Fórum Root.cz

Ostatní => /dev/null => Téma založeno: Ħαℓ₸℮ℵ ␏⫢ ⦚ 24. 02. 2025, 13:46:49

Název: Podvodné redirectovací weby a data v hlavičce Response HTTP
Přispěvatel: Ħαℓ₸℮ℵ ␏⫢ ⦚ 24. 02. 2025, 13:46:49

odhalil jsem zvláštní věc, při navštívení podvodné  (parking crew, godaddy, ale není jisté, jestli je to prvotní nebo druhý aktor), přesměrovací domény posílá v Response zvláštní x hlavičky,
x-adblock-key
x-buckets
x-domain:
x-language
x-pcrew-ip-organization: pe3iny, s. r. o.
x-redirect: skenzo

-redirect: zeropark_zeroclick
x-template: tpl_CleanPeppermintBlue_twoclick
Server: caddy
content-length: 1360

redirecty asi probíhají přes META nebo skript.

proběhne redirect, na další podvodnou doménu  /zclkvisitor (campaignid), což je zablokováno naštěstí (a pokračovalo by redirectem na /zclkredirect, která by posílala data zjištěná javascriptem, obrazovka, webdriverdetected, iframe,gpu)


pravá obsah je těžké zjistit, protože, stejný request pak ukazuje něco jiného.

žádné cookies v tom nejsou zapojeny.

Název: Re:Podvodné redirectovací weby a data v hlavičce Response HTTP
Přispěvatel: Karmelos 24. 02. 2025, 14:44:43

Podle mě to ukazuje že kohn_spi_rační teo_ryje jsou, pravdivé, nejspíš tebe něco, nebo někdo něco sleduje a odesílá nějaké informace (možná o navštívených (R18)webech) do nějaké centrály na vyhodnocení. Nejde tomu moc zabránit, pomáhá jenom nepoužívat internet a nebo navštívit nějakého odborníka, jinak se z toho člověk zblázní.

Anebo, dle instrukcí ze důchodcovských řetězových mailů pomůže, aby to přestalo, jenom vypojit všechny kabely ze všech internetových krabiček a televisí v domě a potom si hned vyrobit alobalovou čepičku. Doporučuje se nejlépe použít červenou bejsbolovou čepici s nápisem MAGA a tu vystlat alobalem, pak prý člověk který ji nosí není tak nápadný.   

Název: Re:Podvodné redirectovací weby a data v hlavičce Response HTTP
Přispěvatel: Ħαℓ₸℮ℵ ␏⫢ ⦚ 24. 02. 2025, 20:20:40

Ne, já neřeším paranoiu, ani ezo ani alobalovou čepičku, ale že jsem přišel na poněkud neobvyklý postranní kanál vysávání informací - přes ty HTTP hlavičky. Nikoli HTTPS, protože další společný znak těhle šmejdů je taky zvláštní věc, že v některé fázi redirectu je to PLAIN HTTP -

 (mimojiné je třeba zvláštní, že odkazy na sendgrid  (něco jako/ls/clickupn taky jsou plain HTTP)
(a když vzpomenu další příklad, link z mailu na odhlášení z newsletteru obsahující v query stringu email a samozřejmě opět HTTP.


^^to už je konspirace, spiknutí

Ono, tyhle scamové weby jsou obrovzký byznys, protože se hraje na množství, domain jacking, a kdo to nechá zají dále (ochraňuj nás HTTP Everywhere a adblock) redirectovací kolo ho protahá všema bretscheiderovými uchy a skončí na nějaké falešní soutěži o iphone

Myslím, že kolegové z CZ nic by mohli napnout Elastické uši, logy a mohly by udělat něco užitečného, že bypomohli odhalit, rozlíčovat tuhle gigantickou medůzu. Myslím že jim pak z pavoukového grafu vyjede hrstka domainerů a netíků.


abych byl konkrétní, prý skenují domény a nejen to ,ale právě i to co  vrací třeba root url domény včetně hlaviček (mimo jiné jaký webserver, language)