Share this page!

Enter URL or ID to Unroll

You can paste full URL like: https://x.com/threadreaderapp/status/1644127596119195649
or just the ID like: 1644127596119195649

How to get URL link on X (Twitter) App

  1. On the Twitter thread, click on or icon on the bottom
  2. Click again on or Share Via icon
  3. Click on Copy Link to Tweet
  4. Paste it above and click "Unroll Thread"!
  5. More info at Twitter Help
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
@310hkc41b
Oct 8, 2022 40 tweets 13 min read Read on X
Scrolly
Vamos a ver si me da tiempo a sacar algo de esto.
Intento hacer hilo analizando los datos en tiempo real (cosa complicada) a medida que salgan datos. Así que paciencia, que hilo puede tardar en aparecer.
(hilo) 🧵
Como se trata de sacar datos, aquí es cosa de "tirar del hilo", como se suele decir. Así que vamos a por los datos. Sabemos que es un SMS, por lo tanto, es un #smishing no un #phishing como he dicho esta mañana, aunque en esencia es lo mismo. Solo cambia el envío.
⬇️
Partimos de un número de teléfono: +34 677 553 154
¿Qué sabemos de este teléfono?
Es de España.
Pertenece a la compañía Vodafone.
No tiene WhatsApp.
⬇️
Dicho SMS tiene una URL con certificado:
https(:)//urlshortner.org/MyjSe
Y no por eso es segura, OJO!!!!
Dicha UR es un acortador que nos redirige a:
http(:)//gdsdhfnbxv.temp.swtest.ru/espana/espana
Un dominio Ruso. Curioso ¿verdad? 😉
⬇️ Resultado consulta URL con ...
Del destino final sabemos que el servidor es tiene un nginx/1.9.1, pero que se les ha olvidado poner la barra final de la URL y lo redirige a la carpeta correcta.
⬇️ Resultado consulta URL con ...
Curiosamente, el contenido HTML de dicha página es algo contradictorio. Se menciona a Apache/2.2.29 sobre S.O. Gentoo y PHP/7.1.33
Podemos hacer caso, o no, podría ser para despistar. Quien sabe. 🤷‍♂️
⬇️ Resultado consulta URL con ...
Volvemos a consultar la URL correcta, esta vez poniendo la barra final, y si la carga, pero.... ooooh!!! en Location indica otro dominio: www(.)thelocal(.)es 😑
De momento dejo este dominio a un lado y sigo con este sitio.
⬇️ Image
En la cabecera utilizan "features" del navegador usando permissions-policy.

