Если пристанет пристав

Чисто почта

добавить в избранное

Если пристанет пристав

Прочитали: 12622 Комментариев: 95 Рейтинг: 108

28 декабря 2018

Получив вот такое письмо, автор этого выпуска сперва озадачился и начал вспоминать, нет ли у него каких-либо долгов:

Но потом решил внимательно изучить сообщение.

Первое, на что следует обратить внимание, – это адрес отправителя. Домен указан верно, это действительно сайт Федеральной службы судебных приставов, а вот в название почтового аккаунта закралась ошибка. Скорее всего, отправители письма хотели написать no-reply@fssprus.ru (reply – «ответ» по-английски), такие ящики часто используются для рассылки автоматических уведомлений, но получилось no-replay@fssprus.ru (replay переводится как «переигровка» или «повтор», если речь идет о трансляции).

Откроем технический заголовок письма.

Ни намека на приставов! IP-адрес принадлежит гонконгскому провайдеру – как, собственно, и сайт netvigator.com. Отсюда вывод: даже если вы увидели в графе «Отправитель» знакомый адрес, это еще ничего не значит. Этому адресу доверять не стоит.

А теперь давайте посмотрим, куда ведет ссылка, которой нам предлагают воспользоваться, чтобы узнать подробности о задолженности. http://****espace.com/286899 — тут тоже нет ничего похожего на сайт федерального органа исполнительной власти.

При попытке перейти по ссылке из письма открывается диалоговое окно с предложением загрузить некий архив scan173.zip. Причем этот архив располагается отнюдь не на том сайте, на который мы перешли, а совсем на другом ресурсе… Теперь уже в зоне .RU.

Попытка загрузки архива прерывается антивирусом, обнаружившим внутри вредоносную программу. Так как мы делаем всё это на специально подготовленной виртуальной машине, продолжим эксперимент и отключим антивирус.

Не экспериментируйте с подобными файлами на своем компьютере! Все описываемые действия проводятся в специально созданной закрытой виртуальной среде.

В архиве – еще один архив, а в нем – исполняемый .JS файл. Загружаем его в облачный анализатор Dr.Web vxCube и видим следующую картину:

Похоже, находящийся в архиве JavaScript является загрузчиком вредоносной программы.

В том, что запуск этого скрипта не принесет ничего хорошего, мы не сомневались с самого начала, так что давайте оставим его и повнимательнее изучим схему распространения.

Архив загрузился на компьютер с интернет-сайта ******technology.ru. Это достаточно любопытный ресурс. На главной странице написано, что он принадлежит профессору «Т». Беглый поиск в сети показывает, что такой профессор действительно существует и проживает на территории Казахстана.

Вот только непонятно, принадлежит ли ему этот сайт на самом деле. Весь ресурс состоит из одной страницы, а при попытке кликнуть по любой кнопке или ссылке происходит загрузка того самого архива с вредоносным содержимым. Судя по всему, единственное предназначение сайта – распространение вредоносных программ. При этом ресурс располагается на технических площадях одного из крупнейших российских провайдеров.

Но мы ведь помним, что ссылка из письма вела на другой, промежуточный ресурс. Давайте заглянем и туда. Сайт *****space.com – это… сайт французского сантехника… По крайней мере, такое впечатление он должен создавать.

Но если приглядеться, становится заметно, что на странице отсутствует какая бы то ни было контактная информация, а при попытке нажать на кнопку… загружается архив с вредоносным содержимым с того самого русскоязычного сайта.

Можно было бы предположить, что эти сайты взломаны, но что-то подсказывает, что они были целенаправленно созданы для распространения вредоносных программ, а все упомянутые на них лица, начиная с профессоров и заканчивая сантехниками, – лишь ширма.

#почта #мошенничество #социальная_инженерия #Dr.Web_vxCube

Антивирусная правДА! рекомендует

Электронные рассылки часто используются для распространения вредоносных программ. Злоумышленники нередко прикрываются громкими именами и наименованиями государственных органов, чтобы убедить пользователя в необходимости совершения каких-либо действий.

Не торопитесь. Будьте спокойны и рассудительны. Изучите письмо, обращая внимание на правильность имеющихся в нем ссылок. Не скачивайте и не запускайте никакие файлы – вне зависимости от того, приложены ли они к письму или доступны по ссылкам.

