24 septiembre 2012

URLCrazy

En la preparación de un ataque por phishing es muy importante el papel de la ingeniería social. Imaginad que Security by Default es uno de los bancos mas grandes y con mas clientes.
Tenemos el dominio:

http://securitybydefault.com

Para que la gente llegue a este dominio puede llegar de varias formas, un enlace en el correo, buscando en Google o escribiendo el dominio a mano. Es por eso que puede haber equivocaciones por parte de los usuarios y que al final acaben en el sitio que no esperaban.
Un ejemplo de esto con la URL anterior sería por ejemplo que el usuario cuando escriba la dirección de Security By Default escribiera:

http://secritybydefault.com

A simple vista puede no apreciarse la diferencia, en este caso se habla de un problema de typo squatting un error tipográfico en la URL. Este y alguno mas son errores que pueden ser aprovechados para ataques de phishing, infección de malware o lo que el criminal le parezca ;).


Tal y como comentaba antes seguro que para Security By Default es muy importante que sus clientes no se equivoquen e introduzcan sus datos donde no toca. Una de las posibles defensas que incorporan los bancos es detectar cuando llegan peticiones con un REFERER parecido al suyo. 

Si en un phishing a Security By Default cuando ya te han pedido los datos y los has introducido te redireccionan a la web original, es posible que puedas detectar un phishing potencial. Existen herramientas para poder generar posibles URL que serían usadas para ataques de phishing, malvertising, abusos de marca u otro fines.
Una de esas herramientas es URLCrazy, esta herramienta de gran facilidad de uso nos ayudará en esta tarea, veamos unos ejemplos al respecto.


Nos descargamos la herramienta URLCrazy

Como dependencia necesitaremos ruby 1.8.

Ejecutamos la herramienta para ver las opciones disponibles:


seifreed@darkmac:~/tools/fingerprint/urlcrazy-0.5:./urlcrazy

URLCrazy version 0.5
by Andrew Horton (urbanadventurer)
http://www.morningstarsecurity.com/research/urlcrazy

[...] (Recortado)

Usage: ./urlcrazy [options] domain

Options
 -k, --keyboard=LAYOUT Options are: qwerty, azerty, qwertz, dvorak (default: qwerty)
 -p, --popularity Check domain popularity with Google
 -r, --no-resolve Do not resolve DNS
 -i, --show-invalid Show invalid domain names
 -f, --format=TYPE Human readable or CSV (default: human readable)
 -o, --output=FILE Output file
 -h, --help This help
 -v, --version   Print version information. This version is 0.5



Vamos ha hacer una prueba con uno de los dominios mas visitados en Internet, Gmail :)

Ejecutamos la herramienta:



Sería plausible que entre algunos de estos dominios se encontrara un dominio fraudulento.
Si por ejemplo hacemos la prueba con alguno de ellos:


seifreed@darkmac:~/Desktop:wget gmnail.com
--2012-09-17 22:31:12--  http://gmnail.com/
Resolving gmnail.com... 74.86.197.160, 208.87.34.15, 23.23.210.22
Connecting to gmnail.com|74.86.197.160|:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://global-adsrv.com/?sov=gmnail.com [following]
--2012-09-17 22:31:14--  http://global-adsrv.com/?sov=gmnail.com
Resolving global-adsrv.com... 174.129.23.154
Connecting to global-adsrv.com|174.129.23.154|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 160 [text/html]
Saving to: ‘index.html’

100%[===========================================================================================================================================>] 160         --.-K/s   in 0s      

2012-09-17 22:31:17 (19.1 MB/s) - ‘index.html’ saved [160/160]


Como podéis ver el dominio se parece mucho al original, un usuario podría equivocarse al escribirlo o podría venir promocionado en un correo electrónico. Hago un wget para bajarme el index y me encuentro con un 302, es decir que redirecciona a otro dominio.
En la imagen de la web que redirecciona, seguro que a mas de uno/a le sonará habérsela encontrado:


Parece que he ganado algo :D

En el siguiente ejemplo que te también acaba en publicidad es de paypal.
El usuario vuelve a equivocarse e introduce paypall.com que sólo es una l mas en el dominio original.
Al final después de dos redirecciones acabamos con una oferta de Jazztel:


Otro ejemplo de dominio usado para promocionar servicios.

URLCrazy nos puede ayudar de manera proactiva en la detección de phishing, abusos de marca etc...
Además combinado con otras herramientas podría enfocarse para la detección de fraude.

Artículo cortesía de Marc Rivero López