Well, I tried to do responsible disclosure, so I could at least claim I care about how secure users are (and get my name in some patch notes, :p), but according to Microsoft "The Internet Explorer phishing filter is not a security feature, so this is not something MSRC would track.", Mozilla haven't replied (email sent early Wednesday), and Opera haven't replied eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r (bug report added early Thursday), though I didn't give opera much time, I really don't think its a big issue because its not even on by default in Opera.
To better understand how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following idea can actually be utilised, and why it matters, you need to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phishing filter. When a phishing site is first created and sent to users, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phishing filter does not know about it - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phishing filter is updated based on a blacklist of URLs which are manually entered.
The reason,cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter works is because while a phisher could encode cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address to stop it being detected, or move cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server, etc, etc, but all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emails cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y sent still have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same static blocked link. And this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter works - all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emails have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same link which is blocked. This doesn't have to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, but I'll write something about that some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day.
To avoid this, one can do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
Send out phishing emails as one normally would, but instead of pointing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual phishing page, point to some central server, which can send your arbitrary response headers, or is under your complete control.
The page cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user is sent to, actually redirects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to an actual phishing page, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same server or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.
There is a loophole in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phishing filters where if a page is blocked, but instead of being loaded, it redirects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phishing warning is not displayed (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phishing warning seems to do checks after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page has been loaded, or at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 html code has).
What this means is that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment a phishing URL is added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phisher can easily just make it redirect elsewhere (or just encode it, and redirect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encoded URL to bypass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter), and viola, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phishing email is now working again.
And considering all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filters do direct URL comparisons, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 redirects do not have to be static (i.e. you could use mod_rewrite to make random URLs show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same phishing page), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way current phishing filters are set up you could avoid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indefinitely.
If you want to confirm this, here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps I sent to MS/Mozilla/Opera on how to verify it:
1. Find a blocked URL.
- I got http://ospr.110mb.com/yahoo/ from phishtank
2. Point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts file entry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain to an IP.
- I pointed ospr.110mb.com to 127.0.0.1
3. Create a directory/page on your server in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same place as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phishing page.
- I created /yahoo/index.php on my localhost
4. Confirm that your page is being blocked.
- I directed my browser to http://ospr.110mb.com/yahoo/ as usual, and it was blocked in all browsers
5. Clear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser cache/restart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser.
- IE and Firefox need a restart, Opera needs you to manually clear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cache
6. Edit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file to redirect to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site which is not blocked.
- I created /yahoo/login.php and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n used a Location redirect in index.php to redirect myself cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re:
header ("Location: http://ospr.110mb.com/yahoo/login.php");
?>
7. Visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original phishing page again.
- I directed my browser to http://ospr.110mb.com/yahoo/ as usual, and in both browsers, no message was shown to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, and I was successfully redirected, even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original page was a known phishing URL in both systems.
Note: The need to clear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cache/restart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser would not impact an attack, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 redirecting page would never be filtered and cached in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place, it is merely a symptom of checking that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL is properly blocked. So if you can trust me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL is blocked, you can simply ignore step 4.