Читал веблог Лаборатории Касперского и в статье от 18 мая 2009 | 23:59 MSK (про фишинг на "однокласниках") встретил такой небольшой скрин:
На картинке свободно можно разобрать адрес - это и было мной сделано. При переходе по адресу был редирект на odnoklassniki-priz.ru.
Затем, используя полученные данные, начал их обработку и увеличение в хуизе, гугле, истории регистрации доменов, в ЖЖ и т.д
Итого вышло: один человек или группа лиц уже давно занимаются фишингом на одноклассниках в достаточно крупных объемах. Для этого у них зарегистрировано много адресов (доменов) как на бесплатных хостингах, так и в зоне .ru. Ссылки на сайты с доменом третьего уровня используются чаще всего в ссылках при рассылке ЛС в социальной сети, а уже с них через редирект пользователь попадает на сайт с доменом в зоне .ru, имя которого созвучно названию социальной сети.
Там из пользователя пытаются "выжать" логин/пароль (это уже стандартная операция при фишинге и не вызывает ни у кого удивления) + деньги (предлагают отправить СМС для участия в конкурсе/получения призов.
Некоторые из найденных мной доменов уже использовались при фишинге, некоторые нет, но это не так важно.
Ниже представлен список доменов от этой группы хакеров (или он один), через 2 пробела после адреса идет адрес почты к которой привязан этот домен.
То, что ниже все домены принадлежат одной группе свидетельствуют много фактов: одинаковые адреса почты, сходные имена сайтов, некоторые домены зарегистрированы в один день, одинаковые хостинги, со многих адресов идут редиректы на адрес, который я уже упоминал выше... и т.д
Естественно, это не все их домены и не все домены, что я нашел. Некоторые нуждаются в более пристальной проверке, некоторые не так явно можно отнести к этой группе хакеров...
###
Краткий вывод:
* Из фишинга теперь пытаются выжать все, что можно (хотя недоставало ифрейма на связку эксплоитов)
* Это дело поставлено на поток и домены для этого даже в зоне .ru регистрируются пачками
* То, что при регистрации в зоне .ru требуются паспортные данные не останавливает мошенников: они используют либо реальные чужие данные (не свои же...), либо пишут неверные - т.к это не проверяется
* Большая часть фишинг-сайтов расположены на НЕ хакерских хостингах, расположены там давно и не удаляются
* Несмотря на достаточно объемные рассылки по ЛС в "одноклассниках" лишь немногие из доменов где-то упомянуты в интернете в общем доступе (т.е так, что бы это мог прочитать поисковый бот) - т.е одним людям это неинтересно, другие на это, так сказать, клюют - вот и выходит, что фишинг до сих пор продолжает процветать.
И с таким грамотным подходом к организации фишинг рассылок (много доменов платных и третьего уровня) анти-фишинг функции антивирусов тут приносят не особо много пользы.
Последний раз редактировалось priv8v; 22.05.2009 в 00:16.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Зашел на "Одноклассники бонус", ввел "[email protected]" в первое поле, "loxotron" во второе, предложили:
"Чтобы принять участие в акции "Звезда - гарантируют одноклассники",
Вам необходимо отправить SMS сообщение
Для России на номер XXXXс текстом 54*1 451
Для Латвии на номер XXXXс текстом 54*1 451
Для Эстонии на номер XXXXXс текстом 54*1 451
Для Германии на номер XXXXX с текстом 5*41 451
Для Литвы на номер XXXX с текстом 54*1 451
"
X и * - знаками заменил часть цифр
У того кто это так делает домен tu2.ru поддомены как раз лохотроны все, где одноклассников с контактёрами и киповцами разводят, где работу предлагают, по крайне мере уже несколько видел
У того кто это так делает домен tu2.ru поддомены как раз лохотроны все,
черезчур смелое суждение у моего проекта там сайт висит.... скажу сразу с компьютерной темой совсем не связанный.
Хостинг у них удобный просто и регают быстро, вот и всё.
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
если бы они ещё давали выбирать, на данный момент почти всё (если не всё) на tu2 регится.
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
Что это развод на деньги, а не простая кража пароля.
я про это писал в первом посте в этой теме, вы просто невнимательно читали:
Там из пользователя пытаются "выжать" логин/пароль (это уже стандартная операция при фишинге и не вызывает ни у кого удивления) + деньги (предлагают отправить СМС для участия в конкурсе/получения призов.