Yo te la meneo (sabía que acabaría prostituyéndome ) a cambio de un Jautú con un Quick Setup

A parte de esto, coincido contigo en #11 en que Menéame no es el mejor sitio para enviar artículos técnicos (y así de paso a ver si me aplico el cuento). Lo veo más bien como una especie de agregador de noticias de actualidad, dónde tmabién tiene cabida el sensacionalismo. Conste que es una apreciación personal sin sentido despectivo.

#18 Como no encontré ningún ejemplo del tema y me hizo gracia ver cómo se podría hacer, no me importó hacerlo público. Para eso tengo el blog. Como no quiero dar más la paliza con este tema en meńeame, los updates de los fregaos que me ha supuesto los pondré allí. Pero resumiendo el status quo, por alguna extraña razón ahora la gente que tiene a Telefónica como ISP, no llegan a nivel de ip (de dns sí) a mi servidor dedicado

Respecto lo que comentas en #19 podría ser viable, pero dar por supuesto que el usuario se traga el certificado del atacante es mucho suponer, porque ahora los navegadores no son tan permisivos con el tema y cumplen bien con el tema de avisar al usuario. Por otro lado, tendría que ser un script algo más trabajado que el publicado en cuanto a prudencia, porque (como comento en uno de mis últimos comentarios del post en el blog) únicamente se cura en salud la primera petición (la de cURL), pero después, cualquier enlace que pinches ya te has delatado: no sólo a nivel de red, sino también en cuanto a la ubicación exacta del script en el servidor. Esto podría salverse haciendo todas las peticiones con cURL, o bien sirviéndolo todo en local (o sea, tener un mirror del sitio y servirlo todo desde el mismo, todo lo contrario que pretendía hacer con el script). Para terminar, habría que ver qué otras medidas de seguridad implementa la entidad a la hora de operar (que seguro que las hay) y cómo podrían contrarestarse.

Dado que ayer ya quité de modo permanente el enlace de la discordia y así se lo hice saber a la gente de Telefónica, quería dar por zanjado el tema, pero... esta mañana me encuentro (de hecho me avisó un amigo) que mi página estaba baneada en más de la mitad de los dns de los ISP's de España

Acabo de dejar recado en Telefónica y, a pesar de haber algunas intermitencias, parece que la cosa empieza a funcionar...

Finalmente y para terminar con el asunto, he tenido un intercambio de correos tanto con el personal de Telefónica como con mi proveedor de hosting (OVH) y voy a tener que "descolgar" la PoC por lo que ellos dicen que es un abuso de marca contra la entidad bancaria. Si no surge mayor inconveniente, lo quitaré en breve, así que quien le quiera echar un vistazo... que aproveche

Y si alguien quiere poder seguir disfrutándola, siempre puede buscarse un hosting gratuito por las Seychelles o algún sitio de similar jurisdicción

Todavía no me han contestado el correo, pero como podeis ver, sí que me han incluído en las listas de phishing y malware, y los navegadores que usan estas BD muestran algo como lo siguiente (Firefox/Iceweasel en el ejemplo):

EDIT: He recibido un correo del ANTI-FRAUD Command Center, al parecer unos servicios antiphishing que tiene contratado, al menos, un grupo de bancos entre los cuales está La Caixa, y ya les respondí. Pego aquí todo el tinglado para pedir consejo acerca de qué me toca hacer (aunque supongo que tendré que retirar la PoC):

Hi there,

I wrote an article [1] about bank phishing security issues which only purpose is to educate not only the average Internet user about this security concern, but it is also addressed to security professionals who like to be aware and up to date about how malware works.

For this reason, I created a harmless live test with La Caixa site, a bank for which I am a current customer. The test just consists on taking the initial page content (the same way a browser does) and intercept the login process in order to prompt this data only to the user screen through javascript. That's all it does, as you can see & review in the source code (available here [2]).

