Share this page!

Enter URL or ID to Unroll

You can paste full URL like: https://x.com/threadreaderapp/status/1644127596119195649
or just the ID like: 1644127596119195649

How to get URL link on X (Twitter) App

  1. On the Twitter thread, click on or icon on the bottom
  2. Click again on or Share Via icon
  3. Click on Copy Link to Tweet
  4. Paste it above and click "Unroll Thread"!
  5. More info at Twitter Help
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
@310hkc41b
Jan 3, 2023 33 tweets 12 min read Read on X
Scrolly
Algunas notas sobre este #smishing que suplanta a @Bankinter
(hilo) 🧵
A diferencia del que recibí hace unos días, este tiene el dominio ubicado en otro continente.
¿Adivinas donde? 🤔
⬇️
Pues ...
Rusia 🇷🇺
⬇️
Su IP asociada: 79.137.192.20
En un VPS. Estos son más modestos que el #smishing de hace unos días.
⬇️
Por supuesto, está "fichado" en #Shodan. 😬
⬇️
Y tiene una buena lista de puertos abiertos.
⬇️
Esta misma IP alberga otro dominio relacionado con un #smishing / #phishing de otro banco, ING.
⬇️
Ahora ya inactivo. Pues tiene 15 días de antigüedad. En esto hay que correr, porque son sitios que duran días u horas.
⬇️
De hecho, he hecho demasiadas peticiones al dominio original y me ha bloqueado mi IP (aparentemente).
Pero algunas cosas tienen por ahí ...
⬇️
Y cierro hilo aquí.
(fin) 🔚
Bonus track: Una curiosidad.
Por si carga muy rápido, te ponen una simulación con delay de 500 milisegundos en cada paso para que se "vea" que está cargando el contenido. 🤣 codigo
Aunque he cerrado este hilo hace un par de horas, voy a reabrirlo con 4 o 5 comentarios, porque hay cosas a tener en cuenta y que pueden ser interesantes.
(hilo++) 🧵
He simulado las dos pantallas en el navegador en vista de móvil. Una es la del #smishing / #phishing la otra es la verdadera de #Bankinter. Hay ligeros cambios, pero que a simple vista, un usuario normal no va a apreciar en su dispositivo móvil.
⬇️
Parece que #Twitter está algo K.O. y no enlaza bien la continuación del hilo, que sigue por aquí.
⬇️⬇️⬇️
No se ven bien las dos imágenes juntas, no las ha alineado igual, pero se pueden apreciar los siguientes cambios:
Imagen Izqda = #Phishing
Imagen Dcha = #Original
⬇️
Img Izqda (#phishing):
- El menú de opciones de usuario no funciona.
- Hay menos margen entre logo y texto "Soy Cliente"
- Enlace: "Reactivar o solicitar claves"
- Tipografia: BK-RegularTxt
- No caduca sesión
- Siempre sale en castellano
- Boton "Iniciar Sesión" inactivo
⬇️
Img Dcha (Original):
- Menú opciones funciona (evidentemente).
- Enlace: "He olvidado mi usuario y/o contraseña"
- Tipografia: BK-SansRegular
- La sesión caduca
- Si el navegador está en Inglés (p.e.), carga página en Inglés
- Boton "Iniciar Sesión" siempre activo
⬇️
Está claro, de todas maneras, que los ciberdelincuentes han hecho una clonación de la página original y después han cambiado a su conveniencia.
⬇️
En el código HTML han hecho los cambios de código, o eliminaciones, que pudieran necesitar, pero han dejado todos los comentarios originales de la web de #Bankinter. Como antes, img IZQDA = Phishing.
⬇️
La web falsa (phishing, smishing, maliciosa, mala malísima), aparte de que pueda ser evidente para algunos usuarios que la url sea diferente, no lo es para todos, y tiene una representación bastante fiel a la original. Y lo primero que hace es pedir las credenciales.
⬇️
El script que se encarga de pedir y validar los datos, y que solo está en la versión maliciosa (la original, no tiene esto), es el siguiente:
⬇️
Visto un poco más limpio, y por partes ...
⬇️
Toda la lógica reside en un script hasta que finalmente envía los datos. El formulario tiene varias partes, pero en lugar de pedir todo de golpe al usuario, que le haría sospechar, solo pide lo mismo que la web original.
Así que primero oculta partes del formulario.
⬇️
Tras poner usuario y contraseña, con tal de simular un acceso (inexistente) a una base de datos, van añadiendo unos puntos después del texto "Cargando." en el espacio del botón "Iniciar Sesión". Esto dura solo 2 segundos.
⬇️
Ahora, pasan a pedir el móvil asociado a la cuenta. Aquí ya le deberían de saltar todas las alarmas a cualquier usuario. 😑
⬇️
Pero tranquilos, si no rellenas este campo, debes de saber que tus credenciales aún no las tienen nadie. Solo se ha hecho un cambio de contenido en pantalla, pero el formulario no se ha enviado, y, por lo tanto, nadie tiene (aún) el usuario y contraseña.
⬇️
Esto se ve por este código, que es el que se encarga de hacer el envío de todos los datos, llamando a "sender.php" y como se puede ver le pasa por post los campos: user, pass y phone.
⬇️
Si le has dado a "Iniciar Sesion" después de poner el número de teléfono, entonces sí que "estás vendido".
Pero, espera... que hay mas...
⬇️
Sí revisamos bien el código, tras enviar estos datos al servidor, se carga una nueva página, llamada "card.php".
⬇️
¿Adivinas que te va a pedir? ¿Sí? ¿No? ¿Seguro?
⬇️
Efectivamente!!!!
Los datos de la tarjeta de crédito. 🙃
⬇️
Supongo que no hará falta que te diga que esto no hay que darlo. Lo sabes, ¿verdad?
⬇️
Y bueno, ahora sí que cierro definitivamente este hilo.
(fin)(fin) 🔚🔚

