Share this page!

Enter URL or ID to Unroll

You can paste full URL like: https://x.com/threadreaderapp/status/1644127596119195649
or just the ID like: 1644127596119195649

How to get URL link on X (Twitter) App

  1. On the Twitter thread, click on or icon on the bottom
  2. Click again on or Share Via icon
  3. Click on Copy Link to Tweet
  4. Paste it above and click "Unroll Thread"!
  5. More info at Twitter Help
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
@310hkc41b
Oct 16, 2022 39 tweets 14 min read Read on X
Scrolly
Está claro que el #smishing es el pan de cada día.
Veamos que podemos sacar con 4 o 5 comandos desde nuestro equipo.
(hilo) 🧵
DISCLAIMER: Usa siempre una máquina virtual (VM) si vas a acceder a sitios maliciosos o manipular malware. No es que en este caso vaya a ser muy peligroso, pero más vale prevenir.
⬇️
Primero, el teléfono. Hay muchos recursos para buscar información de teléfonos. En este caso voy a usar una herramienta llamada "phoneinfoga". La puedes descargar desde GitHub.
github.com/sundowndev/pho…
⬇️
Le damos a buscar, pero no encuentra nada en ningún sitio, excepto la información básica que ya podemos saber y deducir de este teléfono. Es posible que esté limpio y no se haya usado en otros intentos anteriores de #smishing
⬇️
Usando #Maltego (versión Free sin Transformaciones de pago) poco más nos va a decir. Sabemos que pertenece a #Vodafone, la misma compañía que los dos últimos #smishings que comenté hace unos días. A lo mejor deberían de tener un canal para reportar estos números.
⬇️
Vamos a ver que carga esta url:
https(:)//agenciatributariaclientela(.)page(.)link/es
Siempre, empiezo con un curl. 😏
⬇️
En este caso no hay medida de protección para que solo se acepte la petición desde un dispositivo móvil.
Directamente, nos responde con un código 302 que indica que la URL que buscamos ha sido movida temporalmente a otra URL.
⬇️
Así que volvemos a hacer la misma petición con curl, pero esta vez, además de incluir el flag "i" para que incluya las cabeceras, también le añadimos el flag "L" para que siga las redirecciones.
⬇️
¿Qué tenemos? Un buen "churro" de datos, donde para empezar si hacen referencia al UserAgent y posibles estilos a personalizar, pero... no hay personalización. 🤷‍♂️
⬇️
El sitio web tiene certificado SSL. 🧐
Entonces... me puedo fiar de esta web, ¿verdad @santander_es ? 😏
⬇️
NO!!!! por Dios!!! estoy siendo irónico. No vaya a ser que alguien se crea que el sitio mencionado en el anterior tuit es seguro. ⛔️⛔️⛔️
⬇️
El certificado es válido hasta Mayo de 2023. No es un simple certificado de Let's Encrypt, es de pago. Y, por lo tanto, alguien habrá tenido que pagar por él, aunque no tiene por qué haber sido el creador del #smishing.
⬇️
La página en cuestión se ve de la siguiente manera.
Sin entrar en que, la Agencia Tributaria no tienen ninguna página, ni la va a tener, ni nunca nos va a pedir los datos de la tarjeta de crédito, hay que tener en cuenta el texto "MONTO". 😏
⬇️
Voy a especular y me voy a mojar.
Eso ya nos sitúa en dos datos:
1) El ciberdelincuente, si no está en España, tiene contactos en España, por el uso de un número de móvil de aquí.
2) Aunque en lengua Española existe el término "Monto", no es muy usado actualmente.
⬇️
Y apostaría más por un país fuera de España, pero que usen habla Hispana. Es más factible porque cuando la estafa pasa a nivel internacional entran más barreras para detener a los culpables.
⬇️
Pasemos a otro elemento dentro del código.
A esta gente parece ser que le interesan las métricas.
¿Las métricas? Si, si, las estadísticas!!!!
⬇️
Pues si, está usando Google Analytics
Y su identificador es: UA-33000974-1
⬇️
Existen páginas donde, a partir de un identificador de Google Analytics, nos informa de si hay otros sitios web que lo usan. Como este:
osintcombine.com/google-analyti…
⬇️
Pero en este caso no hay "match" con otros sitios. Es una lástima, pero guardadlo, quien sabe si en un futuro aparece en otros sitios y se pueden estableces lazos.
⬇️
Peeeeroooooo, hay otras maneras de buscar. Google nos facilita esta tarea con sus "dorks" y podemos encontrar un análisis en el sitio web de Hybrid Analysis con este mismo indicador.
⬇️
hybrid-analysis.com/sample/424f812…
En ese caso, suplantando también a la Agencia Tributaria Española. Esta gente se está especializando en hacienda. 😏
⬇️
No voy a entrar en más detalles dentro de Hybrid Analysis. Ahí tenéis un montón de información en bruto que después podríais relacionar.
⬇️
¿Qué más podemos sacar?
¿Vamos por los dominios?
⬇️
El primer enlace está hosteado en:

⏩⏩⏩⏩ G O O G L E 🤡

https(:)//agenciatributariaclientela(.)page(.)link/es
⬇️
El segundo, tras la redirección, es de:
NAMECHEAP

https(:)//tributaria-1-bdc53d.ingress-baronn.ewp.live/cuentainformacion/tributaria/cc.php
⬇️
Ahí tienen alguna redirección rota si se consulta el dominio principal, o quizás está hecho aposta.
Quiero pensar que no sea algún servicio de terceros donde corren diferentes máquinas virtuales, y de ahí el subdominio que tiene. No lo sé con certeza.
⬇️
Si comprobamos la IP de este dominio ...
⬇️
... vemos que la geolocalización de este nos dice que está en Atlanta. Pero el subdominio tiene otra geolocalización.
⬇️
El subdominio tiene una IP diferente.
⬇️
Aunque también está ubicada en Atlanta.
⬇️
¿Qué nos queda? Y con esto acabo...