Un poco raro, pero es que resulta que está cargando la página de www(.)thelocal(.)es
⬇️ Image
Si vamos directamente a www(.)thelocal(.)es aparece la página sin nada aparentemente maliciososo.
⬇️ Image
De hecho, en @virustotal el análisis nos dice que está "limpia".
⬇️ Image
Pero cargando directamente desde el navegador (ojo, con entorno controlado), el propio control de Google nos dice que es un sitio peligroso / malicioso.
Así que si "tiramos p'alante" es bajo nuestra responsabilidad. 😒
⬇️ Image
No voy a tirar "p'alante" todavía. Lo dejo para el final.
Me interesa saber por qué carga otro sitio web antes.
¿Cómo puede ser lo anterior? 🤷‍♂️
Sinceramente, no lo sé. Voy descubriendo cosas sobre la marcha.
Vuelvo a lo obtenido por curl, y sigo escudriñando el código.
⬇️
Insisto, he cargado esto con curl (marcado en rojo).
Pero para engañar carga la url marcada en azul.
Y lo que está en Azul es precisamente lo que carga Maltego al inspeccionar la URL en rojo.
Está hecho aposta para despistar.
⬇️ Image
Me encuentro campos de formulario ocultos con datos codificados en Base64.
⬇️ Image
Pero estos datos, no generan texto o contenido visible fácilmente. Son datos binarios y muy probablemente cifrados y/o comprimidos. Su nivel de entropía es alto, un 7.8.
... y se me "rompió" la VM haciendo algunas pruebas.
Tengo que reiniciar... ☹️
⬇️
Recapitulo:
URL original: https(:)//urlshortner.org/MyjSe
Redirige a: http(:)//gdsdhfnbxv.temp.swtest.ru/espana/espana
Que está movida a: http(:)//gdsdhfnbxv.temp.swtest.ru/espana/espana/
Que a su vez redirige a: https(:)//www.thelocal.es/
⬇️ Image
Hay cierta cosa que me despistaba, y realmente es algo que se me ha pasado por alto y que tienen en cuenta los ciberdelincuentes. Y, es que hay que no hay que subestimarlos, y ellos también toman contramedidas.
⬇️
He pasado por alto, qué curl envía su propio agente, y tras mirar el código que me devolvía al solicitar la URL he visto lo siguiente:
⬇️ Image
Y si, la siguiente cadena:
aHR0cHM6Ly93d3cudGhlbG9jYWwuZXMv
está codificada en Base64 y su resultado es:
https(:)//www.thelocal.es/
¿Qué hacía esta cadena ahí? 😒
⬇️
Pero la que hay debajo, que también está en Base64:
Y3VybC83Ljc0LjA=
Al decodificar me devuelve:
curl/7.74.0
Que es precisamente la versión de curl que yo estoy usando en este momento.
⬇️
Y la de debajo: R0VU
Es: GET
Que es el método usado.
Así que si el sitio web devuelve esto, significa que en el servidor se analiza el agente de usuario, y en función de este pueden cambiar el contenido que devuelven.
⬇️
Así que haré una nueva petición incluyendo otro agente de usuario.
⬇️ Image
Y efectivamente, esta vez el resultado es diferente.
⬇️ Image
¡¡¡Pero OJO!!!
Que aquí esto da un giro y después de pasar por la URL maliciosa, da un salto a la web de @bancosantander
⬇️
Aquí en medio hay algo turbio, que evidentemente tiene que ser digno de analizar. 😒
⬇️ Image
Y si, lo he repetido varias veces para estar seguro. Sí, hace el salto a la web oficial de @bancosantander.
¿Qué hace en medio? De momento para mí es incógnita.
⬇️ Image
Por si acaso, he desactivado el seguir las redirecciones y he ido cargando manualmente cada una de las URLs por si se enviaba algo más.
⬇️ Image
Pero no. Cada carga es una redirección hasta llegar finalmente a la web de @bancosantander
⬇️ Image
¿Habrán los ciberdelincuentes desactivado su operación de #phishing?
O es que, ¿se les ha estropeado la página para capturar los logins de los usuarios?
⬇️
Y, ¿por qué reenviar directamente a la web oficial del banco? ¿No quieren que pierdan visitas?
En el caso de hacer un login previo para captar datos, tiene sentido. Pero ¿sin pedir login?
⬇️
Podría especular, en que, quizás desde la IP o rango de IP que estoy haciendo las peticiones hayan puesto una excepción para evitar ser analizados. Y simplemente me redirigen a la web oficial.
⬇️
Así que, para acabar (porque no dispongo de más tiempo). Corto por lo sano y pruebo la URL en ANY.RUN, a ver que me dice.
Y muestra la web de www(.)thelocal(.)es 🤦‍♂️
app.any.run/tasks/c2c6e700… Image
Lo irónico de todo, es que esta mañana, cuando hice la foto y puse la captura en un tuit de este #smishing, yo había puesto la palabra "ELABORADISIMO" en tono irónico precisamente, pero ha resultado ser justamente esto.
⬇️
Finalizo el hilo, quedándome con la incógnita, aunque sigo pensando que @bancosantander debería de tomar cartas en el asunto y no aceptar accesos a su web procedentes de esa redirección.
(fin) 🔚
Bueno, bueno, bueno... va a ser la primera vez que "reabro" un hilo, o hago añadido, tras darme cuenta de que ha pasado en el final de este hilo. Pero solo voy a dejar un par de anotaciones y lo dejo.
Así que continuo el hilo.
⬇️⬇️
La clave está en el "agente de usuario". Yo mismo he dado la explicación antes. Resulta que el #smishing está pensado para que funcione ÚNICA Y EXCLUSIVAMENTE desde un dispositivo móvil. Si se accede desde un navegador de PC, no funciona.
⬇️
Así que si desde curl se usa un agente de usuario de Android, por ejemplo, funcionará y devolverá lo que esperamos que devuelva.
"Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1"
⬇️
Hago nueva petición con agente de usuario cambiado.
⬇️ Image
Y obtenemos el resultado de la página que realmente recibiría un dispositivo móvil.
⬇️ Image
Y ahora sí. Cierro definitivamente este hilo.
(fin) 🔚

