Прошу рассматривать данный материал в контексте "Как не стать жертвой мошенников" В данной статье будет приведен классический пример попытки угона (фишинга) почтового аккаунта. В данном случае это mail.ru , но способ универсален и применим к любому web сервису
Предыстория:
Звонит племянница и жалуется, что у нее взломали аккаунт в социальной сети. Говорю, меняй везде пароли и в первую очередь на почте. На резонный вопрос "причем тут почта" – так надо.
Разбор полетов:
Итак начинаем расследование как такое могло произойти. Пароли на почте и в соц.сети стояли крепкие, тупому бруту неподвластные. Спрашиваю
у племяшки приходили какие-то запросы от администрации почтовой службы
или соц.сети на изменение пароля. Говорит недавно было что-то похожее
от mail.ru. Нахожу это письмо и открываю.
На первый взгляд все прилично. Отправитель mail@antispam.mail.ru, приличное оформление с логотипом mail.ru. Все ссылки указывают на субдомены в зоне mail.ru ну и конечно тема письма не располагающая к особым раздумьям. Не удивительно, что на такое ведутся.
Ну а теперь протрем глаза и взглянем трезво. Вообщем-то все ссылки ведут на mail.ru.... Кроме одной. Обратите внимание на строку
Так же Вы можете подтвердить электронный адрес, авторизовавшись на сервере. Ссылка в которой ведет на адрес http://r2.mail.ru/clb_win.mail.ru/win.rmaill.ru/_cgi-bin/
В результате перехода по этой ссылке мы попадаем не на mail.ru, а на win.rmaill.ru , который представляет собой так называемый фейк главной страницы mail.ru.
Таким образом нас заманили на якобы страницу авторизации в почтовой службе mail.ru Далее, по замыслу создателей фейка мы должны ввести свои логи и пароль в форме входа в акаунт, что ,к сожалению, большинство из пользователей и делает.
В результате чего все данные сначала уходят владельцам rmaill.ru, а потом вас перебрасывает уже на настоящий mail.ru
Попробуем определить подлецов. Воспользуемся сервисом WHOIS. Получаем
IP: 213.155.3.152 domain: RMAILL.RU type: CORPORATE nserver: ns1.buydedicated.ru. nserver: ns2.buydedicated.ru. state: REGISTERED, DELEGATED person: Private Person phone: +7 3472 738609 e-mail: magic.life7@gmail.com registrar: NAUNET-REG-RIPN created: 2008.11.14 paid-till: 2009.11.14 source: TC-RIPN
Регистратором домена является компания NAUNET служба поддержки которой была извещена о деятельности их подопечных
Сервис maxmind.com помог определить место хостинга товарищей. На момент проверки им оказался:
Суппорт
хостинга отреагировал на жалобу весьма оперативно. Менее чем через
полчаса после написания статьи аккаунт был заблокирован.
Выводы:
Будьте внимательны. Не тычьте во все ссылки подряд ибо рискуете
остаться не просто без ящика, но и без соц.сетей, вебманей, яндекс
денег и всего всего нажитого непосильным трудом!
|