Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты

Очередной удар по мошенникам в сети - фейковый Steam магазин

Доброго времени суток уважаемые пикабушники настало время чистки интернета от всякой грязи.


Мои предыдущие посты по этой теме:

Блокирую риэлторов мошенников:

https://pikabu.ru/story/kak_ya_borolsya_s_moshennikami_chere...

Фейковые кинотеатры:

https://pikabu.ru/story/kak_ya_reshil_nagadit_moshennikam__k...

Фейковый магазин с играми:

https://pikabu.ru/story/blokiruem_feykgabenstorenet_5962410


В пятницу мне пришло сообщение с просьбой о помощи. У пикабушника @Farinosity,  угнали аккаунт Steam

Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот

Ну что-же принято, берем сайт на анализ:

Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот

При нажатии на кнопку Log in via Steam перед нами открывается модальное окно, внутри которого расположен <frame> с фишингом Steam магазина

Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот

Фрейм у нас ведет на домен: upskins.org

Начинаем анализировать домен

Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот

Оу, домены за прокси сервером Cloudflare, а это значит что мы пока не можем узнать на каком хостинге висит этот сайт.


В комментариях к моим предыдущим постам, местные эксперты, мне много раз говорили, что вот как только я попаду на нечто подобное, то никак не смогу заблокировать -вызов принят.

Идем на https://www.cloudflare.com/abuse/form и начинаем строчить:

Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот

Потом пишем письмо этим ребятам response@cert-gib.ru, они как раз специализируются на фишинг-аттаках

Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот

Получаем от них ответ:

Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот

Для того чтобы сайт заблокировали в Google Chrome идем сюда https://safebrowsing.google.com/safebrowsing/report_phish/?hl=ru и пишем абузу:

Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот
Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот

Потом открываем Mozilla Firefox - Меня - Справка - Сообщить о поддельном сайте

https://safebrowsing.google.com/safebrowsing/report_phish/?t...

и сообщаем

Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот

Пока я все это делал, пришел ответ от Cloudflare, они заблокировали страницы с фишингом и сдали мне провайдера где висит этот нехороший человек.

Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот

Пишем абузу хостинг-провайдеру

Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот

Что имеем в итоге:

Фишинговые страницы сайта недоступны  с браузеров Google Chrome и Mozilla,

Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот
Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот

Cloudflare - заблокировал страницы

Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот

В ближайшее время упадут сами домены, пока я лазил по сайту, у владельца знатно начало бомбить мы с ним немного пообщались через GET запросы ;)

Очередной удар по мошенникам в сети - фейковый Steam магазин Мошенничество, Обуза, Чистонетмен, Steam, Длиннопост, Скриншот

Вот собственно говоря и всё, мошенники наказаны, а интернет стал капельку чище.

[моё] Мошенничество Обуза Чистонетмен Steam Длиннопост Скриншот
415
Вы смотрите срез комментариев. Показать все
105
Аватар пользователя penetrator4000penetrator4000
Автор поста оценил этот комментарий

Орнул с общения через GET) Я и не задумывался раньше о таком его применении )))

раскрыть ветку (30)
22
Аватар пользователя chert666chert666
Автор поста оценил этот комментарий
Я даже не понял как это ))но прикол хороший
раскрыть ветку (5)
61
Аватар пользователя n3kbn3kb
Автор поста оценил этот комментарий

Владелец сайта написал сообщение вместо страницы главной, положил в корень. ТС набрал GET запрос с тем что думает по этому поводу, владелец сайта может в логах веб сервера потом это прочесть. Только смысла в таком диалоге..

раскрыть ветку (4)
23
Аватар пользователя amitdimaamitdima
Автор поста оценил этот комментарий

Ну ты же видел: обмен любезностями.

раскрыть ветку (1)
1
DELETED
Автор поста оценил этот комментарий

Это не обмен любезностями. Это все ровно, что ты будешь кричать мне "привет" в Москве, а я тебе во Владивостоке. Мы друг друга не услышим, а вот окружающие подумают...

9
Argury
Автор поста оценил этот комментарий

Если владелец не поленился такое сделать, то как минимум 1 стул его сракет прожег)

раскрыть ветку (1)
Аватар пользователя OTOPOIIbOTOPOIIb
Автор поста оценил этот комментарий

А вот и смысл!)

6
Аватар пользователя iiioderatoriiioderator
Автор поста оценил этот комментарий
А можно по подробнее об этом?
раскрыть ветку (23)
41
Аватар пользователя IpluvienMaximalIpluvienMaximal
Автор поста оценил этот комментарий

ТС обращается по адресу, содержащему GET-запрос, то есть с "?" в адресе. В результате на сервер отправляется запрос, который содержит в теле строку, содержащую все, что после "?", в нашем случае "poshel_nahui_zaabazu_tebya_pidora". Владелец сайта видит это сообщение и может создать страницу, которая вернется в качестве ответа на этот запрос, что он и сделал.

раскрыть ветку (22)
47
Dss4
Автор поста оценил этот комментарий

Или не видит, ибо нахуй ему в этих логах чет выискивать. Сообщение он мог повесить на любой несовпадающий url.

