Origens de spam - Investigando e colhendo informações
Dica publicada em Javascript / Avançado
Origens de spam - Investigando e colhendo informações
Este texto, que não chega a ser um artigo, traz uma breve sugestão sobre como colher algumas informações sobre links em e-mails estranhos.
A intenção é atiçar a curiosidade de quem os observa indiferentemente, e nunca pensou em saber se há alguma informação que possam fornecer.
Estes e-mails são recebidos geralmente por qualquer um que possua comunicação regular por este meio de comunicação, seja usuário de GNU/Linux ou de Windows.
Avaliar a exata nocividade de cada uma destas mensagens foge ao texto, que procura ser menos profundo.
Estes links de HTML bizarros, popularmente, são chamado de vírus. Depende do real objetivo de quem enviou, cada caso é um caso.
Para ir direto a esta análise simplista, não me perderei no jargões da área. Peço, por caridade, que não cliquem ou coloquem o link em browsers sem ter certeza do que estão fazendo, ou não me responsabilizarei.
Por exemplo, tratarei deste link que acabei de receber: http :// asoblock.net /contact/ tkpofh.html
* Com o texto inócuo, para não haver cliques em cima.
Essas coisas carregam páginas de Internet com outro link dentro dela. Atualmente, estão apontando para sites em países de liberdade cerrada ou do antigo bloco comunista.
Vejamos, a primeira coisa é usar o comando whois. Não precisa ser root para funcionar:
whois asoblock.net
O resultado é:
Ele está ligado a uma empresa de hospedagem e registro de domínios redirecionada para: http://www.melbourneit.com.au/
Isso confirma o nome (Melbourne é uma cidade australiana). Prosseguindo com o restante dos dados daquele endereço suspeito:
É o endereço de um prédio em Osaka, Japão. Não quer dizer que haja alguma coisa lá. Pode ser apenas uma salinha com ou sem um sofá, lembrando a ideia de uma caixa postal de agência de correio brasileira.
Esta página pode ser ainda baixada com o conhecido programa wget: wget http: //asoblock.net/contact/tkpofh.html
Segue o conteúdo:
* A URL está novamente separada para não ser clicável.
Há um link na página para um endereço. Será feito o mesmo procedimento com o comando whois novamente:
whois online-story24.com
A exemplo do site australiano, este aqui é de registros, porém, desta vez na Ucrânia, Europa Oriental.
Continuando:
Qual não é a surpresa de que aponta para a Rússia? Exatamente com um endereço de uma cidade chamada Barnaul.
Aqui estão dois links bem básicos para quem quiser ver se é algum fim de mundo:
Mas por que será que o link do e-mail aponta para uma página de um site registrado com um endereço do interior da Rússia, perto de divisa de mais dois países?
Ainda há como executar um wget neste link e ver o que ele baixa:
wget online-story24.com
Ele baixa uma página chamada "index.html", que aqui possui 1134 linhas de código. Esta página possui, além do próprio HTML, diversos links, links para Facebook, muito CSS e Javascript.
Para delinear todo o conjunto, qualquer CSS ou script agregados e possíveis de download devem ser baixados, fora uma renderização de HTML numa engine de browser que não comprometa nada, nem ninguém, seja sistema ou dados de usuário, para poder ter visão do que aparece.
Espero que este texto crie informação e conhecimento em torno do tema, que mais pessoas dêem sugestões e expliquem alguma lacuna que possa ter surgido, aumentando em mais o que tentou-se iniciar.
E principalmente dúvidas, muitas dúvidas, para serem encontradas novas respostas.
A intenção é atiçar a curiosidade de quem os observa indiferentemente, e nunca pensou em saber se há alguma informação que possam fornecer.
Estes e-mails são recebidos geralmente por qualquer um que possua comunicação regular por este meio de comunicação, seja usuário de GNU/Linux ou de Windows.
Avaliar a exata nocividade de cada uma destas mensagens foge ao texto, que procura ser menos profundo.
Estes links de HTML bizarros, popularmente, são chamado de vírus. Depende do real objetivo de quem enviou, cada caso é um caso.
Para ir direto a esta análise simplista, não me perderei no jargões da área. Peço, por caridade, que não cliquem ou coloquem o link em browsers sem ter certeza do que estão fazendo, ou não me responsabilizarei.
Por exemplo, tratarei deste link que acabei de receber: http :// asoblock.net /contact/ tkpofh.html
* Com o texto inócuo, para não haver cliques em cima.
Essas coisas carregam páginas de Internet com outro link dentro dela. Atualmente, estão apontando para sites em países de liberdade cerrada ou do antigo bloco comunista.
Vejamos, a primeira coisa é usar o comando whois. Não precisa ser root para funcionar:
whois asoblock.net
O resultado é:
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net for detailed information.
Domain Name: ASOBLOCK.NET
Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
Whois Server: whois.melbourneit.com
Referral URL: http://www.melbourneit.com
Name Server: NS1.DNS.NE.JP
Name Server: NS2.DNS.NE.JP
Status: ok
Updated Date: 30-mar-2012
Creation Date: 12-may-2003
Expiration Date: 12-may-2013
Ele está ligado a uma empresa de hospedagem e registro de domínios redirecionada para: http://www.melbourneit.com.au/
Isso confirma o nome (Melbourne é uma cidade australiana). Prosseguindo com o restante dos dados daquele endereço suspeito:
Domain Name.......... asoblock.net
Creation Date........ 2003-05-12
Registration Date.... 2005-12-06
Expiry Date.......... 2013-05-12
Organisation Name.... NRI Network Communications, Ltd
Organisation Address. 1-4-16 Dojima-hama Aqua Dojima West Tower 9th Fl
Organisation Address.
