Continuamos con la segunda parte del mini-informe “Page in the middle y las estadísticas”, la primera parte la pueden encontrar acá.
Volviendo a lo nuestro, les había comentado del correo que recibí con la supuesta falsificación que envió “El Jefe”, hagan click en la siguiente imágen para ver parte del correo original:
Correo original
Lo que está remarcado en verde es el mensaje que yo debía transmitir a la lista de correo, el recuadro en gris es parte del supuesto informe de seguridad falso que recibimos en nuestras direcciones de correo.
Ahora vamos a la parte interesante del asunto, como habrán podido apreciar en la imagen anterior, la misma cuenta con dos links:
http://update.microsoft.com
http://www.microsoft.com/latam/seguridad/
Las mismas, podrán confirmarlo ingresando a cualquiera de ellas copiando el texto y pegándolo en la barra de direcciones de su navegador favorito, son realmente páginas de Microsoft. Lo curioso es que las verdaderas url (es decir los href, para quienes conozcan un poco de html) no son las que se supone debieran ser:
Primer link
Como verán en esta primera imágen, el supuesto link no envía a la url http://update.microsoft.com sino a http://co1piltwb.partners.extranet.microsoft.com/mcoeredir/mcoeredirect.aspx?linkId=12282713&s1=6dfc103c-2268-c920-a1b3-8e3c9a546510.
Ahora bien, sólo los más valientes, curiosos o estúpidos se atreverían a ingresar a esa todopoderosa dirección quilométrica que nos encontramos anteriormente. Para su propio bienestar personal, este servidor realizó lo impensable; hacer click.
Lo siguiente que podremos encontrar al abrirse la página, es que ésta luego de un instante de no saber que hacer, nos envía a http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=en. Como habrán notado, terminamos en donde deberiamos haber estado desde un principio, ¿entonces por qué la url real de ese link apunta a esa dirección tan extraña y poco confiable?.
Segundo link
Antes de continuar agrego la segunda imágen, podrán apreciar por segunda vez que el segundo link tampoco apunta a http://www.microsoft.com/latam/seguridad/ sino a http://co1piltwb.partners.extranet.microsoft.com/mcoeredir/mcoeredirect.aspx?linkId=12282714&s1=6dfc103c-2268-c920-a1b3-8e3c9a546510.
Ya colocadas todas las pruebas en el estrado, procedamos con la continuación del juicio.
Para responder a la pregunta que hicimos unos renglones atrás primero comencemos con destripar esas urls para ver que tienen en su interior:
Primera URL:
co1piltwb.partners.extranet.microsoft.com (Un subdominio de Microsoft)
/mcoeredir/mcoeredirect.aspx (Este es el archivo encargado de hacer el trabajo sucio)
linkId = 12282713 (Una variable con el identificador del link al que queremos ingresar)
s1 = 6dfc103c-2268-c920-a1b3-8e3c9a546510 (WTF?)
Segunda URL:
co1piltwb.partners.extranet.microsoft.com (El mismo subdominio)
/mcoeredir/mcoeredirect.aspx (El mismo archivo)
linkId = 12282714 (La misma variable con otro identificador)
s1 = 6dfc103c-2268-c920-a1b3-8e3c9a546510 (El mismo WTF? de antes)
Veamos las conclusiones básicas que sacamos de todo esto, co1piltwb.partners.extranet.microsoft.com probablemente sea el servidor (o uno de ellos, no seamos tan optimistas) encargado de recopilar y realizar los análisis estadísticos de los correos o alertas que envía Microsoft, la variable linkId corresponde a la url a la que queremos ingresar (en ambos casos los valores eran distintos), el archivo no nos interesa (podría haber sido otro de todas formas) y finalmente la variable s1 (en ambos casos tiene el mismo valor) que sospecho es el identificador de la dirección de correo de quien recibió el alerta.
Vaaaaaassssstttttaaaaaaaaaaaaa… :O
Por hoy es suficiente de tanto escribir, mañana voy a publicar la última parte de este mini-informe en donde saltamos a las conclusiones finales y realizamos algunos ejemplos en php de cómo nosotros podemos sacar provecho de todo esto.
Demasiado para mí, prefiero las publicaciones cortas.