Фишинг на Одноклассниках

[priv8v]

Еще пару слов о фишинге.

###
Началось так:

Читал веблог Лаборатории Касперского и в статье от 18 мая 2009 | 23:59 MSK (про фишинг на "однокласниках") встретил такой небольшой скрин:



На картинке свободно можно разобрать адрес - это и было мной сделано. При переходе по адресу был редирект на odnoklassniki-priz.ru.

Затем, используя полученные данные, начал их обработку и увеличение в хуизе, гугле, истории регистрации доменов, в ЖЖ и т.д

Итого вышло: один человек или группа лиц уже давно занимаются фишингом на одноклассниках в достаточно крупных объемах. Для этого у них зарегистрировано много адресов (доменов) как на бесплатных хостингах, так и в зоне .ru. Ссылки на сайты с доменом третьего уровня используются чаще всего в ссылках при рассылке ЛС в социальной сети, а уже с них через редирект пользователь попадает на сайт с доменом в зоне .ru, имя которого созвучно названию социальной сети.
Там из пользователя пытаются "выжать" логин/пароль (это уже стандартная операция при фишинге и не вызывает ни у кого удивления) + деньги (предлагают отправить СМС для участия в конкурсе/получения призов.

Некоторые из найденных мной доменов уже использовались при фишинге, некоторые нет, но это не так важно.
Ниже представлен список доменов от этой группы хакеров (или он один), через 2 пробела после адреса идет адрес почты к которой привязан этот домен.
То, что ниже все домены принадлежат одной группе свидетельствуют много фактов: одинаковые адреса почты, сходные имена сайтов, некоторые домены зарегистрированы в один день, одинаковые хостинги, со многих адресов идут редиректы на адрес, который я уже упоминал выше... и т.д

Код:

odnoklassniki-elita.ru  [email protected]
odnoklassniki-best.ru  [email protected]
odnoklassniki-to-you.ru  [email protected]
odnoklassniki-triumf.ru  [email protected]
odnoklassniki-priz.ru  [email protected]
odnoklassniki-vips.ru  [email protected]
odnoklassniki-for-vip.ru [email protected]
odnoklassniki-newyear.ru [email protected]
odnoklassniki-secret.ru  [email protected]
odnoklassniki-love.ru   [email protected]
odnoklassniki-reals.ru  [email protected]
odnoklassniki-vip-status.ru  [email protected]
odnoklassniki-session.ru  [email protected]
odnoklassniki-elite.ru  [email protected]

elita-online.ru  [email protected]
best-vip.ru  [email protected]
gold-elita.ru  [email protected]
top-elita.ru  [email protected]
spec-elita.ru  [email protected]
best-akcya.ru  [email protected]
akcya-2009.ru   [email protected]
best-plus.ru  [email protected]
online-akcya.ru  [email protected]
best-akcya.ru   [email protected]
od-2009.ru  [email protected]
gold-user.ru  [email protected]
top-gold.ru  [email protected]
top-elita.ru   [email protected]

Естественно, это не все их домены и не все домены, что я нашел. Некоторые нуждаются в более пристальной проверке, некоторые не так явно можно отнести к этой группе хакеров...

###


Краткий вывод:
* Из фишинга теперь пытаются выжать все, что можно (хотя недоставало ифрейма на связку эксплоитов)
* Это дело поставлено на поток и домены для этого даже в зоне .ru регистрируются пачками
* То, что при регистрации в зоне .ru требуются паспортные данные не останавливает мошенников: они используют либо реальные чужие данные (не свои же...), либо пишут неверные - т.к это не проверяется
* Большая часть фишинг-сайтов расположены на НЕ хакерских хостингах, расположены там давно и не удаляются
* Несмотря на достаточно объемные рассылки по ЛС в "одноклассниках" лишь немногие из доменов где-то упомянуты в интернете в общем доступе (т.е так, что бы это мог прочитать поисковый бот) - т.е одним людям это неинтересно, другие на это, так сказать, клюют - вот и выходит, что фишинг до сих пор продолжает процветать.
И с таким грамотным подходом к организации фишинг рассылок (много доменов платных и третьего уровня) анти-фишинг функции антивирусов тут приносят не особо много пользы.

[Rampant]

По ссылке со скрина, я попал на одноклассники-бонус)

[priv8v]

По ссылке со скрина, я попал на одноклассники-бонус)

Этот домен был вчера только зарегистрирован. Поэтому в списке доменов в первом посте его нет.

