Hace algún tiempo venia observando que en el origen de las visitas de blogger aparecen direcciones extrañas, durante algunos meses estoy controlando estas paginas para ver lo que sucede, normalmente si pinchas en los propios enlaces del origen de la visitas te lleva a la pagina, normalmente publicidad, del tipo "introduce tu numero de móvil".
Mi buen amigo Javier de Zoom Red publico un excelente articulo precisamente sobre este tema, Blog que recomiendo seguir y suscribirse para estar al día de muchisimas cosas que pasan en la Red.
Como podéis observar hay unas cuantas direcciones sospechosas, sobre todo si terminan en extensiones .ru .
No profundizare mucho en el tema ya que Javier lo explica muy bien en su articulo. Pero me llamo la atención la dirección correo.race.es .
Sobre todo porque al ir a esa dirección te abre un formulario con conexion segura (https), además el certificado, que por supuesto comprobe, parece correcto, emitido por verisign, y la ruta de certificacion también es correcta.
Solo me quedaba por mirar el código fuente de la pagina, HTML 4.01, JavaScripts, bueno mas o menos lo de siempre, dado que tanto la pagina, la url y los certificados coincidían quizás echando un vistazo al código averiguaria algo mas.
La plantilla ya no me gusto, y aunque los temas de programacion web los tengo un poco oxidados, la función de captura de teclas tampoco mucho.
Siguiendo la dirección del css en google la búsqueda fue algo como esto. Aparecen varias referencias a problemas y vulnerabilidades asociadas con esa dirección, todo este asunto "pinta mal".
Realizamos alguna que otra prueba, búsquedas de "Cheap viagra", C99, en la pagina de Race.es y esta No parece tener problemas, y tampoco esta relacionada con correo.race.es, lo curioso es que tanto haciendo whois, shodan, etc no aparece.
Así que esta pagina fantasma que me pide usuario/contraseña desde el mas allá, con certificado incluido, la tendremos que considerar entre esas rarezas de Internet.
Seguridad a lo Jabali para Todos!!
