Прошу рассматривать данный материал в контексте "Как не стать жертвой мошенников"
В данной статье будет приведен классический пример попытки угона (фишинга) почтового аккаунта.
В данном случае это mail.ru , но способ универсален и применим к любому web сервису
Предыстория:
Звонит племянница и жалуется, что у нее взломали аккаунт в социальной сети.
Говорю, меняй везде пароли и в первую очередь на почте.
На резонный вопрос "причем тут почта" – так надо.
Разбор полетов:
Итак начинаем расследование как такое могло произойти. Пароли на почте и в соц.сети стояли крепкие, тупому бруту неподвластные.
Спрашиваю
у племяшки приходили какие-то запросы от администрации почтовой службы
или соц.сети на изменение пароля. Говорит недавно было что-то похожее
от mail.ru.
Нахожу это письмо и открываю.
На первый взгляд все прилично. Отправитель mail@antispam.mail.ru, приличное оформление с логотипом mail.ru.
Все ссылки указывают на субдомены в зоне mail.ru ну и конечно тема письма не располагающая к особым раздумьям.
Не удивительно, что на такое ведутся.
Ну а теперь протрем глаза и взглянем трезво. Вообщем-то все ссылки ведут на mail.ru....
Кроме одной. Обратите внимание на строку
Так же Вы можете подтвердить электронный адрес, авторизовавшись на сервере.
Ссылка в которой ведет на адрес http://r2.mail.ru/clb_win.mail.ru/win.rmaill.ru/_cgi-bin/
В результате перехода по этой ссылке мы попадаем не на mail.ru, а на win.rmaill.ru , который представляет собой так называемый фейк главной страницы mail.ru.
Таким образом нас заманили на якобы страницу авторизации в почтовой службе mail.ru
Далее, по замыслу создателей фейка мы должны ввести свои логи и пароль в форме входа в акаунт, что ,к сожалению, большинство из пользователей и делает.
В результате чего все данные сначала уходят владельцам rmaill.ru, а потом вас перебрасывает уже на настоящий mail.ru
Попробуем определить подлецов. Воспользуемся сервисом WHOIS. Получаем
IP: 213.155.3.152
domain: RMAILL.RU
type: CORPORATE
nserver: ns1.buydedicated.ru.
nserver: ns2.buydedicated.ru.
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 3472 738609
e-mail: magic.life7@gmail.com
registrar: NAUNET-REG-RIPN
created: 2008.11.14
paid-till: 2009.11.14
source: TC-RIPN
Регистратором домена является компания NAUNET служба поддержки которой была извещена о деятельности их подопечных
Сервис maxmind.com помог определить место хостинга товарищей. На момент проверки им оказался:
Суппорт
хостинга отреагировал на жалобу весьма оперативно. Менее чем через
полчаса после написания статьи аккаунт был заблокирован.
Выводы:
Будьте внимательны. Не тычьте во все ссылки подряд ибо рискуете
остаться не просто без ящика, но и без соц.сетей, вебманей, яндекс
денег и всего всего нажитого непосильным трудом! |
