Не могу никак умолчать на счет одного примечательного события. Уже вторую неделю подряд мой основной ящик на mail.ru пытаются взломать (уже было сделано 5 или шесть попыток — три разных, и две однотипных, с подсовыванием фишинговых страниц, с присвоением id, по которому проверяется, кто зашел из письма, и подсаживанию куки), из чего я могу сделать вывод, что атака идет не только на мой, но и на другие адреса. Используется абсолютно тупой, но эффективный метод социальной инженерии, на который я даже чуть не клюнул. Пожалуйста, прочитайте внимательно, и ознакомьте своих родных, особенно — это касается родителей, которые не очень хорошо разбираются в современных приемах по выуживанию логинов и паролей.
В первой и четвертой попытке было использовано письмо якобы от mail.ru с сообщением — что ах, место на вашем ящике заканчивается, и необходимо срочно его увеличить:
Письмо выглядит очень натурально, использована цветовая гамма, логотипы и стили mail.ru. Самое прикольное, что действительно, когда-то почтовые ящики практиковали такой подход, поэтому просьба что-то там нажать, чтобы увеличить объем ящика выглядит вполне логично. При клике на кнопку «работа с письмами» — выскакивает страница, полностью имитирующая mail.ru:
Единственное, по чему можно понять, что это не оригинальный mail.ru, а фишинговый — разумеется, по адресной строке типа:
http://m.be62d5a68681ee755e6e0c8bceb864a9.website/settings/folders/%D0%A3%D0%B2%D0%B5%D0%BB%D0%B8%D1%87%D0%B5%D0%BD%D0%B8%D0%B5%20%D0%BE%D0%B1%D1%8A%D0%B5%D0%BC%D0%B0%20%D0%BF%D0%BE%D1%87%D1%82%D0%BE%D0%B2%D0%BE%D0%B3%D0%BE%20%D1%8F%D1%89%D0%B8%D0%BA%D0%B0/?ob=6666#inbox
А не, еще — конечно, объем заставляет задуматься. 100 мб — это что-то странное, у меня в десяти письмах аттачей на больший объем находится, а писем — более трех тысяч.
При вводе пароля — парсер автоматически проверяет его на валидность. Регистрировать левый почтовый ящик для того, чтобы проверить, что будет, если ввести правильный пароль — мне было влом, вы, если хотите, попробуйте. Проверить, какие ящики пытаются взломать, можно подставляя различные цифры вместо 6666.
Вторая (ну и нулевая, можно считать), попытка была сделана в виде письма, имитирующего реальный запрос из бухгалтерии якобы контрагента. При этом к письму был якобы приложен аттачмент в виде картинки-миниатюры:
Письмо очень хорошо копирует аттач, стандартно приходящий на mail.ru, с одним отличием — это все-таки картинка, при клике на которую вываливается такая страничка, полностью мимикрирующая под mail.ru:
Понять, что сайт не оригинальный mail.ru — помогает адресная строка вида http://m.be62d5a68681ee755e6e0c8bceb864a9.info/attaches-viewer/cloud/upload/img/session_error.php?ob=7077#inbox
Аналогично в «нулевом случае», который случился уже больше двух недель назад, однако после того, как я пожаловался в mail.ru на данную рассылку — показать его в полной красоте я не могу, но вот, что осталось:
И точно также, как в предыдущем случае, при клике на якобы аттачмент, открывалась страничка, опять же имитирующая мэйл.ру с предложением скачать счет, введя пароль (якобы соединение было потеряно).
Предпоследний вариант — попытка обвинить в спам-рассылке. Жаль, опять же, что после жалобы в мэйл.ру — все оформление письма слетело, и я могу продемонстрировать вам только текст:
Но тоже выглядело впечатляюще, очень похоже на стандартную рассылку от мэйл.ру. И тоже — при клике на ссылке «подтвердить учетную запись» — выдавался фишинговый сайт, настроенный под ваш почтовый ящик, и лишь ожидающий пароля.
Ну и последний вариант — аналогичное обвинение в спам рассылке:
Только с переходом на сайт, стилизированный уже под Яндекс (поди разберись там — какой пароль им нужен, от яндекса и мэйл.ру, тут ребята, конечно, не доработали, ну и снова все та же самая адресная строка типа http://y.be62d5a68681ee755e6e0c8bceb864a9.info/client/security/1544581819_646.php?ob=6666):
В общем, что сказать в довершение? Будьте бдительны, всегда при переходе на другой сайт — проверяйте, а чего там получилось в адресной строке, ну и предупредите не столь бдительных коллег и родственников.