Не отключайте антивирус и не забывайте устанавливать обновления.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

zitkss
20:34:52 2019-03-13

Как побороть спам???
Как побороть ложные рассылки и фиктивные штрафы???
Никак. Нужно учиться их фильтровать и выявлять. Быть более внимательными и грамотными. Повышать свою грамотность - это залог спокойной и безопасной жизни.

Любитель пляжного футбола Собкор
14:38:18 2019-01-13

@Alexander_V, кстати, отчасти подтверждается моя теория, что "у спамеров есть специальная программа, которая составляет возможные названия почтовых ящиков, комбинируя фамилии, имена, цифры и часто используемые слова. И эти "базы данных" кочуют где-то по закоулкам интернета от спамера к спамеру". (Цитата из моего сообщения здесь от 23:37:28 2018-12-28). Так на неделе я зашёл в свой спам-ящик (понадобился для регистрации), который не использовал несколько лет уж точно (лишь год назад заходил в ящик, чтобы поменять пароль на более стойкий к взлому). Использовал я этот ящик (название ящика sledizaslovami) по назначению от силы пару раз, быть может, в основном использую другой спам-ящик, на который спам как раз вообще не шлют. Так вот в июне прошлого года впервые пришло подобное сообщение, потом до конца года ещё 15 подобных, якобы от Сбербанка, Гугл, mail.ru и других организаций, в основном в них были ссылки, редко когда вложенные файлы. Смешно, конечно, было читать подобные послания. Хотелось ответить язвительно, но как-то неохота было этим заниматься. Но раз подобные письма шлют на удачу, значит, они всё же достигают адресата, и кто-то на них клюёт.
Впрочем, есть у меня одно предположение, что это могла быть "месть" сайта одного пляжнофутбольного клуба, которому я насолил в мае (впрочем, сами виноваты и заслужили это), но, полагаю, навряд ли.

Ruslan
10:15:00 2019-01-10

Используйте Dr.Web и забудьте о многих проблема! Спасибо за надежную защиту!

razgen Собкор
12:23:54 2019-01-09

@Sasha50,

Первый выпуск 2019 года можно будет прочитать 14 января.
https://news.drweb.ru/show/?i=13027&c=5&lng=ru&p=0

Sasha50 Собкор
06:21:42 2019-01-09 Именинник

Зашел, думал как и все - АП уже работает. Ан нет, ждем до 14-го.

Мирzagit
14:08:44 2019-01-07

Очень познавательно, спасибо за работу ))

razgen Собкор
12:21:20 2019-01-05

@Александр, с Днём рождения! Всего наилучшего!

eaglebuk
10:06:49 2019-01-05

Год назад одна девушка на работе открыла письмо "от пристава", все её файлы зашифровались (стоял не ДрВеб, а Аваст). Но так как она была новичком и работала первую неделю, ничего ценного не потерялось. После этого поставили ДрВеб, пока полёт нормальный)

artemisiya
00:16:38 2019-01-05

С Новым Годом, др.Веб! Всего Вам наилучшего!

Пaвeл Собкор
19:46:22 2019-01-04

@Lia00, С Днем рождения! Хорошего дня рождения! Отличных праздников!

Пaвeл Собкор
22:12:58 2019-01-03

@Александр, с Днем рождения! Всего наилучшего!

razgen Собкор
22:46:39 2019-01-02

@Пaвeл, спасибо. И вас также с наступившим 2019 годом!

Пaвeл Собкор
10:37:34 2019-01-02

Ну вот и Новый год пришел! С наступившим 2019 годом!

ddmmyy
18:36:41 2019-01-01

А зачем было замазывать поле "Кому" на 1-м и 3-ем скриншотах, если он открыт на 2-м? ))

Татьяна
08:54:40 2018-12-31

Дорогие друзья! Всех с Новым годом!
Будьте здоровы и счастливы! Успехов в Новом году!

Sasha50 Собкор
03:27:24 2018-12-30 Именинник

@posadkovSKB, И вы теперь из Африки пишите?

Sasha50 Собкор
03:25:42 2018-12-30 Именинник

@Любитель_пляжного_футбола, электронная почта для того и существует, чтобы ей пользоваться. И как бы не хотел, а она будет светиться, т.ч. в интернете не спрячишся.

I23
20:25:20 2018-12-29

Чтобы таких приставов антивирус снимал на раз!

Lenba
20:17:47 2018-12-29

Будем добры и внимательны не только к компьютерам, но и друг к другу

Zserg
20:13:33 2018-12-29

С Наступающим добрым годом!