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with 🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣

🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @310hkc41b

🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Oct 22, 2023
No nay nada peor que abrir el correo en Domingo y encontrarte correos de notificación de la AEAT. Y no uno solo, no. Nada menos que 5 !!!!
Que querran?
(hilo) 🧵 Image
Abro el correo, y vaya, si que parece que tiene que ser importante, que incluso han adjuntado un archivo comprimido en un .rar
⬇️ Image
Pero no os habréis creido que este mensaje procede realmente de la AEAT, verdad? o si?
Veamos ...
⬇️
Read 22 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Jun 25, 2023
Esta mañana recibí una factura.
Aparentemente, todo normal para Google. No lo marca como SPAM.
Para mí todo mal, por supuesto, ya que en ese dominio no espero factura, ni conozco esta empresa
(hilo) 🧵
No confiéis ciegamente en la seguridad de ningún servicio, ni Google, ni Microsoft, ni ningún otro. Siempre puede haber correos que se le escapen. Como este ...
⬇️
Aunque puede haber muchas personas que puedan estar esperando un correo, y con las prisas se confíen y pasen por alto algunas señales y descarguen la supuesta factura.
⬇️
Read 30 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Jan 5, 2023
Parece ser que no me van a llegar a tiempo los regalos de Reyes 👑👑👑 porque #Correos no me lo ha podido entregar. 😭
#hilo_b1h0 #smishing #phishing
Vamos a sacarle algunos datos, en realtime.
Poca cosa, que tampoco quiero perder mucho tiempo.
(hilo) 🧵
Ante todo. Siempre que veáis un enlace acortado, desconfiad. Algunas empresas los tienen, y son legítimos, pero no es el caso de #Correos.
⬇️
Antes de cargar en el navegador (nunca se sabe) vamos a comprobar a donde dirige este enlace. Por lo que usaremos curl en la línea de comandos con el flag -i.
Como no!!!! un dominio de Rusia. 🇷🇺😒
⬇️
Read 27 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Dec 15, 2022
Es habitual (y deseable) tener backups en diferentes medios y dispositivos. También en la nube.
Pero se trata de tenerlo en una nube asegurada y no accesible por cualquiera.
#hilo_b1h0
(hilo) 🧵
Digo lo anterior porque es "normal" que m̶u̶c̶h̶a̶s̶ 𝕒𝕝𝕘𝕦𝕟𝕒𝕤 empresas, hagan un backup de la base de datos sobre una carpeta dentro del mismo servidor en producción. 😒
⬇️
Si bien no es algo generalizado, sí que suele coincidir que las empresas que hacen esto, tampoco se preocupan mucho de la seguridad de sus servidores.
⬇️
Read 16 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Oct 18, 2022
¿Son los archivos .APK ejecutables?
Esta pregunta me surge de algunos textos que he visto por ahí y de una discusión reciente con otras personas.
#hilo_b1h0
(hilo) 🧵
Nota 1: A partir de ahora (si no me olvido) pondré un hashtag en el primer tuit de mis hilos para identificarlos. El hashtag es: #hilo_b1h0
Alguien me comentó que quería agruparlos, y yo mismo al buscarlos me llevó tiempo, por lo que he decidido hacer esto. 💡
⬇️
Nota 2: No soy experto, ni mucho menos, en desarrollo de Apps Android. Estos es simplemente fruto de mi experiencia e investigación. Si alguien considera que estoy equivocado en algo, agradeceré sus aportes.
⬇️
Read 19 tweets
🅱1️⃣4️⃣🅲🅺🅷0️⃣1️⃣3️⃣ Profile picture
Oct 16, 2022
Está claro que el #smishing es el pan de cada día.
Veamos que podemos sacar con 4 o 5 comandos desde nuestro equipo.
(hilo) 🧵
DISCLAIMER: Usa siempre una máquina virtual (VM) si vas a acceder a sitios maliciosos o manipular malware. No es que en este caso vaya a ser muy peligroso, pero más vale prevenir.
⬇️
Primero, el teléfono. Hay muchos recursos para buscar información de teléfonos. En este caso voy a usar una herramienta llamada "phoneinfoga". La puedes descargar desde GitHub.
github.com/sundowndev/pho…
⬇️
Read 39 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us!

Send Email!

:(