раскрыть ветку (2)
21
DELETED
Автор поста оценил этот комментарий
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку (1)
2
Аватар пользователя dockerdocker
Автор поста оценил этот комментарий

Сомневаюсь, так как все что после ? это не запрос, как вы его называете, а аттрибуты(параметры). Собственно запрос это все что находится в адресной строке. По дефолту браузер воспринимает любой переход на страницу методом GET. Так что повесить на не совпадающий урл можно но сомневаюсь что главная страница является не совпадающей. Другой вариант это стоит проверка на наличие GET параметров.

9
Аватар пользователя SufflocationSufflocation
Автор поста оценил этот комментарий
много я не знаю.. спасибо за разъяснения )
раскрыть ветку (6)
11
BurnBird
Автор поста оценил этот комментарий

Плохое разъяснение.
GET запрос позволяет передавать переменные странице.

Например:
Тогда при обработке запроса сервер получит переменную name со значением "vova" в качестве входных данных (В php, например, в массив $_GET будет помещено 'name' => 'vova').

Если запрос выглядит так:
abc.ru/bla?name
значит, обработчик на сервере получит пустую переменную name.

Сайт из поста на любой непонятный GET запрос отвечает одинаково. Это заранее запроганый ответ, а не живое общение.

upd: тут можно увидеть подтверждение: #comment_116888773

раскрыть ветку (5)
1
Аватар пользователя ss18rss18r
Автор поста оценил этот комментарий

Так живого общения в любом случае не будет, если ты по 20 раз не будешь отправлять один и тот же запрос.

раскрыть ветку (1)
2
DeathAngel
Автор поста оценил этот комментарий

Кря....

BurnBird
Автор поста оценил этот комментарий

Ох, щет.
Простите, после "Например:" должно было идти
abc.ru/bla?name=vova

RonD
Автор поста оценил этот комментарий
GET запрос позволяет передавать переменные странице.
А разве не с любым типом запроса можно передать параметры в URI?
раскрыть ветку (1)
Аватар пользователя kreativfkreativf
Автор поста оценил этот комментарий

Просто GETом это легко делается в адресной строке, а POSTом так просто уже не попереписываешься. Но есть всякие более экзотические типы запросов вроде TRACE, там уже всё не так однозначно.

4
BurnBird
Автор поста оценил этот комментарий
Ага, сидит и палит 24 на 7 все запросы к сайту, ога. А потом найдя интересный сам к нему ответ собирает, угу.

#comment_116894009
5
Miksau
Автор поста оценил этот комментарий

Логика правильная, только наличие ? не  значит GET и у GET не тела. И ты не обращаешься к GET, а посылаешь(браузер) GET-запрос

раскрыть ветку (9)
7
marauderii
Автор поста оценил этот комментарий

тоесть я могу написать в адресной строке например

pikabu.ru/?kak_dela_posony
и это увидит одмин сайта?

а потом я еще раз иду по этому же адресу и вижу там:

zaebis vsyo!

так?


(я просто не айтишник)

раскрыть ветку (7)
6
g7385yfge8rg
Автор поста оценил этот комментарий

Нет. Представь ты подходишь к подъезду и набираешь на домофоне 97346 квартиру с уточнением "позвать Петю". Домофон тебе отвечает "Такой квартиры нет. Иди нахуй!" Тут примерно тоже самое.

раскрыть ветку (3)
2
Аватар пользователя barmotbarmot
Автор поста оценил этот комментарий

Зависит от уровня логирования в веб-сервере, если логируются все запросы (хотя это вряд ли, никакого места не хватит хранить тонны логов с запросами настолько посещаемого ресурса) - то в логе видно, что, куда и как (GET POST PUT etc) пришло. Да и как выше написали, вряд ли кто-то будет логи смотреть, если всё работает как должно.

раскрыть ветку (1)
Аватар пользователя dockerdocker
Автор поста оценил этот комментарий

Обычно логирование ведется на какие-то действия на сайте, к примеру, оставил сообщение, добавил новость и прочее. Место у них не закончится с учетом того что у них используется облако. Докупят 1 Тб и у них место не закончится вообще(ну только если у них не заведется бота который будет каждую минуту по всем страницам бегать), потому что обычно лог файл на 100 строк весит меньше 1 кб. Плюс ко всему, обычно, делается крон-таск на архивацию логов каждые сутки, дабы уменьшить их потребляемое пространство

Аватар пользователя MinuslandMinusland
Автор поста оценил этот комментарий
Иллюстрация к комментарию
2
DELETED
Автор поста оценил этот комментарий

сможет увидеть, но вряд ли, он будет смотреть логи,

Miksau
Автор поста оценил этот комментарий

Увидеть - да. Как и любой запрос на пикабу.

Чтоб персонализированный ответ получить, админу придётся конкретно твой запрос обработать (тут можно ботов подключить или несложный алгоритм)

Т.е. в теории - да, на практике - вряд ли кто-то на стороне админов будет тратить на это время.

раскрыть ветку (1)
marauderii
Автор поста оценил этот комментарий

мне в теории и было любопытно как оно работает

понятно что на практике, при сотнях тысяч обращений, никто не будет это разбирать

Аватар пользователя fffufffu
Автор поста оценил этот комментарий

у GET не тела.


но это не точно.

FruitDealer
Автор поста оценил этот комментарий

кажется это обычный 404-page not found кастомизированный, который открывается по любой несуществующей ссылке, и владелец домена увидит get-запрос только если будет копаться в логах (истории посещений). Так что владелец не факт что видел сообщение в get-запросе.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку