Elettrotecnica e non solo (admin)
Un gatto tra gli elettroni (IsidoroKZ)
Esperienza e simulazioni (g.schgor)
Moleskine di un idraulico (RenzoDF)
Il Blog di ElectroYou (webmaster)
Idee microcontrollate (TardoFreak)
PICcoli grandi PICMicro (Paolino)
Il blog elettrico di carloc (carloc)
DirtEYblooog (dirtydeeds)
Di tutto... un po' (jordan20)
AK47 (lillo)
Esperienze elettroniche (marco438)
Telecomunicazioni musicali (clavicordo)
Automazione ed Elettronica (gustavo)
Direttive per la sicurezza (ErnestoCappelletti)
EYnfo dall'Alaska (mir)
Apriamo il quadro! (attilio)
H7-25 (asdf)
Passione Elettrica (massimob)
Elettroni a spasso (guidob)
Bloguerra (guerra)Attendevo una spedizione e mi è arrivato un SMS che sembra sospetto, l'orario di spedizione dell'SMS è compatibile col cambio di stato della spedizione dal tracking.
Vorrei scoprire di più.
Il link inserito manda a "ateg.info" (non seguitelo ovviamente).
EDIT:
Ci sono info private
SMS strano
Moderatori: 
Paolino, 
fairyvilje
18 messaggi
• Pagina 1 di 2 • 1, 2
0
voti
[2] Re: SMS strano
da 
Etemenanki » 15 apr 2023, 0:04
Nel caso ti servisse ancora controllarlo, o servisse a qualcun altro fare la stessa cosa con altri link, ci sono diversi tool online che consentono di verificare se si tratta di phishing o se contengono roba pericolosa, solo per citarne alcuni, https://phishtank.org, https://safeweb.Norton.com, https://checkphish.ai, https://www.urlvoid.com, https://www.psafe.com/dfndr-lab/, eccetera ... c'e' anche una specie di checker di google, se uno e' disposto a fidarsi di un'azienda che altera i risultati in base alla quantita' di denaro che riceve, ma io di certo di loro non mi fido per nulla.
"Sopravvivere" e' attualmente l'unico lusso che la maggior parte dei Cittadini italiani,
sia pure a costo di enormi sacrifici, riesce ancora a permettersi.
sia pure a costo di enormi sacrifici, riesce ancora a permettersi.
-
Etemenanki
9.527 3 6 10 - Master
- Messaggi: 5957
- Iscritto il: 2 apr 2021, 23:42
- Località: Dalle parti di un grande lago ... :)
0
voti
[5] Re: SMS strano
da 
GioArca67 » 15 apr 2023, 10:39
Scusate per il casino fatto, ho commesso un piccolo errore nel ricopiare il link e caso ha voluto che ottenessi comunque una risposta dal server.
Ora il primo problema, che mi sembra il più grave: DNS.
Sto usando curl.exe su win11 (curl sulla mia macchina è un alias per Invoke-WebRequest; per inciso con Invoke-WebRequest si hanno risultati diversi, presumo perché curl.exe ritorna paro paro quel che invia il server, mentre Invoke-WebRequest lo elabora, ed essendoci dei redirect probabilmente li segue prima).
Ho hatto un nslookup di ateg.info e mi ritorna indirizzi IP localizzati a LosAngeles (sia con il DNS server di default che avevo sia dopo aver messo Cloudflare, sia su internet):
A parte il timeout, ed il server non autorevole che risponde, non ci sarebbe nulla di strano che tutti i servizi DNS tornano gli stessi 5 IP.
La cosa strana è che se faccio curl.exe ateg.info/CODICESMS ottengo una risposta mentre se faccio curl.exe 107.179.33.11/CODICESMS ottengo un 404 da nginx (nginx.org se fai solo l'IP), stesso 404 per gli altri 4 indirizzi trovati da nslookup.
