Hace algún tiempo venia observando que en el origen de las visitas de blogger aparecen direcciones extrañas, durante algunos meses estoy controlando estas paginas para ver lo que sucede, normalmente si pinchas en los propios enlaces del origen de la visitas te lleva a la pagina, normalmente publicidad, del tipo "introduce tu numero de móvil".
Mi buen amigo Javier de Zoom Red publico un excelente articulo precisamente sobre este tema, Blog que recomiendo seguir y suscribirse para estar al día de muchisimas cosas que pasan en la Red.
Como podéis observar hay unas cuantas direcciones sospechosas, sobre todo si terminan en extensiones .ru .
No profundizare mucho en el tema ya que Javier lo explica muy bien en su articulo. Pero me llamo la atención la dirección correo.race.es .
Sobre todo porque al ir a esa dirección te abre un formulario con conexion segura (https), además el certificado, que por supuesto comprobe, parece correcto, emitido por verisign, y la ruta de certificacion también es correcta.
Solo me quedaba por mirar el código fuente de la pagina, HTML 4.01, JavaScripts, bueno mas o menos lo de siempre, dado que tanto la pagina, la url y los certificados coincidían quizás echando un vistazo al código averiguaria algo mas.
La plantilla ya no me gusto, y aunque los temas de programacion web los tengo un poco oxidados, la función de captura de teclas tampoco mucho.
Siguiendo la dirección del css en google la búsqueda fue algo como esto. Aparecen varias referencias a problemas y vulnerabilidades asociadas con esa dirección, todo este asunto "pinta mal".
Realizamos alguna que otra prueba, búsquedas de "Cheap viagra", C99, en la pagina de Race.es y esta No parece tener problemas, y tampoco esta relacionada con correo.race.es, lo curioso es que tanto haciendo whois, shodan, etc no aparece.
Así que esta pagina fantasma que me pide usuario/contraseña desde el mas allá, con certificado incluido, la tendremos que considerar entre esas rarezas de Internet.
Seguridad a lo Jabali para Todos!!
Muchas gracias por la mención, Ángel :)
ResponderEliminarRespecto a lo que comentas, pues es curioso, he hecho un Whois del dominio por medio de DomainTools y en ambos casos me sale el mismo, el de race.es, pero por otro lado la IP de la página correo.race.es y de race.es me sale que son diferentes. En concreto la de correo.race.es me dice que corresponde a Telefónica Soluciones. Quizá el RACE tenga el servicio de correo en un servicio externo ofrecido por Telefónica. A saber ...
La verdad que no andamos con mucho tiempo, pero mirando asi por alto en Shodan y los buscadores, whois y este tipo de paginas, no me convencieron los resultados.
ResponderEliminarLo que mas me con preocupa es la hoja de estilos esa direccion en Google si que tiene indexado varias posible vulnerabilidades, habria que ver si esa css tiene "algo mas que estilos".
Tambien hice las pruebas de si race estaba comprometida, pero no encontre nada,"ni paneles, ni venta online de nada" .... lo que sigue siendo raro es que sea origen de visitas a mi blog!
Un saludo Javier.