Геральт Собкор
16:19:47 2018-12-29

Бдительность и комплексный антивирус=безопасность.

OlegNight
12:35:27 2018-12-29

@Любитель_пляжного_футбола, с фантазией(обычно)никак от слова "совсем".Криптовалютный кошелёк уже года 4 пытаются хакнуть по одной и той же схеме:письмо якобы от службы поддержки с сообщением о зачислении средств и ссылкой для проверки транзакции.Ссылка,разумеется,ведёт на левый ресурс))

I46
10:49:38 2018-12-29

наше спокойствие поможет антивирусу!

Попокатепетль
10:45:12 2018-12-29

Всех с наступающим Новым годом!!!

Vlad
09:47:32 2018-12-29

у нас недавно главного пристава на взятке взяли. закрывал глаза на крупных должников, вместо того чтоб казну пополнять свой карман пополнял, а показатели выбиванием долгов с простых людей делал.
так что что приставы сейчас что вирусописатели негодяи однозначные. тюрьма по обоим плачет.

Sasha50 Собкор
09:34:06 2018-12-29 Именинник

А еще лучше, в случае с приставами, позвонить или прийти к ним и все выяснить. Это будет и быстрее (позвонить) и безопаснее.

achemolganskiy
08:25:50 2018-12-29

Тоже получал будто-бы наследник многомиллионного состояния(конечно зелень). Поверенный в делах нашёл если что, а так с приветом лошадка Одиссея.

Пaвeл Собкор
08:21:21 2018-12-29

Непривычно с утра перед началом работы не увидеть нового выпуска. Ждем новых выпусков в новом году.
Еще раз всех с наступающим Новым годом!

A1037
03:31:39 2018-12-29

Создателей и участников — с Наступающим!

Lia00 Собкор
02:50:44 2018-12-29

каких только писем не напридумают...

razgen Собкор
02:03:15 2018-12-29

Поздравляю коллектив проекта «Антивирусная правДА!», а так же весь коллектив компании "Доктор Веб",
ну и естественно всех пользователей данного проекта с Новым годом!!!
Всем счастья, здоровья, всего наилучшего.

Будьте бдительны и рассудительны.
По незнакомым ссылкам не переходите.

Любитель пляжного футбола Собкор
23:47:21 2018-12-28

Всех, и сотрудников компании, и читателей АВП, с наступающим Новым годом!!!!!

Любитель пляжного футбола Собкор
23:37:28 2018-12-28

@Alexander_V, спасибо, поразбираюсь в настройках.
Из французского я знаю только десяток-два слов, так что сегодня существенно пополнил свой словарный запас в процентном соотношении. :)
Не завидую тем, кто ещё на заре интернета придумал звучные названия для своих почтовых ящиков или выбрал простые, тогда ещё доступные названия, например, сочетание фамилии и имени. Бедняги, наверное, бомбят спамом. Для названия лучше придумать что-то заковыристое или оригинальное, чтоб никто не догадался. Я выбрал одно иностранное слово, относительно редко употребляемое, а почтовик российский, так что нашим спамерам и их зарубежным "коллегам" сложно на меня выйти. Догадываюсь, что у спамеров есть специальная программа, которая составляет возможные названия почтовых ящиков, комбинируя фамилии, имена, цифры и часто используемые слова. И эти "базы данных" кочуют где-то по закоулкам интернета от спамера к спамеру. Мне лишь однажды пришло на мой основной почтовый ящик спамерское письмо, причём на английском, с информацией о каком-то "выигрыше".
Понятно, если указывать почтовый ящик везде подряд, то у тебя больше шансов оказаться в базе данных спамеров (правда, что-то на мой специально созданный спам-ящик вообще спам не шлют)). Но даже если указывать адрес на надёжных и суперзащищённых сайтах, увы, всё равно никто не застрахован от того, что произойдёт утечка данных и какой-то инсайдер сольёт на сторону личные данные пользователей... :((( C'est la vie.

