Фишинг без шопинга
3 апреля 2018
Недавно мы получили сообщение от нашего пользователя, который столкнулся с весьма интересной фишинговой рассылкой.
Получил письмо от реального интернет магазина о подтверждении почтового адреса. Сам на магазин не заходил и не регистрировался - особенность в имени пользователя в личном магазине все произвольное кроме почтового адреса а имя содержит предложение зайти на ссылку выглядит как обращение самого магазина.
Ему пришло электронное письмо следующего содержания:
Здравствуйте, У вас на счету 261.21$ можете взять http://******snl.tk.
Уважаемый пользователь интернет магазина *******.
Ваши данные для авторизации на сайте:
Логин: C8MlpK6kicr
Пароль: z0gPvwlN
Пожалуйста перейдите по ссылке для активации вашего аккаунта:
Активировать аккаунт
С Уважением, Магазин бытовой техники *****.
*******t@yandex.ru
Посмотрим, что не так с этим письмом.
Интернет-магазин сообщает о том, что на счету имеется 261 доллар и предлагает забрать их по ссылке. Уже странно, не правда ли?
Но это только начало! Письмо написано от имени существующего интернет-магазина, однако указанный в ссылке адрес не только не имеет к нему никакого отношения, но еще и находится в доменной зоне .TK, принадлежащей островному государству Токелау.
Уже этой информации достаточно для того, чтобы отправить письмо в корзину и никогда больше не вспоминать о нем. Но мы пойдем до конца и покажем, как действуют сетевые мошенники.
Дальнейшие действия выполнялись в контролируемых условиях и исключительно в целях демонстрации потенциальных угроз. Пожалуйста, не повторяйте их.
Веб-антивирус SpIDer Gate в составе Dr.Web Security Space блокирует ресурс, на который ведет ссылка, поэтому мы на время отключим защиту и попытаемся перейти по ссылке.
Браузер выдает предупреждение: он замечает, что ссылка содержит некий идентификатор пользователя.
Интернет-магазины обычно так себя не ведут. Но это только начало. Спустя несколько секунд срабатывает переадресация, которая отправляет нас вместо магазина на совершенно другой ресурс.
Департамент социального обеспечения, доменное имя которого, согласно данным Whois, зарегистрировано через панамскую компанию, а сам сайт хостится на серверах, расположенных во Франции? Тут стоило бы в очередной раз остановиться, закрыть вкладку в браузере и удалить письмо, но мы настроены идти до конца.
Нажимаем на кнопку «Войти для проверки и получения выплаты соц. начислений» и попадаем на страницу, на которой нам заботливо предлагают поделиться своими персональными данными.
Заполняем форму, используя для этого генератор случайных текстов и попадаем на вот такую страницу.
Самое время проверить, ждут ли нас какие-нибудь выплаты.
Конечно же, ждут, требуется лишь открыть личный социальный счет.
Вообще, только лишь этому сайту можно было бы посвятить отдельную статью с детальным разбором. Так, например, на главной странице размещены отзывы «довольных пользователей», которые обнаружили, что им полагается социальная выплата. И таких отзывов там (внимание!) – более 84 000. Только вот прочитать получится лишь первые 12, кнопка, отвечающая за просмотр других комментариев, на самом деле является фейковой.
Итак, мы близки к финалу. И развязка, сразу скажем, будет довольно неожиданной. Попытка открыть личный социальный счет приводит к переадресации на очередной ресурс (к слову, также блокируемый веб-антивирусом Dr.Web), который в достаточно завуалированной форме предлагает заплатить 170 рублей при помощи банковской карты или другим удобным способом.
Антивирусная правДА! рекомендует
Что мы имеем в итоге? Письмо из интернет-магазина, которое привело нас на фейковый сайт социальных выплат, который попытался списать 170 рублей (а может, и другую сумму, мы не стали проверять) с банковского счета или из электронного кошелька.
Человек, прошедший эту цепочку до конца, не только не получит никаких денег, но и предоставит в распоряжение мошенников свои персональные данные и платежные реквизиты.
Помните, что информация о госуслугах и социальной защите размещается исключительно на сайтах органов государственной власти.
P.S. Мы очень благодарны пользователю, который обратился к нам с этой историей, - и награждаем его трофеем «Неравнодушный».
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
ka_s
20:15:13 2019-07-03
Денисенко Павел Андреевич
22:43:34 2018-08-04
Неуёмный Обыватель
04:07:41 2018-06-12
anatol
20:33:52 2018-04-07
Lia00
03:26:56 2018-04-05
Liquor
22:54:17 2018-04-04
nahimovec
08:23:10 2018-04-04
egor783
06:47:17 2018-04-04
a13x
04:01:13 2018-04-04
Но ситуация нынче обыденная. Странно, что из этого целую статью слепили.
