Фишинг на Одноклассниках

Еще пару слов о [URL="https://www.anti-malware.ru/threats/phishing"]фишинге[/URL].

###
Началось так:

[B]Ч[/B]итал веблог Лаборатории Касперского и в статье от 18 мая 2009 | 23:59 MSK (про фишинг на "однокласниках") встретил такой небольшой скрин:

[IMG]http://images.kaspersky.com/ru/pictures/vlweblog/207758867.png[/IMG]

[B]Н[/B]а картинке свободно можно разобрать адрес - это и было мной сделано. При переходе по адресу был редирект на odnoklassniki-priz.ru.

[B]З[/B]атем, используя полученные данные, начал их обработку и увеличение в хуизе, гугле, истории регистрации доменов, в ЖЖ и т.д

[B]Итого вышло[/B]: один человек или группа лиц уже давно занимаются фишингом на одноклассниках в достаточно крупных объемах. Для этого у них зарегистрировано много адресов (доменов) как на бесплатных хостингах, так и в зоне .ru. Ссылки на сайты с доменом третьего уровня используются чаще всего в ссылках при рассылке ЛС в социальной сети, а уже с них через редирект пользователь попадает на сайт с доменом в зоне .ru, имя которого созвучно названию социальной сети.
Там из пользователя пытаются "выжать" логин/пароль (это уже стандартная операция при фишинге и не вызывает ни у кого удивления) + деньги (предлагают отправить СМС для участия в конкурсе/получения призов.

[B]Н[/B]екоторые из найденных мной доменов уже использовались при фишинге, некоторые нет, но это не так важно.
Ниже представлен список доменов от этой группы хакеров (или он один), через 2 пробела после адреса идет адрес почты к которой привязан этот домен.
То, что ниже все домены принадлежат одной группе свидетельствуют много фактов: одинаковые адреса почты, сходные имена сайтов, некоторые домены зарегистрированы в один день, одинаковые хостинги, со многих адресов идут редиректы на адрес, который я уже упоминал выше... и т.д

[CODE]odnoklassniki-elita.ru [email protected]
odnoklassniki-best.ru [email protected]
odnoklassniki-to-you.ru [email protected]
odnoklassniki-triumf.ru [email protected]
odnoklassniki-priz.ru [email protected]
odnoklassniki-vips.ru [email protected]
odnoklassniki-for-vip.ru [email protected]
odnoklassniki-newyear.ru [email protected]
odnoklassniki-secret.ru [email protected]
odnoklassniki-love.ru [email protected]
odnoklassniki-reals.ru [email protected]
odnoklassniki-vip-status.ru [email protected]
odnoklassniki-session.ru [email protected]
odnoklassniki-elite.ru [email protected]

elita-online.ru [email protected]
best-vip.ru [email protected]
gold-elita.ru [email protected]
top-elita.ru [email protected]
spec-elita.ru [email protected]
best-akcya.ru [email protected]
akcya-2009.ru [email protected]
best-plus.ru [email protected]
online-akcya.ru [email protected]
best-akcya.ru [email protected]
od-2009.ru [email protected]
gold-user.ru [email protected]
top-gold.ru [email protected]
top-elita.ru [email protected][/CODE]

[B]Е[/B]стественно, это не все их домены и не все домены, что я нашел. Некоторые нуждаются в более пристальной проверке, некоторые не так явно можно отнести к этой группе хакеров...

###


[I][B]Краткий вывод:[/B] [/I]
* Из фишинга теперь пытаются выжать все, что можно (хотя недоставало ифрейма на связку эксплоитов)
* Это дело поставлено на поток и домены для этого даже в зоне .ru регистрируются пачками
* То, что при регистрации в зоне .ru требуются паспортные данные не останавливает мошенников: они используют либо реальные чужие данные (не свои же...), либо пишут неверные - т.к это не проверяется
* Б[B]о[/B]льшая часть фишинг-сайтов расположены на НЕ хакерских хостингах, расположены там давно и не удаляются
* Несмотря на достаточно объемные рассылки по ЛС в "одноклассниках" лишь немногие из доменов где-то упомянуты в интернете в общем доступе (т.е так, что бы это мог прочитать поисковый бот) - т.е одним людям это неинтересно, другие на это, так сказать, клюют - вот и выходит, что фишинг до сих пор продолжает процветать.
И с таким грамотным подходом к организации фишинг рассылок (много доменов платных и третьего уровня) анти-фишинг функции антивирусов тут приносят не особо много пользы.