Having said that, last thing to say is the site IS NOT a fraudulent site, but a technical one with security educational purposes.

[1] http://enchufado.com/post.php?ID=316
[2] _http://enchufado.com/files/phish_lkx.tbz2_

Kind regards,
--
jors

El mié, 28-04-2010 a las 19:42 +0200, _Anti-Fraud_Command-Center_ escribió:
Hello,
>
> Telefonica Spain is managing the FRAUDULENT ACTIONS against LA CAIXA BANK and all related with BRAND ABUSES against this finantial entity.
>
> We have detected that ENCHUFADO.COM IS HOSTING A FRAUDULENT WEBSITE that offers a BRAND ABUSE against LA CAIXA BANK from the next URL:
>
> _http://enchufado.com/files/phishing_lacaixa.php_
>
>
> with this IP: 91.121.3.99, HOSTED ON YOUR NETWORK.
>
>
> This FRAUDULENT WEBSITE represents a MISUSE OF THE INTELLECTUAL PROPERTY of LA CAIXA BANK.
>
> We need your colaboration for stopping this fraud, getting offline the fraudulent website.
>
> We keep waiting for your feedback against this incident.
>
> If you need further information please contact our SOC 24/7 at +34 91 754 xxxx / xxxx.
>
> Best regards.
>
>
> ------------------------------------------------------------
> ANTI-FRAUD Command Center
>
> Antiphishing Services
> SOC - Telefonica Empresas
>
> Tlf: +34 91 754 xxxx /xxxx
> Fax: +34 91 181 xxxx
> Email: _phishing_at_telefonica.es_
>

PD. Cómo no se cómo se edita la entrada, lo puse aquí.

Nota de admin: se han borrado las últimas cifras de teléfonos a pedido de Telefónica, que pedía el borrado de éste y otro comentario (al cuál nos hemos negado)

#12 Vale, entonces el que no lo pillé fui yo, sorry

#10 Que la parte más insegura de un sistema no es lo que hay detrás de los ojos de un usuario (entiendo que te referias a terceros), sino ¡el propio usuario!

#8 Yo no iría tan lejos: PEBKAC

Gracias a todos, un placer saber que hay a quién gustó la entrada.

#1 Yo voto más bien por lo primero.

La CA se tiene que preocupar de identificarte por varios canales, y hacerlo sólo por correo de ese modo sin exigirte siquiera ningún tipo de documentación legal de empresa, ni llamarte a un teléfono que conste como público y fiable de la misma, etc... lo veo una imprudencia por su parte que puede acabar en pérdida de fiabilidad. No se si de la CA o de los certificados convencionales (que sería algo bastante peor por la magnitud de la tragedia). Igualmente, ¿acaso la cuenta ssladmin@dominio.tld es un estandar?

Por la boca muere el pez, y con esta pecera que tenemos últimamente...

Me ha hecho gracia uno de los productos que mencionan en el artículo: un spray vaginal que provoca efecto champagne. Seguro que sale más a cuenta comprar una botella de chapnagne/cava y jugar con contenido y continente

Desde luego que no tengo palabras... Asco me da de pertenecer a la misma raza.

Está chulo. Si además se pudiera descargar en algún formato de impresión (pdf, ps.. no para imprimir, sino para una buena visualización) ya sería la repanocha.

No, la patrocinan las proteínas, carbohidratos, lípidos y otros principios no activos

Muy buen rollo y buenas palabras, pero invitaron a la Sinde (ver página 17 de la edición impresa del ADN Barcelona de hoy).

¡Coño, ya se porqué ha pasado! ¡Ha sido por culpa del recorte de los consejeros del Gobierno! Ah no, que aún no se ha producido.

#19 Más que absurdo, quo no lo veo como tal, yo diría desgraciados. Como insulto y muestra de compasión a la vez.

Mismo perro con distinto collar.

Hombre, es un muy buen precio para restaurar el equilibrio.. ¡pero ni que fuera una balanza, oiga!