SSL Phishing Activity

SSL Phishing Activity

https://info.phishlabs.com/blog
About the APWG. Founded in 2003, the Anti-Phishing Working Group (APWG) is the global industry, law enforcement, and government coalition focused on unifying the global response to electronic crime.

https://docs.apwg.org/reports/apwg_trends_report_q4_2019.pdf
According to the APWG’s new Phishing Activity Trends Report
The researchers at APWG member PhishLabs documented the rising use of SSL certificates on phishing websites. Almost three-quarters of all phishing sites now use SSL protection. This was the highest percentage since tracking began in early 2015, and is a clear indicator that users can’t rely on SSL alone to understand whether a site is safe or not. Also in this quarter’s Trends report: APWG member RiskIQ analyzes where phishers register domains for their nefarious purposes.

Los ataques Phishing representan una amenaza muy importante para los usuarios de Internet. Como sabemos es el tipo de ataque que busca robar nuestras credenciales y contraseñas en la red.
El informe alerta sobre cómo la mayoría de ataques Phishing ahora utilizan SSL (Normalmente las páginas de ataques Phishing no usaban ningún tipo de cifrado). Podemos recibir páginas web perfectamente cifradas y que pueden parecer seguras, pero en realidad llevan detrás un intento de ataque para robar nuestras credenciales y contraseñas.

Como  evitar ser víctimas de ataques Phishing:
- No iniciar sesión desde enlaces de terceros (através del e-mail, redes sociales o incluso plataformas como WhatsApp)
- Iniciar sesión solo desde la web oficial directamente.
- Usar antivirus para prevenir la entrada de malware que posteriormente pueda robar información y datos personales.
- Mantenerse actualizados. A veces pueden surgir vulnerabilidades que ponen en riesgo la seguridad de nuestros equipos.
- Bloquee los TLDs que no utilize y sea mas estricto, utilice blacklists actualizadas frecuentemente ó whitelist solo para sus sitios requeridos considerados seguros.

Era cuestion de tiempo antes el SSL era simbolo de seguraidad . . . ahora es un velo que solo ayuda al cibercrimen.

developer tools . . . detectado !

developer tools . . . detectado !

Why would 123 movies not want me to open the developer tools
Sites can detect if dev tools window is open.
Devtools tabs should not appear in chrome-extension pages when using react-devtools as an entry point.
Pages know if the development console is open or not.
detect devtools open.

devtools es detectado . . :C
.
test page:  https://sindresorhus.com/devtools-detect/
So it doesn't work if you open the devtools in a separate window or make them sufficiently small.
.
Find out whether Chrome console is open
https://stackoverflow.com/questions/7798748/find-out-whether-chrome-console-is-open
.
I use the developer tools to find the header to the .mp4 file in the network panel and then load the header in the browser directly to have access to that file to download.
Obfuscation. They don't want people just grabbing the url for the mp4 and downloading.
.
Deja de ser facil el localizar la fuente de ese pelicula . . . etc . .  que tanto desea tener a su dispocision .. XD .. Una gran alternativa .. casi en el olvido :
para Chrome
https://www.nirsoft.net/utils/chrome_cache_view.html
para FireFox
https://www.nirsoft.net/utils/mozilla_cache_viewer.html
.
En las imagenes Como se localiza la url de una pelicula para su descarga (Note que se ordena por fecha, last accessed)

En CMD youtube-dl realizando la descarga .. ..

DNS-over-HTTPS for all device .. !

DNS-over-HTTPS for all device .. !