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with 🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣

🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @310hkc41b

🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Oct 22, 2023
No nay nada peor que abrir el correo en Domingo y encontrarte correos de notificación de la AEAT. Y no uno solo, no. Nada menos que 5 !!!!
Que querran?
(hilo) 🧵 Image
Abro el correo, y vaya, si que parece que tiene que ser importante, que incluso han adjuntado un archivo comprimido en un .rar
⬇️ Image
Pero no os habréis creido que este mensaje procede realmente de la AEAT, verdad? o si?
Veamos ...
⬇️
Read 22 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Jun 25, 2023
Esta mañana recibí una factura.
Aparentemente, todo normal para Google. No lo marca como SPAM.
Para mí todo mal, por supuesto, ya que en ese dominio no espero factura, ni conozco esta empresa
(hilo) 🧵
No confiéis ciegamente en la seguridad de ningún servicio, ni Google, ni Microsoft, ni ningún otro. Siempre puede haber correos que se le escapen. Como este ...
⬇️
Aunque puede haber muchas personas que puedan estar esperando un correo, y con las prisas se confíen y pasen por alto algunas señales y descarguen la supuesta factura.
⬇️
Read 30 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Jan 5, 2023
Parece ser que no me van a llegar a tiempo los regalos de Reyes 👑👑👑 porque #Correos no me lo ha podido entregar. 😭
#hilo_b1h0 #smishing #phishing
Vamos a sacarle algunos datos, en realtime.
Poca cosa, que tampoco quiero perder mucho tiempo.
(hilo) 🧵
Ante todo. Siempre que veáis un enlace acortado, desconfiad. Algunas empresas los tienen, y son legítimos, pero no es el caso de #Correos.
⬇️
Antes de cargar en el navegador (nunca se sabe) vamos a comprobar a donde dirige este enlace. Por lo que usaremos curl en la línea de comandos con el flag -i.
Como no!!!! un dominio de Rusia. 🇷🇺😒
⬇️
Read 27 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Jan 3, 2023
Algunas notas sobre este #smishing que suplanta a @Bankinter
(hilo) 🧵
A diferencia del que recibí hace unos días, este tiene el dominio ubicado en otro continente.
¿Adivinas donde? 🤔
⬇️
Pues ...
Rusia 🇷🇺
⬇️
Read 33 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Dec 15, 2022
Es habitual (y deseable) tener backups en diferentes medios y dispositivos. También en la nube.
Pero se trata de tenerlo en una nube asegurada y no accesible por cualquiera.
#hilo_b1h0
(hilo) 🧵
Digo lo anterior porque es "normal" que m̶u̶c̶h̶a̶s̶ 𝕒𝕝𝕘𝕦𝕟𝕒𝕤 empresas, hagan un backup de la base de datos sobre una carpeta dentro del mismo servidor en producción. 😒
⬇️
Si bien no es algo generalizado, sí que suele coincidir que las empresas que hacen esto, tampoco se preocupan mucho de la seguridad de sus servidores.
⬇️
Read 16 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Oct 18, 2022
¿Son los archivos .APK ejecutables?
Esta pregunta me surge de algunos textos que he visto por ahí y de una discusión reciente con otras personas.
#hilo_b1h0
(hilo) 🧵
Nota 1: A partir de ahora (si no me olvido) pondré un hashtag en el primer tuit de mis hilos para identificarlos. El hashtag es: #hilo_b1h0
Alguien me comentó que quería agruparlos, y yo mismo al buscarlos me llevó tiempo, por lo que he decidido hacer esto. 💡
⬇️
Nota 2: No soy experto, ni mucho menos, en desarrollo de Apps Android. Estos es simplemente fruto de mi experiencia e investigación. Si alguien considera que estoy equivocado en algo, agradeceré sus aportes.
⬇️
Read 19 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us!

Send Email!

:(