Share this page!

Enter URL or ID to Unroll

You can paste full URL like: https://x.com/threadreaderapp/status/1644127596119195649
or just the ID like: 1644127596119195649

How to get URL link on X (Twitter) App

  1. On the Twitter thread, click on or icon on the bottom
  2. Click again on or Share Via icon
  3. Click on Copy Link to Tweet
  4. Paste it above and click "Unroll Thread"!
  5. More info at Twitter Help
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
@310hkc41b
Oct 9, 2022 19 tweets 9 min read Read on X
Scrolly
Bueno, pues otro hilo va sobre la posible relación de estos dos #smishings recibidos en dos días seguidos en el mismo dispositivo móvil.
(hilo) 🧵
Intentaré no irme mucho por las ramas. 😅
Ayer me ofusqué demasiado sin tener en cuenta el elemento básico. El #smishing estaba preparado para funcionar única y exclusivamente en un dispositivo móvil.
⬇️
Y precisamente así se comportan los dos #smishings. Exactametne de la misma manera. En el caso del del @bbva al llegar a la página de "login" si el agente de usuario no es un dispositivo móvil ya no muestra el contenido y salta directamente a Google.
⬇️
En cambio, si se envía la petición con un agente de usuario de tipo dispositivo móvil (Android o Apple), devuelve el contenido de la página para pedir credenciales de #BBVA.
⬇️
Si configuramos Firefox para que envie un agente de usuario específico, en este caso de dispositivo móvil, el #smishing del #Santander se vería de la siguiente manera:
⬇️
Y si accedemos al #smishing del #BBVA veremos esto:
⬇️
Los dos diseños se los han trabajado. En lo que no han puesto esfuerzo es en las URLs, por que no se muestran en el dispositivo móvil, y en los enlaces acortados, que verdaderamente son "cutres".
⬇️
Veamos ahora un poco del código fuente. Esta es la del #Santander. Utiliza jq.js, es decir jQuery, en concreto la versión 3.6.0.
Y esta es la de #BBVA. También usa jq.js, o sea, también jQuery, y la versión también es la 3.6.0.
Sí, puede ser casualidad.
⬇️
Los dos usan un archivo CSS llamado style.css que está dentro de la carpeta "res". También puede ser casualidad, o quizás utilizan un mismo "kit" o herramienta de desarrollo. Evidentemente los contenidos son diferentes, pues son diferentes diseños de página.
⬇️
El script que hay al final de la página de #smishing del #Santander hace un post a un fichero PHP con un nombre muy revelador: spy.php 😒
⬇️
En cambio, la del #smishing del #BBVA hace un post a un nombre más genérico, "send.php", pero tambien tiene un redirect a una página con nombre en castellano, "tarjeta.php". ¿Esto implica equipo con componentes Españoles o castellanohablantes? 🤷‍♂️
Es una posibilidad.
⬇️
Vamos a donde apuntan las dos urls.
La del #Santander va a: http(:)//gdsdhfnbxv.temp.swtest.ru/espana/espana/
Y la del #BBVA va a:
http(:)//hdcnhgffxg.temp.swtest.ru/es/es/
Diferentes subdominios, pero mismo proveedor y dominio, y también la misma IP 77.222.40.224
⬇️
Esta IP 77.222.40.224 tiene alojados otros 1265 dominios. Un avispero, vaya!!!! puede que no todos sean maliciosos, pero yo no apostaría la cabeza.
⬇️
Evidentemente el ISP es de Rusia.
El ISP en cuestión es JSC RU-Center.
El nombre de host que albera estas máquinas es: vh293.sweb.ru
Y está ubicado exactamente en San Petesburgo.
⬇️
ABUSEIPDB tiene reportada esta IP 3 veces como maliciosa. Poco me parece. 😒
En cambio, en BrightCloud, si consta como amenaza de #Phishing.
⬇️
Y ya poca cosa más. Aquí una captura resumen de los datos que he ido anotando.
⬇️
Acabo, pues, con una imagen resultado de tomar algunos datos con Maltego (creo que no está todo).
No sé si se ve la imagen correctamente.
⬇️
Y un PDF con toda la información extraída con Maltego.
(fin) 🔚
docdro.id/SEhvmmy