DNS-over-HTTPS (DoH) protocol inside Chrome. This protocol works by disguising DNS queries and responses inside regular HTTPS traffic.
Chrome will not modify the local computer's DNS settings.
DNS-over-HTTPS (DoH) protocol inside Chrome. This protocol works by disguising DNS queries and responses inside regular HTTPS traffic.
Chrome will not modify the local computer's DNS settings.
.
Todo el PC DNS sobre HTTPS (DoH). Para poder usar DoH en las solicitudes DNS.
Microsoft plans to encrypt DNS queries over the HTTPS protocol automatically in future releases of Windows 10 to improve privacy and security.
Los usuarios podrán conseguir un nuevo nivel en cuanto a seguridad y privacidad sin tener que hacer nada. De momento Microsoft no ha dado una fecha exacta en la que DNS-Over-HTTPS llegará a Windows 10. habrá que esperar bastante para poder usar DoH de forma nativa en Windows 10. Pero mientras esto ocurre, los navegadores actuales como Google Chrome o Firefox ya permiten habilitar esta característica para navegar con ellos de forma segura y más privada.
.
La alternativa. En un mundo lleno de peligros . . .
https://github.com/DNSCrypt/dnscrypt-proxy

. En CMD . . una ayuda extra ( Tambien hay disponible un GUI, interfaz grafica ) . . con otras cosas mas . .

Entre lineas punteadas la idea . . . del batch.
----------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------
@ECHO   off
color 0a
ECHO   . Ejecutar con derechos de administrador
:begin
ECHO   -------------------------------------------------------------------------
ECHO   . . . . . . . . dnscrypt-proxy . . . . . . . .
ECHO   ------------------------------------------------------------------------
ECHO   -------------------------------------------------------------------------
ECHO   1-- Iniciar dnscrypt-proxy
ECHO   2-- Parar -- Reiniciar dnscrypt-proxy (para realizar cambios a la configuracion)
ECHO   3-- finalizar dnscrypt-proxy
ECHO   0-- Log dnscrypt-proxy ultimas 20 lineas
ECHO   -------------------------------------------------------------------------
ECHO   4-- Ver Cache DNS "ipconfig/displaydns" y conexiones activas "NETSTAT"
ECHO   5-- Conocer ip-o-url desde el DNS "nslookup"
ECHO   6-- Liberar-Cambiar-IP-Vaciar-DNS "ipconfig +release +flushdns +renew"
ECHO   7-- Ver informacion del adaptador de red y MAC address "ipconfig + GETMAC"
ECHO   8-- Cambiar DNS server "netsh"
ECHO   -------------------------------------------------------------------------
::

cd %~dp0
::

set /p op="Enter your choice: "
if "%op%"=="1" goto op1
if "%op%"=="2" goto op2
if "%op%"=="3" goto op3
if "%op%"=="0" goto op0
if "%op%"=="4" goto op4
if "%op%"=="5" goto op5
if "%op%"=="6" goto op6
if "%op%"=="7" goto op7
if "%op%"=="8" goto op8
if "%op%"=="9" goto op9
::

:op1
ECHO   .
ECHO   1- Iniciar servicio dnscrypt-proxy
start agr-dnscrypt-proxy.exe -service install
TIMEOUT 1 /nobreak
start agr-dnscrypt-proxy.exe -service start
TIMEOUT 1 /nobreak
ECHO   . listo ..............
ECHO   -------------------------------------------------------------------------
goto begin

:op2
ECHO   .
ECHO   2- Parar dnscrypt-proxy
ECHO   .  para realizar algun cambio en la configuracion.
ECHO   .  como poner ips-urls en blacklist - whitelist
start agr-dnscrypt-proxy.exe -service stop
start explorer %~dp0
start notepad.exe "dnscrypt-proxy.toml"
ECHO   .
ECHO   . despues del pause se reinicia dnscrypt-proxy
pause
pause
ECHO   .
ECHO   . listo ..............
ECHO   .
ECHO   Reiniciar dnscrypt-proxy
start agr-dnscrypt-proxy.exe -service start
ECHO   . listo ..............
ECHO   -------------------------------------------------------------------------
goto begin

:op3
ECHO   .
ECHO   3- Finalizar servicio dnscrypt-proxy
start agr-dnscrypt-proxy.exe -service stop
TIMEOUT 1 /nobreak
start agr-dnscrypt-proxy.exe -service uninstall
TIMEOUT 1 /nobreak
ECHO   . listo ..............
ECHO   -------------------------------------------------------------------------
goto begin