Mettendo un CODICESMS errato, con ateg.info in chiaro torna una pagina che fa un redirect su un'altra pagina (http://invalid.researchdivine.com) ma guarda, non mettendo niente torna una pagina che fa un redirect su una pagina per cancellare la registrazione (http://ateg.info/opt/out)!!
Mentre col CODICESMS corretto torna una pagina che fa un redirect su
dove COGNOME è il mio Cognome
NOME è il nome di un parente stretto
TELEFONO è il mio numero telefono
Per cui la mia domanda principale: ho un man in the middle? e come opera visto che il browser fa una richiesta di risolvere il nome di dominio e poi manda pacchetti con l'IP?
Non avrebbe senso fosse solo per me, ho ricevuto un SMS su mobile (potevo essere ovunque) ed ho operato le ricerche da rete fissa.
Idem per curl.exe: non risolve prima il nome di dominio e poi manda una richiesta con l'IP??
Ora il primo problema, che mi sembra il più grave: DNS.
Sto usando curl.exe su win11 (curl sulla mia macchina è un alias per Invoke-WebRequest; per inciso con Invoke-WebRequest si hanno risultati diversi, presumo perché curl.exe ritorna paro paro quel che invia il server, mentre Invoke-WebRequest lo elabora, ed essendoci dei redirect probabilmente li segue prima).
Ho hatto un nslookup di ateg.info e mi ritorna indirizzi IP localizzati a LosAngeles (sia con il DNS server di default che avevo sia dopo aver messo Cloudflare, sia su internet):
- Codice: Seleziona tutto
Server: one.one.one.one
Address: 2606:4700:4700::1111
Risposta da un server non autorevole:
DNS request timed out.
timeout was 2 seconds.
Nome: ateg.info
Addresses: 107.179.33.11
107.6.242.97
107.179.33.44
72.5.35.137
107.179.33.21
A parte il timeout, ed il server non autorevole che risponde, non ci sarebbe nulla di strano che tutti i servizi DNS tornano gli stessi 5 IP.
La cosa strana è che se faccio curl.exe ateg.info/CODICESMS ottengo una risposta mentre se faccio curl.exe 107.179.33.11/CODICESMS ottengo un 404 da nginx (nginx.org se fai solo l'IP), stesso 404 per gli altri 4 indirizzi trovati da nslookup.
Mettendo un CODICESMS errato, con ateg.info in chiaro torna una pagina che fa un redirect su un'altra pagina (http://invalid.researchdivine.com) ma guarda, non mettendo niente torna una pagina che fa un redirect su una pagina per cancellare la registrazione (http://ateg.info/opt/out)!!
Mentre col CODICESMS corretto torna una pagina che fa un redirect su
- Codice: Seleziona tutto
https://acateriorbreverse.com/61ae25d4-6d0e-4823-a2df-b14fad60a7e1?click_id=CODICESMS&var2=&var3=O64392A53F0692&avar4=&var5=18&var6=Rome%2C+Italy&var7=COGNOME&var8=NOME&var9=TELEFONO&var10=&cost=%sms_cost%'
dove COGNOME è il mio Cognome
NOME è il nome di un parente stretto
TELEFONO è il mio numero telefono
Per cui la mia domanda principale: ho un man in the middle? e come opera visto che il browser fa una richiesta di risolvere il nome di dominio e poi manda pacchetti con l'IP?
Non avrebbe senso fosse solo per me, ho ricevuto un SMS su mobile (potevo essere ovunque) ed ho operato le ricerche da rete fissa.
Idem per curl.exe: non risolve prima il nome di dominio e poi manda una richiesta con l'IP??