Любитель пляжного футбола Собкор
23:09:18 2018-12-28

@OlegNight, с фантазией у них что-то не очень, здесь на проекте уже приводились в качестве примера несколько таких писем, а структура сюжета та же: сайты для взрослых, вебкамера, backdoor, ticking countdown timer, те же варианты развития событий и житейский совет напоследок. Здесь, правда, без совета не лазить куда попало. Ну и сумму заламывают неподъёмную для среднестатистического жителя РФ.
Ну а антивирус, хоть бы какой, желательно установить. Для подстраховки. Не знаю, как действует защита Яндекса, но вирусы/троянцы всё же бывают разные, а некоторые могут и серьёзно навредить, прежче чем будут обнаружены, одни могут украсть пароли от интернет-банка, другие - безвозвратно зашифровать фотографии, документы и прочие файлы. Меня когда-то давно даже антивирус не спас, правда, бесплатный Avast, я просто зашёл на сайт, смотрю, что содержимое не соответствует поисковому запросу, никуда не нажимал и вышел со страницы спустя полминуты. Но успел словить баннер винлокер. Как догадываюсь, сработал вредоносный скрипт на сайте. Вот и аргумент в пользу отключения JavaScript в браузере. Потом какое-то время пользовался Avast'ом, но при этом проверял на сайте Dr.Web специальным сканером каждую ссылку, прежде чем по ней перейти, удобная вещь, заранее знаешь, что можешь безопасно открыть ссылку, что там нет вирусов, а потом и вовсе перешёл на Dr.Web, сначала установив его родителям, проблем с ним не было, затем установил и себе. По-моему, спокойствие и безопасность стоят денег, тем более антивирус тут можно приобрести со скидкой. Вам удачи!

Dvakota
21:50:56 2018-12-28

Внимательность это хорошо, но без антивируса рано или поздно проблем не избежать.

МЕДВЕДЬ
21:42:04 2018-12-28

Обязатеельно ползать по всем сайтам?не проще ли позвонить и все узнать.

orw_mikle
21:37:46 2018-12-28

Лучше зайти на официальный сайт гос.органа и проверить всю информацию там, тем более, что на любом официальном сайте есть электронные услуги.

kozinka.ru Собкор
21:05:35 2018-12-28

Как всегда выпуск нас предупреждает быть внимательными. Спасибо! Всех с наступающим Новым 2019 годом!!!

Пaвeл Собкор
20:58:40 2018-12-28

@OlegNight, ...нет, не было. Защита Яндекса и так не пускает куда не следует, и каждые 2-3 дня прогоняю проверку с drWeb CureIt... Желаю Вам в новом году надежной защиты! И все таки установите надежный антивирус.

Неуёмный Обыватель Собкор
20:56:30 2018-12-28

Присоединяюсь к всеобщему поздравительному гулу и желаю всем участникам проекта доброго здравия и вестей, а сотрудникам компании "Доктор Веб" интересной и успешной работы, а также достижения новых высот в сфере борьбы с цифровой нечистью.

anatol
20:40:26 2018-12-28

Благодаря Антивирусной правде приобрел стойкий иммунитет к неосознанному переходу по ссылкам. Спасибо и с Новым Годом!

Шалтай Александр Болтай Собкор
20:37:59 2018-12-28

— Откройте! Это приставы пришли за вашим имуществом. — Я вам все отдам, можно я себе кольцо оставлю? — Ладно. А что у вас за имущество? — Только граната.

Шалтай Александр Болтай Собкор
20:35:22 2018-12-28

Не приходили такие письма, но разный спам иногда сыпется.
Поздравляю Всех с наступающими праздниками! С Новым годом!

DFKBLKL
20:09:58 2018-12-28

С Наступающим Вас )
Статейка интересная -
Если я стану удивляться , то только добру ....

Дмитрий
19:55:10 2018-12-28

Спасибо за информацию. Подобные письма удаляю! Всех с наступающим Новым Годом!

matt1954
19:26:41 2018-12-28

Поучительная статья,спасибо:лишний раз убедился,что приходящие письма следует удалять!

OlegNight
17:37:32 2018-12-28

@Пaвeл, нет,не было.защита Яндекса и так не пускает куда не следует,и каждые 2-3 дня прогоняю проверку с drWeb CureIt

Татьяна
16:34:01 2018-12-28

Поздравляю всех участников проекта «Антивирусная правДА!» с наступающим 2019 годом!

Toma
15:14:11 2018-12-28

Письма приходят - удаляю.
Всех с Наступающим Новым годом!

Andromeda
14:48:43 2018-12-28

Хоть и не приходили мне подобные письма, но благодаря проекту "АП", знаю, что надо с ними делать. Поздравляю всех с наступающим Новым годом!

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Если пристанет пристав

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей