PDA

Просмотр полной версии : Интересное кино...



ed13
15.08.2007, 09:43
Народ, прокомментируйте, плз, мне несколько непонятна суть... :?
В папку спама на Яндексе свалилось следующее письмо:
Дата: 15.08.07 14:04
От кого: security@yandex.ru <security@yandex.ru>
Кому: ******@yandex.ru
Тема: Ввод дополнительных мер безопасности

Уважаемый пользователь,

В связи с участившимися случаями мошенничества, связанными с несанкционированным доступом к сервисам Яндекса, опираясь на пункт 9.1. пользовательского соглашения, уведомляем вас о введении дополнительных мер безопасности , которые позволят вам получать сообщения о попытках доступа в ваш аккаунт с незарегистрированных IP-адресов и своевременно принимать меры по пресечению
похищения личной информации (контактные данные, переписка ), средств в системе "Яндекс.Деньги", показов в системе "Яндекс.Директ".
Согласно пункта 9.1.1. Пользовательского соглашения , вы должны в трехдневный срок, после получения данного уведомления, зарегистрировать свой IP-адрес в системе.
Для регистрации проследуйте по линку: httр://www.pаssport-yаndex.ru/?mode=GETIP&sauth=retire&uid=O&retpath=http://yandex.ru
и следуйте инструкциям.
(в ссылке латинские "а" заменены на русские, чтобы не тыцкали почем зря)
Сразу же возникает несколько вопросов...
1. Если это официальное сообщение Яндекса, то почему антиспам Яндекса маркирует его как спам?
2. В пользовательском сообщении Яндекса есть пункт 9, но нет пунктов 9.1 и 9.1.1
3. Ссылка ведет действительно на Яндекс, либо на сайт чрезвычайно на него похожий, вплоть до всех ссылок.
4. На фига все это самому Яндексу нужно?
5. Если это не Яндекс, то на фига все это нужно злодею? Какой ему толк от моего айпишника?

Макcим
15.08.2007, 09:48
Это мошенники. Покажите RFC заголовок этого письма и отправьте копию письма в саппорт яндекса с описанием ситуации.

Jolly Rojer
15.08.2007, 09:57
Банальная социнжинерия! "_чttр://www.pаssport-yаndex.ru/?mode=GETIP&sauth=retire&uid=O&retpath=http://yandex.ru"
100&#37; подмена ссылки! перешли бы на форму напоминающую яндекс деньги и повторили бы ввод данных которые потом были использованы противозаконно. а точнее против вас с воровством ваших денег.

icon
15.08.2007, 10:13
domain: PASSPORT-YANDEX.RU
type: CORPORATE
state: REGISTERED, NOT DELEGATED
person: Private Person
phone: +7 495 3942402
e-mail: rasulabdulla@hostmail.com
registrar: NAUNET-REG-RIPN
created: 2007.08.14
paid-till: 2008.08.14
source: TC-RIPN

Правильный адрес passport.yandex.ru
Исходный текст страниц также интересно сравнить

ed13
15.08.2007, 11:44
Я прогулялся по первой части ссылки www.passport-yandex.ru, ради любопытства... Весьма похоже, что это действительно входной сайт Яндекса... Скрин приаттачил к посту...
А вот ответ саппорта Яндекса:
Благодарим за сообщение! Это была попытка получить Ваши регистрационные
данные, ни в коем случае не вводите их на незнакомых сайтах. Обратный адрес в
этом письме поддельный.
Мы уже принимаем все возможные меры по закрытию указанного сайта.
Напоминаем Вам, что Яндекс никогда не рассылает подобные письма, и мы не
рекомендуем следовать инструкциям в них. Наши советы и рекомендации Вы найдете
на странице http://help.yandex.ru/passport/?id=888369.
--

--
С уважением, Валя Метёлкина
Служба поддержки Яндекс.Ру

Непонятен механизм подставы... Еще раз просмотрел ссылку в текстовом режиме, никаких засад в виде скрытых переходов вроде бы нет... По всей вероятности засада таится в этих командах:
?mode=GETIP&sauth=retire&uid=O&retpath, но механизм мне непонятен... Разъясните, плз...

Добавлено через 10 минут

Усе, разобрался, сравнив исходники поддельной и истиной страницы......

Макcим
15.08.2007, 11:51
Покажите RFC заголовок письма, мне очень интересно посмотреть там одну деталь...

ed13
15.08.2007, 12:08
Maxim, поздно... Я письмо уже убил... :)