0
voti
[6] Re: SMS strano
da GioArca67 » 15 apr 2023, 11:13
Proseguendo con le ricerche ho trovato che questo dominio ("acateriorbreverse.com/61ae25d4-6d0e-4823-a2df-b14fad60a7e1") è sospetto e mette un HTML/Phishing.Gentrojan
0
voti
[7] Re: SMS strano
da Etemenanki » 15 apr 2023, 11:20
GioArca67 ha scritto:... e mette un HTML/Phishing.Gentrojan
Gia solo per quello, da me finirebbe nel file hosts con tutti i suoi IP e dipendenze, senza neppure cercare di capire il perche' lo fa
"Sopravvivere" e' attualmente l'unico lusso che la maggior parte dei Cittadini italiani,
sia pure a costo di enormi sacrifici, riesce ancora a permettersi.
sia pure a costo di enormi sacrifici, riesce ancora a permettersi.
-
Etemenanki
9.527 3 6 10 - Master
- Messaggi: 5957
- Iscritto il: 2 apr 2021, 23:42
- Località: Dalle parti di un grande lago ... :)
0
voti
[8] Re: SMS strano
da GioArca67 » 15 apr 2023, 11:23
Se faccio
con i dati originali ovviamente, non ricevo nulla...
Strano perché con Invoke-WebRequest alla fine mi tornava la pagina di google.
- Codice: Seleziona tutto
curl.exe https://acateriorbreverse.com/61ae25d4-6d0e-4823-a2df-b14fad60a7e1?click_id=CODICESMS&var2=&var3=O64392A53F0692&avar4=&var5=18&var6=Rome%2C+Italy&var7=COGNOME&var8=NOME&var9=TELEFONO&var10=&cost=%sms_cost%
con i dati originali ovviamente, non ricevo nulla...
Strano perché con Invoke-WebRequest alla fine mi tornava la pagina di google.
0
voti
[9] Re: SMS strano
da 
angus » 16 apr 2023, 0:02
Sempre se ho capito bene quello che intendi, il comportamento del "DNS" non è anomalo.
Semplificando, ammettiamo di avere un dominio che punta ad un IP (ma vale anche se gli ip fossero più di uno):
in base alla configurazione del web server avrai risposte diverse se fai
oppure
nginx risponde a "domino" se è istruito per farlo per quel specifico dominio, ma se cerchi di raggiungerlo con l'IP (o anche con un altro dominio che punta allo stesso IP) probabilmente di risponderà con un bel 404 Not Found.
Tutto ciò è normalissimo.
Ma non solo, se nella configurazione di nginx hai, ad esempio, una direttiva che fa un redirect 301 e provi con
ti risponderà con 301 Moved Permanently senza fare il redirect.
Se invece vuoi fargli seguire i redirect allora puoi farlo con
Semplificando, ammettiamo di avere un dominio che punta ad un IP (ma vale anche se gli ip fossero più di uno):
in base alla configurazione del web server avrai risposte diverse se fai
- Codice: Seleziona tutto
curl dominio
oppure
- Codice: Seleziona tutto
curl IP
nginx risponde a "domino" se è istruito per farlo per quel specifico dominio, ma se cerchi di raggiungerlo con l'IP (o anche con un altro dominio che punta allo stesso IP) probabilmente di risponderà con un bel 404 Not Found.
Tutto ciò è normalissimo.
Ma non solo, se nella configurazione di nginx hai, ad esempio, una direttiva che fa un redirect 301 e provi con
- Codice: Seleziona tutto
curl dominio
ti risponderà con 301 Moved Permanently senza fare il redirect.
Se invece vuoi fargli seguire i redirect allora puoi farlo con
- Codice: Seleziona tutto
curl -L dominio
in /dev/null no one can hear you scream
0
voti
[10] Re: SMS strano
da GioArca67 » 16 apr 2023, 10:15
Avevo dimenticato il name based virtual hosting, possibile con HTTP/1.1 dove nell'header della richiesta c'è anche il nome dell'host desiderato....
...devo provare con telnet a mandare una richiesta fatta apposta...
...devo provare con telnet a mandare una richiesta fatta apposta...
18 messaggi
• Pagina 1 di 2 • 1, 2
Chi c’è in linea
Visitano il forum: Nessuno e 12 ospiti