proxy phishing

proxy phishing

Posted by on Apr 23, 2009

Jag ego-googlade nyss för att se om den nya Google-profilen skulle dyka upp. Det gjorde den så fint:

Ulf Hedlund google profile

På samma sida fanns förstås också länkar till andra relaterade sidor, tex min facebook-profil:

Skum facebook

Det är fullt naturligt att Facebook-sidan kommer med bland de översta sökresultaten, men ser inte URLen lite märklig ut?  Den innehåller en mine.nu-adress som kommer från en dynamisk DNS-tjänst.  Jag tittar närmare på vart adressen leder och konstaterar att IP-adressen ägs av Chello Broadband i Österrike.

Det visar sig att det på adressen ligger en enkel proxy som vidarebefordrar alla requests. Går man tex till google.com.putza.mine.nu får man upp google.com.

Det betyder att om man luras att logga in på en sajt kommer proxyn att kunna fånga upp inloggningsuppgifterna. Nu fungerar det inte i Facebook-fallet, proxyn tycks inte hantera SSL, men det är tyvärr inte alla sajter som kräver inloggning över SSL.

I det här fallet misstänker jag att det är någon som satt upp en proxy på sin hemmamaskin för att kunna nå valfria sajter från ställen där de av någon anledning är spärrade, tex från skolan eller jobbet.  Det kan naturligtvis också vara ett rent phishingförsök.

Den stora frågan är hur den där urlen kunde hamna så högt i googlelistningen. Just nu ser jag ingen naturlig förklaring till det, men jag kanske är för trött. Kommentera gärna om du har en förklaring eller en teori.

  • Henrik

    Det här är nasty. Adressen tillhör Cablecom i Schweiz, ett bolag som numera ägs av UPC som ju är samma som gamla Chello Broadband – RIPE-allokeringen görs fortfarande under det namnet. Eftersom jag har lite känningar kvar på UPC så har jag tipsat dem om det här, så får vi se om de åker och knackar på hemma hos personen. ;-)