По ссылке со скрина, я попал на одноклассники-бонус)

[QUOTE]По ссылке со скрина, я попал на одноклассники-бонус)[/QUOTE]
Этот домен был вчера только зарегистрирован. Поэтому в списке доменов в первом посте его нет.
:)

Зашел на "Одноклассники бонус", ввел "[email protected]" в первое поле, "loxotron" во второе, предложили:
"Чтобы принять участие в акции "Звезда - гарантируют одноклассники",
Вам необходимо отправить SMS сообщение

Для России на номер XXXXс текстом 54*1 451
Для Латвии на номер XXXXс текстом 54*1 451
Для Эстонии на номер XXXXXс текстом 54*1 451
Для Германии на номер XXXXX с текстом 5*41 451
Для Литвы на номер XXXX с текстом 54*1 451
"
X и * - знаками заменил часть цифр

да всем такое предлагают))
что вы хотели этим сказать?

rating.tu2.ru
Одноклассники - агент одноклассники [url]http://www.virustotal.com/analisis/446803430a9e869a5b92cae02823330a3c43be742a21f42be2ed43bf6ab46899-1243777581[/url]
Вконтакте - рейтинг Java-приложение, его там правда на данный момент нет.
Qip - [url]http://www.virustotal.com/analisis/8614dc119189a137c2c4fdb9dbf11802ef16443606262300d1459daa8150f09f-1243778159[/url]
Проги с вирусами, пароли ворует, вконтакте рейтинг отправляет смс на платные номера
[URL=http://img198.imageshack.us/img198/115/ratingtu2ru.png][IMG]http://img198.imageshack.us/img198/115/ratingtu2ru.th.png[/IMG][/URL]

Ууу...
Ну, это совсем убого. Даже домен регнуть жаба задушила...

У того кто это так делает домен tu2.ru поддомены как раз лохотроны все, где одноклассников с контактёрами и киповцами разводят, где работу предлагают, по крайне мере уже несколько видел :)

Если не ошибаюсь, то tu2.ru принадлежит хостингу hostland.su.

Ах ну да, значит это всё таки бесплатные похоже, ошибся :(
не посмотрел whois...

[QUOTE=valho;409814]У того кто это так делает домен tu2.ru поддомены как раз лохотроны все, [/QUOTE]

черезчур смелое суждение :) у моего проекта там сайт висит.... скажу сразу с компьютерной темой совсем не связанный.
Хостинг у них удобный просто и регают быстро, вот и всё.

Ну я ж сказал что ошибся :)
tu2 просто человек сто в воте уже заблочило, а tu1 пустой :)

если бы они ещё давали выбирать, на данный момент почти всё (если не всё) на tu2 регится.

[QUOTE=priv8v;406227]да всем такое предлагают))
что вы хотели этим сказать?[/QUOTE]
Что это развод на деньги, а не простая кража пароля.

[QUOTE]Что это развод на деньги, а не простая кража пароля.[/QUOTE]
я про это писал в первом посте в этой теме, вы просто невнимательно читали:

[QUOTE]Там из пользователя пытаются "выжать" логин/пароль (это уже стандартная операция при фишинге и не вызывает ни у кого удивления) + деньги (предлагают отправить СМС для участия в конкурсе/получения призов.[/QUOTE]
:)

Вот еще сайт - закос под Одноклассников

[CODE]http://karea.ru/

domain: KAREA.RU
type: CORPORATE
nserver: ns1.brokenmail.ru.
nserver: ns2.brokenmail.ru.
state: REGISTERED, DELEGATED, VERIFIED
person: Private person
phone: +7 89611521456355
e-mail: [email protected]
registrar: REGRU-REG-RIPN
created: 2009.12.20
paid-till: 2010.12.20
source: TCI

IP Address: 95.169.188.141
IP Location: Germany - Thuringen - Erfurt - Keyweb Ag Ip Network[/CODE]

Гм... а скажите а сайт хттп:odnoklasniki.ru (с одной s) это тоже фишинговый?

Фишинг будет в том случае, если сайт полностью скопирован!
Одна буква "S" и разный дизайн = свобода распространения!

[QUOTE=Zin;579459]Гм... а скажите а сайт хттп:odnoklasniki.ru (с одной s) это тоже фишинговый?[/QUOTE]

сайты расположены на одном адресе:
[QUOTE]odnoklasniki.kz
odnoklassniki.ua
www.odnoklasniki.ua
www.odnoklassniki.kz
www.odnoklassniki.md
www.odnoklassniki.ru
www.odnoklassniki.ua
znakomstva.odnoklassniki.ru[/QUOTE]

Очередной фишинг :http:odnoklalssniki.ru/

[QUOTE]odnoklalssniki.ru

Ivan S Frolov
Phone: +7 916 7449343
sergeeeeyСОБАКАmail.ru

ns1.r01.ru.
ns2.r01.ru.

Google Page Rank: No Data
Alexa Traffic Rank: No Data

Создан: 2010.03.28
Истекает: 2011.03.28
Источник: whois.ripn.net[/QUOTE]
Лишняя букавка l прям незаметная, минуты три рассматривал, получив ссылку в аську с предложением посмотреть своё фото.