Andromeda
23:11:22 2018-04-03
Andromeda
23:04:21 2018-04-03
Альфа
22:37:49 2018-04-03
В...а
22:37:09 2018-04-03
stavkafon
22:19:06 2018-04-03
Littlefish
22:17:38 2018-04-03
@admin, спасибо за ваши разъяснения, помощь и поощрения, и конечно спасибо техподдержке за оперативное разруливание проблем.
Геральт
22:14:30 2018-04-03
Littlefish
22:08:23 2018-04-03
Littlefish
22:02:59 2018-04-03
Littlefish
21:59:55 2018-04-03
vla_va
21:47:29 2018-04-03
orw_mikle
21:31:08 2018-04-03
ek
21:19:33 2018-04-03
Marsn77
20:44:15 2018-04-03
Dvakota
20:41:17 2018-04-03
kva-kva
20:35:37 2018-04-03
Сергей
20:06:46 2018-04-03
Шалтай Александр Болтай
19:24:46 2018-04-03
Шалтай Александр Болтай
19:22:37 2018-04-03
Дмитрий
19:16:08 2018-04-03
razgen
19:06:17 2018-04-03
Вы считаете, что в рассматриваемом случае пользователь потеряет лишь только ту сумму которую будет перечислять собственноручно?
А при перечислении этих 170 руб., когда мы будем вводить все данные банковской карты на созданном этим мошенником ресурсе, разве он не сможет получить в свои руки все реквизиты нашей банковской карты, чтобы полностью очистить нашу карту?
GREII
19:03:45 2018-04-03
mk.insta
18:52:59 2018-04-03
Любитель пляжного футбола
18:03:50 2018-04-03
Пaвeл
17:51:39 2018-04-03
Пaвeл
17:47:53 2018-04-03
Наверное это заложено в человеческой природе?
Любитель пляжного футбола
17:42:19 2018-04-03
Очень интересная статья! Показали прямо всю анатомию сетевого мошенничества. Главное, раз этот лохотрон есть, значит, есть и те, кто на это ведётся. Хотя столько здесь несоответствий, даже то, что письмо якобы от магазина, а потом попадаешь каким-то неведомым образом на сайт какого-то фонда. Жуть просто, неужто глаза настолько застилает жадность, стремление лёгкой наживы, что мозги вовсе отключаются. Уплачу типа сейчас малость, а взамен получу большее. Но, переиначив русскую пословицу, с миру по нитке, и мошеннику кафтан. А если тот сайт настроен так, что мошеннику станут известны реквизиты карты (может, это и вовсе не платёжная страница), то потеряешь и большее, а не просто 170 руб.
Если мне не изменяет память, подобные письма мне ни разу не приходили. Только порой на ящик mail.ru поступал какой-то спам, хотя я адрес почти нигде не засвечивал, наверное, администрация mail.ru делилась данными со своими партнёрами, почтовый ящик я у них потом закрыл. Так чтобы к пользователю попал подобный спам, ему нужно преодолеть немало барьеров: адрес, если он непростой, должен стать известным мошеннику, письмо должно пройти антиспам, антивирус (при его наличии и смотря какой) может воспрепятствовать прохождению по ссылке. Ну а дальше барьером является разум человека и его трезвый рассудок. Бесплатный сыр бывает только в мышеловке. Но эта истина, похоже, будет вечной. Такова человеческая природа.
Пaвeл
17:36:29 2018-04-03
Не согласен. Я думаю и Остап Бендер бы не согласился.
zsergey
17:35:43 2018-04-03
La folle
17:27:40 2018-04-03
sanek-xf
17:21:53 2018-04-03
Пaвeл
17:17:10 2018-04-03
Damir
17:14:22 2018-04-03
Natalya_2017
16:39:06 2018-04-03
Toma
16:09:40 2018-04-03
egor783
15:16:34 2018-04-03
есть такой сервис кормушка мошенников e-pay. ссылки не даю, кому надо сам найдёт. официально это сервис по продаже инфотоваров. фактически - это дом для мошенников №1. и партнёров, которые не брезгуют обманывать доверчивых людей. в общем знаю всю эту кухню, так как помогаю вернуть деньги с этих лохотронов...
duduka
14:52:31 2018-04-03
vinnetou
13:52:28 2018-04-03
maghan
13:43:19 2018-04-03
Oleg
13:38:06 2018-04-03
Masha
13:26:37 2018-04-03