Hackerismo
O que descobri sobre o telefone ninja

07.Jun.2017 10:57:27 AM

O telefone.ninja é um site que mostra o endereço, o email e outros dados de Brasileiros. Ele é o assunto do momento de acordo com o Google Trends:


Pelo pico no Trends ele parece ter entrado no ar recentemente


Invadiram meu modem

Suspeitando que os dados fossem os mesmos hackeados do CADSUS fui ver se eu estava lá. Os dados expostos através dele não pareciam ser diferentes dos expostos no hack do CADSUS, a principal diferença era o endereço de email e o número do celular.

Costumo usar um endereço de email diferente para cada site, o que me chamou a atenção foi que o endereço exposto era o que eu havia criado especialmente para pedir o meu cartão na Saraiva.

Tendo percebido isso comecei a juntar as peças e descobri que no final do ano passado hackers tiveram acesso a dados da Saraiva e de outras grandes lojas.

Lembrei que meu modem foi invadido duas vezes por volta de 2015-16. Na ocasião o DNS foi alterados e passou a apontar para servidores DNS hospedados no UOL. Imagino que eles tenham interceptado meus pacotes através desses servidores de DNS modificados.

Buscando os autores

O site telefone.ninja é protegido pelo Cloud Flare. Como o Cloud Crime saiu do ar tive que buscar o histórico do domínio manualmente começando pelo endereço de contato:

whois telefone.ninja | grep Email

Com esse comando cheguei ao email [email protected]. A partir dai comecei a buscar outros domínios como mesmo email associado e achei mais dois sites: O consultasocio.com e cnpj.ninja.

Como os sites era, bastante parecidos, seja no serviço disponibilizado ou na parte visual foi fácil sacar que eles eram do mesmo dono.

Buscando os IPs

A parte seguinte foi tentar localizar o IP dos servidores protegidos pelo Cloud Flare. Consegui isso consultando o IP do cnpd.ninja como seguinte comando:

nslookup cnpj.ninja

Vi que o site estava desprotegido e que o IP apontada para um servidor na Hungria. Buscando pelo mesmo bloco de ip cheguei ao ip dos três sites:

185.112.158.145     consultasocio.com
185.112.158.13      cnpj.ninja
185.112.158.144     telefone.ninja 

Fuçando um pouco mais acabei chegando a outros dois sites do mesmo autor:

185.62.189.82       cnpjbrasil.com
185.62.189.199      empresascnpj.com

Esses protegiam o email no whois e estavam registrados na Ucrania e não na Hungria como os outros, porém o visual não deixa qualquer dúvida sobre quem é o autor.

O que descobri sobre o telefone.ninja

Descobri que por um descuido meu na escolha da senha do modem acabei tendo meus dados pessoais vazados. Tive sorte pois os dados já estavam defasados e não ouve qualquer prejuizo financeiro.

O cracker por trás disso provávelmente está validando os dados para usá-los posteriormente. Cada clique no site é transmitido para o servidor do telefone.ninja, por esse motivo evite clicar nos números de telefone.

Evite também pedir para que seus dados sejam removidos pois assim você estaria validando os seus dados para o site.