:op0
ECHO   .
ECHO   0-- Log dnscrypt-proxy ultimas 20 lineas
for /f %%i in ('find /v /c "" ^< %~dp0\query.log') do set /a lines=%%i
set /a startLine=%lines% - 20
more /e +%startLine% %~dp0\query.log
ECHO   -------------------------------------------------------------------------
pause
goto begin

:op4
ECHO   4-- Ver Cache DNS "ipconfig/displaydns" y conexiones activas "NETSTAT"
ECHO   -------------------------------------------------------------------------
ECHO   Cache DNS "ipconfig/displaydns"
ipconfig/displaydns
ECHO   -------------------------------------------------------------------------
ECHO   conexiones activas "NETSTAT"
NETSTAT
ECHO   . listo ..............
ECHO   -------------------------------------------------------------------------
goto begin

:op5
ECHO   5-- Conocer ip-o-url desde el DNS "nslookup"
set /p url="paste ip-o-url : "
nslookup "%url%"
ECHO   . listo ..............
ECHO   -------------------------------------------------------------------------
goto begin

:op6
ECHO   6-- Liberar-Cambiar-IP-Vaciar-DNS "ipconfig +release +flushdns +renew"
ECHO   . . Liberar la IP "ipconfig /release".
ipconfig /release
TIMEOUT 5 /nobreak
ECHO   . . Limpia el caché DNS "ipconfig /flushdns".
ipconfig /flushdns
TIMEOUT 5 /nobreak
ECHO   . . Obligar a cambiar la IP por otra "ipconfig /renew".
ipconfig /renew
TIMEOUT 5 /nobreak
ECHO   . listo ..............
ECHO   -------------------------------------------------------------------------
goto begin

:op7
ECHO   7-- Ver informacion del adaptador de red y MAC address "ipconfig + GETMAC"
ECHO   -------------------------------------------------------------------------
ECHO    .. adaptador de red "ipconfig /all" ..
ipconfig /all
TIMEOUT 5 /nobreak
ECHO   -------------------------------------------------------------------------
ECHO   .. MAC address "GETMAC" ..
GETMAC
ECHO   . listo ..............
ECHO   -------------------------------------------------------------------------
goto begin

:op8
ECHO   8-- Cambiar DNS server "netsh"
ECHO   -------------------------------------------------------------------------
ECHO    ver interfaz activa "netsh interface ip show config"
ECHO    para realizar el cambio de DNS
netsh interface ip show config
pause
ECHO   -------------------------------------------------------------------------
ECHO    cambiar DNS server "netsh interface ip set dns interface static DNS"
ECHO    1-- Usar dnscrypt-proxy "127.0.0.1"
ECHO    2-- Usar otro DNS
ECHO    3-- No hacer cambios, volver al menu principal
ECHO   -------------------------------------------------------------------------
set /p opc="Enter your choice: "
if "%opc%"=="1" goto opc1
if "%opc%"=="2" goto opc2
if "%opc%"=="3" goto begin

:opc1
ECHO   -------------------------------------------------------------------------
ECHO    1-- usar dnscrypt-proxy "127.0.0.1"
ECHO   A cual interfaz activa hacer cambios ...
set /p interface="interface : "
ECHO   eliminando anterior dns . . .
netsh interface ip delete dns name="%interface%" all
TIMEOUT 5 /nobreak
ECHO   poniendo dnscrypt-proxy
netsh interface ip add dns "%interface%" 127.0.0.1 index=1 validate=no
goto showdns

:opc2
ECHO   -------------------------------------------------------------------------
ECHO    2-- Usar otro DNS
ECHO   A cual interfaz activa hacer cambios ...
set /p interface="interface : "
ECHO   -------------------------------------------------------------------------
ECHO   DNS a utilizar:
ECHO     1-- Google 8.8.8.8 y 8.8.4.4
ECHO     2-- IBM (Quad9) 9.9.9.9 y 149.112.112.112
ECHO     3-- Cloudflare 1.1.1.1 y 1.0.0.1
ECHO     4-- OpenDNS Home 208.67.222.222 y 208.67.220.220
ECHO   -------------------------------------------------------------------------
set /p opt="Enter your choice: "
if "%opt%"=="1" goto opt1
if "%opt%"=="2" goto opt2
if "%opt%"=="3" goto opt3
if "%opt%"=="4" goto opt4