[bolshoy kot]

Зашел на "Одноклассники бонус", ввел "[email protected]" в первое поле, "loxotron" во второе, предложили:
"Чтобы принять участие в акции "Звезда - гарантируют одноклассники",
Вам необходимо отправить SMS сообщение

Для России на номер XXXXс текстом 54*1 451
Для Латвии на номер XXXXс текстом 54*1 451
Для Эстонии на номер XXXXXс текстом 54*1 451
Для Германии на номер XXXXX с текстом 5*41 451
Для Литвы на номер XXXX с текстом 54*1 451
"
X и * - знаками заменил часть цифр

[priv8v]

да всем такое предлагают))
что вы хотели этим сказать?

[valho]

rating.tu2.ru
Одноклассники - агент одноклассники http://www.virustotal.com/analisis/4...899-1243777581
Вконтакте - рейтинг Java-приложение, его там правда на данный момент нет.
Qip - http://www.virustotal.com/analisis/8...09f-1243778159
Проги с вирусами, пароли ворует, вконтакте рейтинг отправляет смс на платные номера

[priv8v]

Ууу...
Ну, это совсем убого. Даже домен регнуть жаба задушила...

[valho]

У того кто это так делает домен tu2.ru поддомены как раз лохотроны все, где одноклассников с контактёрами и киповцами разводят, где работу предлагают, по крайне мере уже несколько видел

[priv8v]

Если не ошибаюсь, то tu2.ru принадлежит хостингу hostland.su.

[valho]

Ах ну да, значит это всё таки бесплатные похоже, ошибся
не посмотрел whois...

[ScratchyClaws]

У того кто это так делает домен tu2.ru поддомены как раз лохотроны все,

черезчур смелое суждение у моего проекта там сайт висит.... скажу сразу с компьютерной темой совсем не связанный.
Хостинг у них удобный просто и регают быстро, вот и всё.

[valho]

Ну я ж сказал что ошибся
tu2 просто человек сто в воте уже заблочило, а tu1 пустой

[ScratchyClaws]

если бы они ещё давали выбирать, на данный момент почти всё (если не всё) на tu2 регится.

[bolshoy kot]

да всем такое предлагают))
что вы хотели этим сказать?

Что это развод на деньги, а не простая кража пароля.

[priv8v]

Что это развод на деньги, а не простая кража пароля.

я про это писал в первом посте в этой теме, вы просто невнимательно читали:

Там из пользователя пытаются "выжать" логин/пароль (это уже стандартная операция при фишинге и не вызывает ни у кого удивления) + деньги (предлагают отправить СМС для участия в конкурсе/получения призов.

[AS007]

Вот еще сайт - закос под Одноклассников

Код:

http://karea.ru/

domain:     KAREA.RU
type:       CORPORATE
nserver:    ns1.brokenmail.ru.
nserver:    ns2.brokenmail.ru.
state:      REGISTERED, DELEGATED, VERIFIED
person:     Private person
phone:      +7 89611521456355
e-mail:     [email protected]
registrar:  REGRU-REG-RIPN
created:    2009.12.20
paid-till:  2010.12.20
source:     TCI

IP Address: 95.169.188.141
IP Location: Germany - Thuringen - Erfurt - Keyweb Ag Ip Network

[Zin]

Гм... а скажите а сайт хттп:odnoklasniki.ru (с одной s) это тоже фишинговый?

[Bacardi]

Фишинг будет в том случае, если сайт полностью скопирован!
Одна буква "S" и разный дизайн = свобода распространения!

[valho]

Гм... а скажите а сайт хттп:odnoklasniki.ru (с одной s) это тоже фишинговый?

сайты расположены на одном адресе:

odnoklasniki.kz
odnoklassniki.ua
www.odnoklasniki.ua
www.odnoklassniki.kz
www.odnoklassniki.md
www.odnoklassniki.ru
www.odnoklassniki.ua
znakomstva.odnoklassniki.ru

[ISO]

Очередной фишинг odnoklalssniki.ru/

odnoklalssniki.ru

Ivan S Frolov
Phone: +7 916 7449343
sergeeeeyСОБАКАmail.ru

ns1.r01.ru.
ns2.r01.ru.

Google Page Rank: No Data
Alexa Traffic Rank: No Data

Создан: 2010.03.28
Истекает: 2011.03.28
Источник: whois.ripn.net

Лишняя букавка l прям незаметная, минуты три рассматривал, получив ссылку в аську с предложением посмотреть своё фото.