# Форум на русском языке  > Угрозы информационной безопасности  > Спам и мошенничество в сети  >  Фишинг на Одноклассниках

## priv8v

Еще пару слов о фишинге.

###
Началось так:

*Ч*итал веблог Лаборатории Касперского и в статье от 18 мая 2009 | 23:59  MSK (про фишинг на "однокласниках") встретил такой небольшой скрин:



*Н*а картинке свободно можно разобрать адрес - это и было мной сделано. При переходе по адресу был редирект на odnoklassniki-priz.ru.

*З*атем, используя полученные данные, начал их обработку и увеличение в хуизе, гугле, истории регистрации доменов, в ЖЖ и т.д

*Итого вышло*: один человек или группа лиц уже давно занимаются фишингом на одноклассниках в достаточно крупных объемах. Для этого у них зарегистрировано много адресов (доменов) как на бесплатных хостингах, так и в зоне .ru. Ссылки на сайты с доменом третьего уровня используются чаще всего в ссылках при рассылке ЛС в социальной сети, а уже с них через редирект пользователь попадает на сайт с доменом в зоне .ru, имя которого созвучно названию социальной сети. 
Там из пользователя пытаются "выжать" логин/пароль (это уже стандартная операция при фишинге и не вызывает ни у кого удивления) + деньги (предлагают отправить СМС для участия в конкурсе/получения призов. 

*Н*екоторые из найденных мной доменов уже использовались при фишинге, некоторые нет, но это не так важно. 
Ниже представлен список доменов от этой группы хакеров (или он один), через 2 пробела после адреса идет адрес почты к которой привязан этот домен. 
То, что ниже все домены принадлежат одной группе свидетельствуют много фактов: одинаковые адреса почты, сходные имена сайтов, некоторые домены зарегистрированы в один день, одинаковые хостинги, со многих адресов идут редиректы на адрес, который я уже упоминал выше... и т.д



```
odnoklassniki-elita.ru  [email protected]
odnoklassniki-best.ru  [email protected]
odnoklassniki-to-you.ru  [email protected]
odnoklassniki-triumf.ru  [email protected]
odnoklassniki-priz.ru  [email protected]
odnoklassniki-vips.ru  [email protected]
odnoklassniki-for-vip.ru [email protected]
odnoklassniki-newyear.ru [email protected]
odnoklassniki-secret.ru  [email protected]
odnoklassniki-love.ru   [email protected]
odnoklassniki-reals.ru  [email protected]
odnoklassniki-vip-status.ru  [email protected]
odnoklassniki-session.ru  spy-logs-l1[email protected]
odnoklassniki-elite.ru  [email protected]

elita-online.ru  [email protected]
best-vip.ru  [email protected]
gold-elita.ru  [email protected]
top-elita.ru  [email protected]
spec-elita.ru  [email protected]
best-akcya.ru  [email protected]
akcya-2009.ru   [email protected]
best-plus.ru  [email protected]
online-akcya.ru  [email protected]
best-akcya.ru   [email protected]
od-2009.ru  [email protected]
gold-user.ru  [email protected]
top-gold.ru  [email protected]
top-elita.ru   [email protected]
```

*Е*стественно, это не все их домены и не все домены, что я нашел. Некоторые нуждаются в более пристальной проверке, некоторые не так явно можно отнести к этой группе хакеров...

###


_Краткий вывод:_  
 * Из фишинга теперь пытаются выжать все, что можно (хотя недоставало ифрейма на связку эксплоитов)
 * Это дело поставлено на поток и домены для этого даже в зоне .ru регистрируются пачками
 * То, что при регистрации в зоне .ru требуются паспортные данные не останавливает мошенников: они используют либо реальные чужие данные (не свои же...), либо пишут неверные - т.к это не проверяется
 * Б*о*льшая часть фишинг-сайтов расположены на НЕ хакерских хостингах, расположены там давно и не удаляются
 * Несмотря на достаточно объемные рассылки по ЛС в "одноклассниках" лишь немногие из доменов где-то упомянуты в интернете в общем доступе (т.е так, что бы это мог прочитать поисковый бот) - т.е одним людям это неинтересно, другие на это, так сказать, клюют - вот и выходит, что фишинг до сих пор продолжает процветать. 
И с таким грамотным подходом к организации фишинг рассылок (много доменов платных и третьего уровня) анти-фишинг функции антивирусов тут приносят не особо много пользы.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Rampant

По ссылке со скрина, я попал на одноклассники-бонус)

----------


## priv8v

> По ссылке со скрина, я попал на одноклассники-бонус)


Этот домен был вчера только зарегистрирован. Поэтому в списке доменов в первом посте его нет.
 :Smiley:

----------


## bolshoy kot

Зашел на "Одноклассники бонус", ввел "[email protected]" в первое поле, "loxotron" во второе, предложили:
"Чтобы принять участие в акции "Звезда - гарантируют одноклассники",
Вам необходимо отправить SMS сообщение

Для России на номер XXXXс текстом 54*1 451
Для Латвии на номер XXXXс текстом 54*1 451
Для Эстонии на номер XXXXXс текстом 54*1 451
Для Германии на номер XXXXX с текстом 5*41 451
Для Литвы на номер XXXX с текстом 54*1 451
"
X и * - знаками заменил часть цифр

----------


## priv8v

да всем такое предлагают))
что вы хотели этим сказать?

----------


## valho

rating.tu2.ru
Одноклассники - агент одноклассники http://www.virustotal.com/analisis/4...899-1243777581 
Вконтакте - рейтинг Java-приложение, его там правда на данный момент нет.
Qip - http://www.virustotal.com/analisis/8...09f-1243778159
Проги с вирусами, пароли ворует, вконтакте рейтинг отправляет смс на платные номера

----------


## priv8v

Ууу...
Ну, это совсем убого. Даже домен регнуть жаба задушила...

----------


## valho

У того кто это так делает домен tu2.ru поддомены как раз лохотроны все, где одноклассников с контактёрами и киповцами разводят, где работу предлагают, по крайне мере уже несколько видел   :Smiley:

----------


## priv8v

Если не ошибаюсь, то tu2.ru принадлежит хостингу hostland.su.

----------


## valho

Ах ну да, значит это всё таки бесплатные похоже, ошибся  :Sad: 
не посмотрел whois...

----------


## ScratchyClaws

> У того кто это так делает домен tu2.ru поддомены как раз лохотроны все,


черезчур смелое суждение  :Smiley:  у моего проекта там сайт висит.... скажу сразу с компьютерной темой совсем не связанный. 
Хостинг у них удобный просто и регают быстро, вот и всё.

----------


## valho

Ну я ж сказал что ошибся  :Smiley: 
tu2 просто человек сто в воте уже заблочило, а tu1 пустой  :Smiley:

----------


## ScratchyClaws

если бы они ещё давали выбирать, на данный момент почти всё (если не всё) на tu2 регится.

----------


## bolshoy kot

> да всем такое предлагают))
> что вы хотели этим сказать?


Что это развод на деньги, а не простая кража пароля.

----------


## priv8v

> Что это развод на деньги, а не простая кража пароля.


я про это писал в первом посте в этой теме, вы просто невнимательно читали:




> Там из пользователя пытаются "выжать" логин/пароль (это уже стандартная операция при фишинге и не вызывает ни у кого удивления) + деньги (предлагают отправить СМС для участия в конкурсе/получения призов.


 :Smiley:

----------


## AS007

Вот еще сайт - закос под Одноклассников



```
http://karea.ru/

domain:     KAREA.RU
type:       CORPORATE
nserver:    ns1.brokenmail.ru.
nserver:    ns2.brokenmail.ru.
state:      REGISTERED, DELEGATED, VERIFIED
person:     Private person
phone:      +7 89611521456355
e-mail:     [email protected]
registrar:  REGRU-REG-RIPN
created:    2009.12.20
paid-till:  2010.12.20
source:     TCI

IP Address: 95.169.188.141
IP Location: Germany - Thuringen - Erfurt - Keyweb Ag Ip Network
```

----------


## Zin

Гм... а скажите а сайт хттп:odnoklasniki.ru (с одной s) это тоже фишинговый?

----------


## Bacardi

Фишинг будет в том случае, если сайт полностью скопирован!
Одна буква "S" и разный дизайн = свобода распространения!

----------


## valho

> Гм... а скажите а сайт хттп:odnoklasniki.ru (с одной s) это тоже фишинговый?


 сайты расположены на одном адресе:



> odnoklasniki.kz
> odnoklassniki.ua
> www.odnoklasniki.ua
> www.odnoklassniki.kz
> www.odnoklassniki.md
> www.odnoklassniki.ru
> www.odnoklassniki.ua
> znakomstva.odnoklassniki.ru

----------


## ISO

Очередной фишинг  :"http://": odnoklalssniki.ru/




> odnoklalssniki.ru
> 
> Ivan S Frolov
> Phone: +7 916 7449343
> sergeeeeyСОБАКАmail.ru
> 
> ns1.r01.ru.
> ns2.r01.ru.
> 
> ...


Лишняя букавка l прям незаметная, минуты три рассматривал, получив ссылку в аську с предложением посмотреть своё фото.

----------