Puntualizo. No es que no se pueda buscar más información. Nos podríamos tirar más tiempo. Pero como otras ocasiones, se me acaba el tiempo del fin de semana.
⬇️
Pues utilizar #SHODAN y ver que nos dice de esta IP.
Nos confirma ciertos datos, y nos aporta otros nombres de dominio. 🧐
⬇️
Porque no he tenido tiempo de ponerme esta tarde con Maltego, pero con todo esto sacaríamos un bonito gráfico.
⬇️
Tiene abierto el puerto 22. Típico para administraciones remotas de VPS. Aunque también se podría haber molestado en cambiar puertos por defecto. Pa que!!!!???? 😏
⬇️
Aquí otro nombre de dominio para la colección.
⬇️
Y aquí otro dominio con un #WordPress
@erica_aguado pégale un ojo, seguro que tiene algo "abierto". 😬
⬇️
¿Y qué és? Pues otro sitio preparado para #phishing en otra entidad bancaria. Me apuesto una piruleta. 😏😏😏
⬇️
Y a pesar de haber de cambiado de IP, seguro que forma parte de todo el entramado.
⬇️
Y lo dejo ya. Finalizo este hilo, que para variar me ha salido más largo de lo esperado porque acabo yéndome por las ramas. 🤦‍♂️
(fin) 🔚

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with 🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣

🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @310hkc41b

🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Oct 22, 2023
No nay nada peor que abrir el correo en Domingo y encontrarte correos de notificación de la AEAT. Y no uno solo, no. Nada menos que 5 !!!!
Que querran?
(hilo) 🧵 Image
Abro el correo, y vaya, si que parece que tiene que ser importante, que incluso han adjuntado un archivo comprimido en un .rar
⬇️ Image
Pero no os habréis creido que este mensaje procede realmente de la AEAT, verdad? o si?
Veamos ...
⬇️
Read 22 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Jun 25, 2023
Esta mañana recibí una factura.
Aparentemente, todo normal para Google. No lo marca como SPAM.
Para mí todo mal, por supuesto, ya que en ese dominio no espero factura, ni conozco esta empresa
(hilo) 🧵
No confiéis ciegamente en la seguridad de ningún servicio, ni Google, ni Microsoft, ni ningún otro. Siempre puede haber correos que se le escapen. Como este ...
⬇️
Aunque puede haber muchas personas que puedan estar esperando un correo, y con las prisas se confíen y pasen por alto algunas señales y descarguen la supuesta factura.
⬇️
Read 30 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Jan 5, 2023
Parece ser que no me van a llegar a tiempo los regalos de Reyes 👑👑👑 porque #Correos no me lo ha podido entregar. 😭
#hilo_b1h0 #smishing #phishing
Vamos a sacarle algunos datos, en realtime.
Poca cosa, que tampoco quiero perder mucho tiempo.
(hilo) 🧵
Ante todo. Siempre que veáis un enlace acortado, desconfiad. Algunas empresas los tienen, y son legítimos, pero no es el caso de #Correos.
⬇️
Antes de cargar en el navegador (nunca se sabe) vamos a comprobar a donde dirige este enlace. Por lo que usaremos curl en la línea de comandos con el flag -i.
Como no!!!! un dominio de Rusia. 🇷🇺😒
⬇️
Read 27 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Jan 3, 2023
Algunas notas sobre este #smishing que suplanta a @Bankinter
(hilo) 🧵
A diferencia del que recibí hace unos días, este tiene el dominio ubicado en otro continente.
¿Adivinas donde? 🤔
⬇️
Pues ...
Rusia 🇷🇺
⬇️
Read 33 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Dec 15, 2022
Es habitual (y deseable) tener backups en diferentes medios y dispositivos. También en la nube.
Pero se trata de tenerlo en una nube asegurada y no accesible por cualquiera.
#hilo_b1h0
(hilo) 🧵
Digo lo anterior porque es "normal" que m̶u̶c̶h̶a̶s̶ 𝕒𝕝𝕘𝕦𝕟𝕒𝕤 empresas, hagan un backup de la base de datos sobre una carpeta dentro del mismo servidor en producción. 😒
⬇️
Si bien no es algo generalizado, sí que suele coincidir que las empresas que hacen esto, tampoco se preocupan mucho de la seguridad de sus servidores.
⬇️
Read 16 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Oct 18, 2022
¿Son los archivos .APK ejecutables?
Esta pregunta me surge de algunos textos que he visto por ahí y de una discusión reciente con otras personas.
#hilo_b1h0
(hilo) 🧵
Nota 1: A partir de ahora (si no me olvido) pondré un hashtag en el primer tuit de mis hilos para identificarlos. El hashtag es: #hilo_b1h0
Alguien me comentó que quería agruparlos, y yo mismo al buscarlos me llevó tiempo, por lo que he decidido hacer esto. 💡
⬇️
Nota 2: No soy experto, ni mucho menos, en desarrollo de Apps Android. Estos es simplemente fruto de mi experiencia e investigación. Si alguien considera que estoy equivocado en algo, agradeceré sus aportes.
⬇️
Read 19 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us!

Send Email!

:(