Сегодня увидел в одном из своих ящиков gmail фишинг-письмо от (якобы) PayPal-а.

From: "PayPal Security Center" <no-replys@google.com>

Не знаю каким образом спамеры нашли этот ящик, может по зарегистрированному на него домену.

Интересна ссылка на скам-сайт. Она была вроде такой:

http://0x5292348A/category/my-php-scripts/

Обычно письма посылают в html и текст ссылки начинается с чего-то вроде http://paypal.com/ (конечно href= ведёт на скамерский сайт).

Здесь же, как видите, вместо имени хоста - hex-число. Почему это возможно?

Например, в HTTP-пакетах, которыми обмениваются клиент и сервер содержится ip-адрес назначения и ip источника (кому будет отправлен ответ). Они умещаются в 4-х байтах. То есть, если смотреть сниффером, то видно 4 подряд идущих символа с кодом от 0x00 до 0xFF (0-255). В таком виде представляется ip.

Теперь возьмём ip моего сервера:

C:>ping mrkto.com 

Обмен пакетами с mrkto.com [82.146.52.138] по 32 байт: ...

82  -> 52
146 -> 92
52  -> 34
138 -> 8A

Добавим префикс 0x, означающий, что далее идёт шестнадцатеричное число, и:

0x5292348A

Можете набрать это в адресной строке - и вы попадёте на этот сайт!

P.S: вроде это не работает в Опере.
P.P.S: я уже вижу надписи вроде: [mrkto at 0x5292348A]

Эта запись опубликована в Воскресенье, 9 сентября 2007 в 23:42 Рубрики: Security, Другие.
Подпишитесь на RSS 2.0 ленту комментариев.
Вы можете оставить комментарий. Пинг запрещен.