ilegitima :

Received-SPF: neutral (google.com: 194.100.2.122 is neither permitted nor denied by best guess record for domain of anonymous@tarmo.citius.info) client-ip=194.100.2.122;

Authentication-Results: mx.google.com; spf=neutral (google.com: 194.100.2.122 is neither permitted nor denied by best guess record for domain of anonymous@tarmo.citius.info) smtp.mail=anonymous@tarmo.citius.info
Received: from tarmo.citius.info (unknown [62.237.50.26])

Despues de seguir el link hacia el cual lleva esta estafa, veo que en lugar de ir como se supone a un intento de robo de contraseñas , lleva directamente a Google Checkout , lo cual creo que es el primer Phishing dirijido hacia un servicio de Google , ya que al intentar robar el numero de targeta de credito , o bien en si dinero puede entonces considerarse Phishing y no un simple Scam.

Si nos fijamos bien en la url del engaño vemos varias cosas

1- se ha intentado imitar el dominio de Gmail atraves de un subdominio que nada tiene que ver con Gmail.
2- Se ha intentado imitado la url de Gmail añadiendo varias variables como la de ‘Auth’
3- La url directa del mail en si no funciona pues se han descuidado de poner ‘?’ para que la url funcione directamente.
4- se puede entrar directamente al engaño en el raiz del web.

http://www.gmail.com.update.digitalwestex.org/auth=DQAAAHIAAAAPQ-JRZfCChKlJsPpjaMLWnBzKRWEZQ02EbWrMJOO3uhnTGKoqpILRxFd_k0EdD8g6a6dANfaOogLt1fjcqR0JYdy4mGaSf8R6XjoZXrHiiHXeDk8h93nAKGZBhZbmpHOYevyYbPCp52S3Mz4y8EAtWF5o7-QGpnluuZvu1h11Lw&shva=0.html

Como siempre , no se porque nos Phishers no se esmeran y dejan como siempre el directorio donde se guardan los archivos al descubierto…

http://www.gmail.com.update.digitalwestex.org/Welcome to Google Checkout!_fichiers/

En el directorio en si encontramos varios archivos javascript,

1- 112228238-addressjs.js
2- creditcard.js
3- ukcreditcard.js
4- XmlHttp.js
5- TimeZones.js

Los cuales sin especificar, entre otras cosas se encargan de gestionar de donde venimos, si hemos clicado en el enlace del email,cacheara nuestra sesion y ademas intentara interceptar varias de las acciones que tomemos despues de visitar la pagina entre ellas validar si es correco el numero de targeta introducido.

El interesante en si es 112228238-addressjs.js

Si miramos el codigo fuente de la pagina vemos ademas que si introducimos datos en el formulario del engaño estos aparte ser cacheados ,se crea una cuenta nueva de Google Checkout.

Recordad que hace poco fue descubierta una nueva vulnerabilidad sobre Google Gmail , la cual permite interactuar y establecer filtrosen nuestro correo , con lo cual atraves de un scam malicioso ademas de crear una cuenta en Checkout , podria en Gmail redirijir los mensajes a otra cuenta sin conocimiento del usuario victima.

http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Fuente: http://www.imydes.com/?p=153