:opt1
ECHO   -------------------------------------------------------------------------
ECHO     1-- Google 8.8.8.8 y 8.8.4.4
ECHO   eliminando anterior dns . . .
netsh interface ip delete dns name="%interface%" all
TIMEOUT 5 /nobreak
ECHO   poniendo dns
netsh interface ipv4 add dnsservers %interface% 8.8.8.8 index=1 validate=no
netsh interface ipv4 add dnsservers %interface% 8.8.4.4 index=2 validate=no
goto showdns

:opt2
ECHO   -------------------------------------------------------------------------
ECHO     2-- IBM (Quad9) 9.9.9.9 y 149.112.112.112
ECHO   eliminando anterior dns . . .
netsh interface ip delete dns name="%interface%" all
TIMEOUT 5 /nobreak
ECHO   poniendo dns
netsh interface ipv4 add dnsservers %interface% 9.9.9.9 index=1 validate=no
netsh interface ipv4 add dnsservers %interface% 149.112.112.112 index=2 validate=no
goto showdns

:opt3
ECHO   -------------------------------------------------------------------------
ECHO     3-- Cloudflare 1.1.1.1 y 1.0.0.1
ECHO   eliminando anterior dns . . .
netsh interface ip delete dns name="%interface%" all
TIMEOUT 5 /nobreak
ECHO   poniendo dns
netsh interface ipv4 add dnsservers %interface% 1.1.1.1 index=1 validate=no
netsh interface ipv4 add dnsservers %interface% 1.0.0.1 index=2 validate=no
goto showdns

:opt3
ECHO   -------------------------------------------------------------------------
ECHO     4-- OpenDNS Home 208.67.222.222 y 208.67.220.220
ECHO   eliminando anterior dns . . .
netsh interface ip delete dns name="%interface%" all
TIMEOUT 5 /nobreak
ECHO   poniendo dns
netsh interface ipv4 add dnsservers %interface% 208.67.222.222 index=1 validate=no
netsh interface ipv4 add dnsservers %interface% 208.67.220.220 index=2 validate=no
goto showdns

:showdns
ECHO   -------------------------------------------------------------------------
ECHO   Ver si los cambios se realizaron ..
netsh interface ipv4 show dnsserver
pause
ipconfig /flushdns
goto begin

::
::
:exit
@exit
----------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------
Como luce el log . . trafico dns de todo el computador . .

.
C: . . .

DNS over HTTPS (DoH), my local host file is die?

warning Chromium DNS-over-HTTPS) bypassing the hosts file. the hosts file is die?
I've discovered that if I enabled DNS over HTTPS (DoH) in Firefox, my local host file is being completely ignored.
DNS over HTTPS and hosts file
Switch to DNS over HTTPS (DoH) for speed and privacy
Pros and Cons of DNS Over HTTPS
Is DNS Over HTTP the Future
DNS-based filtering still possible of DNS?
.
Los navegadores estan matando el filtrado personalizado de los usuarios . . .
-- Comienzan a limitar los bloqueaos por extensiones (como adblock)
-- DNS over HTTPS impide el filtrado por "local host file"  .. solo queda el filtrado de IPs en el firewall.
-- Nadie se tomara el tiempo de deshabilitar DNS over HTTPS
-- DNS over HTTPS deberia aplicarse despues del filtrado que desee el usuario.
.
Los servidores DNS traducen las direcciones URL a sus correspondientes direcciones IP de manera que podamos conectarnos directamente con el servidor de la web que queremos visitar.

En caso de que el DNS no sepa resolverla, preguntará al resto de servidores de manera recursiva. Todo este proceso se realiza sin ningún tipo de cifrado ni verificación, por lo que cualquiera puede tener acceso a las peticiones que hacemos al DNS, tanto nuestro ISP como el propio DNS o cualquier empresa de Internet. Además, al no haber verificación, es muy fácil suplantar la identidad del DNS de manera que, al hacer una petición a este servidor, un servidor falso nos devuelva otra IP, IP que puede llevar a una web falsa para robar nuestros datos o distribuir malware.