Organisation Address.
Organisation Address. Kita-ku
Organisation Address. 530-0004
Organisation Address. Osaka
Organisation Address. JAPAN
Admin Name........... inc asoblock
Admin Address........ 2-14-7 Minami-aoyama
Admin Address........
Admin Address........
Admin Address. Minato-ku
Admin Address........ 107-0062
Admin Address........ Tokyo
Admin Address........ JAPAN
Admin Email.......... domain@asoblock.net
Admin Phone.......... 81.3-5775-1612
Admin Fax............
Tech Name............ inc asoblock
Tech Address......... 2-14-7 Minami-aoyama
Tech Address.........
Tech Address.........
Tech Address......... Minato-ku
Tech Address......... 107-0062
Tech Address......... Tokyo
Tech Address......... JAPAN
Tech Email........... domain@asoblock.net
Tech Phone........... 81.3-5775-1612
Tech Fax.............
Name Server.......... NS2.DNS.NE.JP
Name Server.......... NS1.DNS.NE.JP
É o endereço de um prédio em Osaka, Japão. Não quer dizer que haja alguma coisa lá. Pode ser apenas uma salinha com ou sem um sofá, lembrando a ideia de uma caixa postal de agência de correio brasileira.
Esta página pode ser ainda baixada com o conhecido programa wget: wget http: //asoblock.net/contact/tkpofh.html
Segue o conteúdo:
1
2 You are here because one of your friends have invited you.
3 Page loading, please wait....
4
5 <meta http-equiv="refresh" content="3; url= http :// online-story24.com">
* A URL está novamente separada para não ser clicável.
Há um link na página para um endereço. Será feito o mesmo procedimento com o comando whois novamente:
whois online-story24.com
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net for detailed information.
Domain Name: ONLINE-STORY24.COM
Registrar: CENTER OF UKRAINIAN INTERNET NAMES
Whois Server: whois.ukrnames.com
Referral URL: http://www.ukrnames.com
Name Server: NS1.MMROX.COM
Name Server: NS2.MMROX.COM
Status: ok
Updated Date: 27-jun-2012
Creation Date: 27-jun-2012
Expiration Date: 27-jun-2013
A exemplo do site australiano, este aqui é de registros, porém, desta vez na Ucrânia, Europa Oriental.
Continuando:
Domain Name: ONLINE-STORY24.COM
Creation Date: 27-Jun-2012
Modification Date: 27-Jun-2012
Expiration Date: 27-Jun-2013
Domain servers in listed order:
ns1.mmrox.com
ns2.mmrox.com
Registrant:
Olga Golubeva o.golubewa2013@yandex.ru
ul. Pushkina 98 56
Barnaul, 656000
RUSSIAN FEDERATION
+7 385 2784565
Billing Contact:
Olga Golubeva o.golubewa2013@yandex.ru
ul. Pushkina 98 56
Barnaul, 656000
RUSSIAN FEDERATION
+7.3852784565
Administrative Contact:
Olga Golubeva o.golubewa2013@yandex.ru
ul. Pushkina 98 56
Barnaul, 656000
RUSSIAN FEDERATION
+7.3852784565
Technical Contact:
Olga Golubeva o.golubewa2013@yandex.ru
ul. Pushkina 98 56
Barnaul, 656000
RUSSIAN FEDERATION
+7.3852784565
Status: ok
Qual não é a surpresa de que aponta para a Rússia? Exatamente com um endereço de uma cidade chamada Barnaul.
Aqui estão dois links bem básicos para quem quiser ver se é algum fim de mundo:
Mas por que será que o link do e-mail aponta para uma página de um site registrado com um endereço do interior da Rússia, perto de divisa de mais dois países?
Ainda há como executar um wget neste link e ver o que ele baixa:
wget online-story24.com
Ele baixa uma página chamada "index.html", que aqui possui 1134 linhas de código. Esta página possui, além do próprio HTML, diversos links, links para Facebook, muito CSS e Javascript.
Para delinear todo o conjunto, qualquer CSS ou script agregados e possíveis de download devem ser baixados, fora uma renderização de HTML numa engine de browser que não comprometa nada, nem ninguém, seja sistema ou dados de usuário, para poder ter visão do que aparece.
Espero que este texto crie informação e conhecimento em torno do tema, que mais pessoas dêem sugestões e expliquem alguma lacuna que possa ter surgido, aumentando em mais o que tentou-se iniciar.
E principalmente dúvidas, muitas dúvidas, para serem encontradas novas respostas.
Coisa para cliente pessoa jurídica, que chama mais a "aten$$ão"
O site era iraqmap.org
O "whois" apontou prá algo na Austrália, mas dessa vez com um diferencial.
O nome do registrante é PrivacyProtect.org
Parece-me tratar de uma empresa que "camufla" nome de registrante,
É claro que tem como verificar o que há no link do iraqmap.
Usando o wget baixou-se um arquivo binário que, se lido pelo "less", aparece ao topo a coisa mais legível dentre os caracteres aleatórios, a seguinte frase:
This program can not be run in DOS mode.
:-)