Posible Hacking! Cuidado con la ingeniería social!

Day 48, 00:00 Published in Spain Spain by Rigolox

Buenas a todos!

Hace como una hora he recibido un mensaje privado de un "colega" llamado Ruffles, Turco pero que trabaja en una compañía llamada Manuco Corporeision con un logo en el cual pone Manos a la obra, que turco, no?

A lo que iba, en este mensaje se las han ideado para conseguir enlazarte automáticamente a otra página: "http://www.thesur.com/login.html" la cual se parece bastante a la página de inicio de Erepublik, no es del todo igual pero si parecida, si no te das cuenta que hay algo diferente o que en la barra de direcciones aparece otra dirección totalmente distinta, te puedes ver en un aprieto.

Lo más seguro es que si introduces tú nombre de usuario y contraseña esta se copie a una base de datos falsa para luego poder acceder a tu cuenta y liarla. El formulario de esta página esta generado en aspx por lo que no se a donde puede ir redirigido.

Lo que no me ha dado tiempo a mirar es como han podido introducir esta variación en el código si esta generado en lenguaje de servidor y no en html solo, tiene que tener alguna falla de seguridad o bien el php o el servidor en sí.

Las dos únicas variaciones que veo en el código por ahora son:

<tr>
<td>


<table width="100%" border="0" cellspacing="0" cellpadding="0" class="msgsholder">
<tr>
<td class="padded">
<p><meta HTTP-EQUIV='REFRESH' content='0; url=http://www.thesur.com/login.html'></p>
</td>
</tr>
</table>

</td>
</tr>

y aqui, dentro de un formulario:

<input type="hidden" name="continut" value="<meta HTTP-EQUIV='REFRESH' content='0; url=http://www.thesur.com/login.html'>">

El mensaje por si lo quereis ver es:

http://www.erepublik.com/private_messages-message-135196.html

Bueno os dejo que ya he perdido demasiado el tiempo investigando esto.

Rigolox

NaCl u2