Con el fin de solucionar estos problemas en 2017 nació un nuevo protocolo llamado DNS-over-HTTPS, el funcionamiento se resume en enviar las solicitudes DNS a través de HTTPS desde el navegador de manera que estas conexiones tengan la misma seguridad, privacidad y fiabilidad que las webs en HTTPS que visitamos.

.
los navegadores aseguran a sus patrocinadores-anunciantes la entrega de su publicidad.

los navegadores son unas z0rras ofreciendose al mejor postor .. su publicidad ahora estara asegurada
.

.
DNS over HTTPS deberia aplicarse por el SO a todo el SO en las conexiones establecidas . . no solo al navegador .. :\

.

Stop scammers . . Spam - Scam - Phishing

.. .. eso es un engaño ó es real ?
Area en que VirusTotal aun se queda corto .. "scam detection"
Stop scammers
.
scam son estafas economicas a través de un "correo electrónico" fraudulento o páginas web fraudulentas. ofreciendo un producto o servicio que en realidad es falso y en "Redes sociales" y "páginas de encuentro", normalmente, personajes con identidades falsas (Phishing).
spam es el metodo de propagacion generalmente utilizado, habitualmente de tipo publicitario enviados en grandes cantidades.
.
Spam - Scam - Phishing
.
spam es publicidad masiva colocada generalmente en correo electrónico (correo basura), grupos de noticias, usenet, motores de búsqueda, redes sociales, páginas web, wiki, foros, blogs, a través de ventanas emergentes y todo tipo de imágenes y textos en la web. Usualmente de: casinos, sorteos, premios como viajes, dr00gas, software y p00rn00graf1a.
.
Phishing conocido como suplantación de identidad, utilizando ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
.
https://www.projecthoneypot.org/

.
https://scamalytics.com/

.
Comparacion VirusTotal  vs  projecthoneypot  vs  scamalytics
Analisis a: 205.185.216.10
.
 VirusTotal ... zero detectado
.

.
projecthoneypot ... spam riesgo

.

 scamalytics ... 98%  riesgo de fraude

.
No solo de malware vive la estafa . . XD

"Energized Protection" VS "StevenBlack-hosts"

"Energized Protection"  VS  "StevenBlack-hosts"
.
Listas de filtrando de internet por una navegacion mas segura.
.

.
----------------
----------------
Energized Protection   "https://github.com/EnergizedProtection/block"
- listados por grados de proteccion: 7
- listados en varios formatos: 10
- listados Url's e IP's
- numero de fuentes en que se basa: 167
- no todas las fuentes son utilizadas depende del grado de proteccion buscada
su lista de bloqueo mas ligero "Spark"; True lightweight protection; contiene 48,339 lineas y alcanza un tamaño: 1.3M
su lista de bloqueo mas robusta "Unified"; Flagship protection with pornware blocking; contiene 1,271,524 lineas y alcanza un tamaño: 35M
----------------
----------------
StevenBlack-hosts   "https://github.com/StevenBlack/hosts"
- listados por grados de proteccion: 15
- numero de fuentes en que se basa: 16
- no todas las fuentes son utilizadas depende del grado de proteccion buscada
- listados solo en formato Hosts txt
su lista de bloqueo mas ligero "Unified hosts" (adware + malware); contiene 42,264 lineas y alcanza un tamaño: 1.2M
su lista de bloqueo mas robusta "Unified hosts + fakenews + gambling + porn + social"; contiene 60,036 lineas y alcanza un tamaño: 1.7M
----------------
----------------
ambos alimentados por listados renombrados sin embargo "Energized Protection" incorpora muchos otros como los de "Adguard Team" "The EasyList" "fanboy" "WindowsSpyBlocker Hosts Spy; crazy-max" etc. . . definitivamente va mas alla de lo comun .. :D
----------------
----------------
El file Hosts sigue siendo un metodo muy recurrido como un medio practico de filtrado ( stop serve ads, tracking scripts and malware ) aun por su nula actualizacio ( hosts file doesn't support wildcard entries).