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with 🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣

🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @310hkc41b

🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Aug 15
Después de unos días, continúo con la segunda parte sobre el tema de los hashes. Esta vez con algunos ejemplos en python.
(hilo) 🧵
AVISO: Los ejemplos en Python son para mostrar como se pueden generar los hashes, pero ni de lejos es el mejor lenguaje para llevar a cabo un ataque de diccionario, por ejemplo, o cálculos masivos. Simplemente, aprovechamos la versatilidad de este lenguaje.
⬇️
Tenemos herramientas muy potentes, como hashcat, que además suele venir preinstalada en cualquier distribución de Linux dedicada al hacking o pentesting.



Para mí, esta herramienta es, de lejos, de las mejores, aunque no la única.
⬇️hashcat.net/hashcat/
Read 19 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Aug 9
Al final se me ha alargado un poco el tema, así que voy a dividir el hilo sobre los #hashes en dos partes.

Vamos por la primera parte.

(hilo) 🧵
Como en todos los temas técnicos, todo se puede llegar a abordar con una profundidad casi infinita, así que tomad muchas de estas explicaciones como una iniciación para entender el concepto. Tened en cuenta que en algunos casos puede haber más matices.
⬇️
He intentado simplificar la explicación de manera que su objetivo sea didáctico y no tanto académico. Por favor, si notáis alguna carencia, os agradeceré los comentarios constructivos.
⬇️
Read 38 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Oct 22, 2023
No nay nada peor que abrir el correo en Domingo y encontrarte correos de notificación de la AEAT. Y no uno solo, no. Nada menos que 5 !!!!
Que querran?
(hilo) 🧵 Image
Abro el correo, y vaya, si que parece que tiene que ser importante, que incluso han adjuntado un archivo comprimido en un .rar
⬇️ Image
Pero no os habréis creido que este mensaje procede realmente de la AEAT, verdad? o si?
Veamos ...
⬇️
Read 22 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Jun 25, 2023
Esta mañana recibí una factura.
Aparentemente, todo normal para Google. No lo marca como SPAM.
Para mí todo mal, por supuesto, ya que en ese dominio no espero factura, ni conozco esta empresa
(hilo) 🧵
No confiéis ciegamente en la seguridad de ningún servicio, ni Google, ni Microsoft, ni ningún otro. Siempre puede haber correos que se le escapen. Como este ...
⬇️
Aunque puede haber muchas personas que puedan estar esperando un correo, y con las prisas se confíen y pasen por alto algunas señales y descarguen la supuesta factura.
⬇️
Read 30 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Jan 5, 2023
Parece ser que no me van a llegar a tiempo los regalos de Reyes 👑👑👑 porque #Correos no me lo ha podido entregar. 😭
#hilo_b1h0 #smishing #phishing
Vamos a sacarle algunos datos, en realtime.
Poca cosa, que tampoco quiero perder mucho tiempo.
(hilo) 🧵
Ante todo. Siempre que veáis un enlace acortado, desconfiad. Algunas empresas los tienen, y son legítimos, pero no es el caso de #Correos.
⬇️
Antes de cargar en el navegador (nunca se sabe) vamos a comprobar a donde dirige este enlace. Por lo que usaremos curl en la línea de comandos con el flag -i.
Como no!!!! un dominio de Rusia. 🇷🇺😒
⬇️
Read 27 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Jan 3, 2023
Algunas notas sobre este #smishing que suplanta a @Bankinter
(hilo) 🧵
A diferencia del que recibí hace unos días, este tiene el dominio ubicado en otro continente.
¿Adivinas donde? 🤔
⬇️
Pues ...
Rusia 🇷🇺
⬇️
Read 33 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us!

Send Email!

:(