Phishing Attack (part 2)

Weer kreeg ik onderstaande bericht van een follower. Dit keer van een collega. Maar eens verder uitzoeken hoe deze Phishing Attack is opgebouwd.

twitter2

Als ik met de muis over de shortURL (bit.ly) ga zie ik http://t.co/bzWdsVZnXc
Eerst maar eens de headerinformatie uitvragen van dit adres.

HTTP/1.1 301 Moved Permanently
Date: Sat, 02 Mar 2013 21:54:12 GMT
Location: http://bit.ly/Xxryv1
Cache-Control: private,max-age=300
Expires: Sat, 02 Mar 2013 21:59:12 GMT
Content-Length: 0
Server: tfe

Deze bevat een redirect naar: http://bit.ly/Xxryv1 (was overigens ook de afgebeelde URL).

HTTP/1.1 301 Moved
Server: nginx
Date: Sat, 02 Mar 2013 21:57:50 GMT
Content-Type: text/html; charset=utf-8
Connection: keep-alive
Set-Cookie: _bit=513275de-003b9-040ac-251cf10a;domain=.bit.ly;expires=Thu Aug 29
21:57:50 2013;path=/; HttpOnly
Cache-control: private; max-age=90
Location: http://surl.dk/bwm?duqg
MIME-Version: 1.0
Content-Length: 115

En weer een redirect naar: http://surl.dk/bwm?duqg

HTTP/1.1 302 Moved Temporarily
Date: Sat, 02 Mar 2013 21:59:00 GMT
Server: Apache mod_fcgid/2.3.6
X-Powered-By: PHP/5.3.18
Location: http://tfitter.com/r6
Content-Type: text/html

Deze redirect lijkt al verdacht veel op twitter.com. Wederom maar de headerinformatie.

HTTP/1.1 301 Moved Permanently
Date: Sat, 02 Mar 2013 13:58:03 GMT
Server: Apache/2.2.15 (CentOS)
Location: http://tfitter.com/r6/
Connection: close
Content-Type: text/html; charset=iso-8859-1

Toch nog een redirect naar: http://tfitter.com/r6/

HTTP/1.1 200 OK
Date: Sat, 02 Mar 2013 14:06:37 GMT
Server: Apache/2.2.15 (CentOS)
Last-Modified: Sat, 02 Mar 2013 14:06:37 GMT
ETag: W/"ffd03-4d-4d6f739ede200"
Accept-Ranges: bytes
Content-Length: 77
Connection: close
Content-Type: text/html; charset=UTF-8
<meta http-equiv="refresh" content="0; URL=/u/verify/?&account_secure_login">

De meta-tag bevat een redirect naar een inlogpagina. Als ik de headerinformatie van http://tfitter.com/r6/u/verify/?&account_secure_login” opvraag krijg ik een 404 Not Found. Dit komt omdat de website een cookie verwacht zoals die achter ETag staat. Maar ziet er zo uit.

twitter3

Het is duidelijk dat hier een kopie te zien is van de originele twitter.com webpagina, waar gevraagd wordt om in te loggen. Een argeloze gebruiker zal dit zeker doen. Gevolg is dan wel dat de attacker meteen zijn wachtwoord heeft.

Als ik de registrant van trvitter.com en tfitter.com opvraag, lees ik:

JIANGSU BANGNING SCIENCE & TECHNOLOGY CO. LTD
Registrant Contact:
li wei
wei li liwei553@hotmail.com
telephone: +86.02122504421
fax: +86.02122504421
Shang Hai Shang Hai ShangHai 200000
CN

Gotcha!

Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Cyberwar ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security
Dit bericht werd geplaatst in Security en getagged met , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s