----------------
----------------

Video-audio download . . XD

Video-audio download . . XD
Capturando el Servicio Streaming.
.
Poca gente tiene el tiempo, paciencia ó la curiosidad de como hacerlo . . en estos tiempos complicados en donde todo parece estar oculto y la magia fluye tras de una pantalla. . XD

.
Google-Chrome devtools.
Sin haber dado reproducir al video presiona boton F12 para activar la "herramienta para desarrolladores" (devtools).
Note la configuracion utilizada en la imagen y apliquela; una vez hecho de play al video-audio deseado.

.
Ponga atencion a la columna "Waterfall" ya que el recurso deseado por el tiempo de duracion del mismo hara una peticion larga que sera bastante evidente. Pase el apuntador sobre el y note la extension del archivo "mp4, mp3, .." . . (evidente)
Note que el recurso pedido es de las ultimas cabeceras que apareceran en el Privoxy-log
Copie el link y descarge con su gestor favorito.
.

.
En youtube la situacion es distinta ya que le envia el video en piezas cargadas de verificaciones . . XD
How youtube load video source via xhr ..  it sent so many XHR requests to get video resource (video/webm).
How to hide mp4 video on devtools network? if you visit youtube video and inspect a video there is no link displayed in devtools
El caso no es solo para youtube si no que otros sitios tienen tacticas similares de servicio streaming a cuenta-gotas . . XD
.
Para tal situacion existen sitios cuyo unico proposito es brindar el link de descarga; sin embargo hay que estar preparados para el bombardeo de anuncios. En la mayoria de los casos hay que dar click derecho y copiar link.

https://www.videograbber.net/
. . . nada que bloquear . . :D . . aun
.

.
https://es.savefrom.net/
2019-05-01 09:10:47.005 00000b44 Crunch: Blocked: mc.yandex.ru:443
2019-05-01 09:10:48.502 00001544 Crunch: Blocked: native.propellerclick.com:443
2019-05-01 09:10:48.805 00001a34 Crunch: Blocked: pusherism.com:443
.

https://www.onlinevideoconverter.com/es
2019-05-01 09:16:48.058 00000d94 Crunch: Blocked: mc.yandex.ru:443
2019-05-01 09:16:48.061 00000f4c Crunch: Blocked: browser-update.org:443
2019-05-01 09:16:48.602 00001e5c Crunch: Blocked: mc.yandex.ru:443
.

http://convert2mp3.net/en/
2019-05-01 09:22:00.794 00000b98 Crunch: Blocked: http://pushame.com/ntfc.php?p=1747880
2019-05-01 09:22:01.270 00000e78 Crunch: Blocked: http://deloplen.com/apu.php?zoneid=813021
2019-05-01 09:22:01.436 000006bc Crunch: Blocked: http://pushame.com/
2019-05-01 09:22:01.711 00001de0 Crunch: Blocked: http://pushimer.com/
2019-05-01 09:22:01.995 00001ed4 Crunch: Blocked: http://pushbaddy.com/
2019-05-01 09:22:02.234 00001d44 Crunch: Blocked: http://pushbasic.com/
2019-05-01 09:22:02.493 00000d90 Crunch: Blocked: http://pushdusk.com/
2019-05-01 09:22:03.431 000015f4 Crunch: Blocked: http://remtoaku.net/
2019-05-01 09:22:03.460 000016c4 Crunch: Blocked: tharbadir.com:443
2019-05-01 09:22:15.269 000004b0 Crunch: Blocked: http://redirector.gvt1.com/
.

.
Descargas por linea de comando . . youtube-dl is a small command-line program to download videos 
https://ytdl-org.github.io/youtube-dl/
ver sitios soportados ..:: https://ytdl-org.github.io/youtube-dl/supportedsites.html
Para estar pendiente de actualizaciones y consejos ..::
https://www.videohelp.com/software/youtube-dl
.

.
Sin duda este ultimo de los mas poderosos y sencillos que se pueda encontrar; vale la pena sumergirse en su manejo. lo que mas agrada es su capacidad de recuperar-continuar descargas desde el el byte en que se quedo . . :D
.