Массовая атака на взлом ящиков на mail.ru

Массовая атака на взлом ящиков на mail.ruНе могу никак умолчать на счет одного примечательного события. Уже вторую неделю подряд мой основной ящик на mail.ru пытаются взломать (уже было сделано 5 или шесть попыток — три разных, и две однотипных, с подсовыванием фишинговых страниц, с присвоением id, по которому проверяется, кто зашел из письма, и подсаживанию куки), из чего я могу сделать вывод, что атака идет не только на мой, но и на другие адреса. Используется абсолютно тупой, но эффективный метод социальной инженерии, на который я даже чуть не клюнул. Пожалуйста, прочитайте внимательно, и ознакомьте своих родных, особенно — это касается родителей, которые не очень хорошо разбираются в современных приемах по выуживанию логинов и паролей.

В первой и четвертой попытке было использовано письмо якобы от mail.ru с сообщением — что ах, место на вашем ящике заканчивается, и необходимо срочно его увеличить:

Первый вид атаки - место в вашем почтовом ящике заканчивается

Письмо выглядит очень натурально, использована цветовая гамма, логотипы и стили mail.ru. Самое прикольное, что действительно, когда-то почтовые ящики практиковали такой подход, поэтому просьба что-то там нажать, чтобы увеличить объем ящика выглядит вполне логично. При клике на кнопку «работа с письмами» — выскакивает страница, полностью имитирующая mail.ru:

При переходе по ссылке видим такую фишинговую страницу

Единственное, по чему можно понять, что это не оригинальный mail.ru, а фишинговый — разумеется, по адресной строке типа:

http://m.be62d5a68681ee755e6e0c8bceb864a9.website/settings/folders/%D0%A3%D0%B2%D0%B5%D0%BB%D0%B8%D1%87%D0%B5%D0%BD%D0%B8%D0%B5%20%D0%BE%D0%B1%D1%8A%D0%B5%D0%BC%D0%B0%20%D0%BF%D0%BE%D1%87%D1%82%D0%BE%D0%B2%D0%BE%D0%B3%D0%BE%20%D1%8F%D1%89%D0%B8%D0%BA%D0%B0/?ob=6666#inbox

А не, еще — конечно, объем заставляет задуматься. 100 мб — это что-то странное, у меня в десяти письмах аттачей на больший объем находится, а писем — более трех тысяч.

При вводе пароля — парсер автоматически проверяет его на валидность. Регистрировать левый почтовый ящик для того, чтобы проверить, что будет, если ввести правильный пароль — мне было влом, вы, если хотите, попробуйте. Проверить, какие ящики пытаются взломать, можно подставляя различные цифры вместо 6666.

Вторая (ну и нулевая, можно считать), попытка была сделана в виде письма, имитирующего реальный запрос из бухгалтерии якобы контрагента. При этом к письму был якобы приложен аттачмент в виде картинки-миниатюры:

Атака - бухгалтерская задолженность

Письмо очень хорошо копирует аттач, стандартно приходящий на mail.ru, с одним отличием — это все-таки картинка, при клике на которую вываливается такая страничка, полностью мимикрирующая под mail.ru:

Атака - соединение потеряно, введите пароль

Понять, что сайт не оригинальный mail.ru — помогает адресная строка вида http://m.be62d5a68681ee755e6e0c8bceb864a9.info/attaches-viewer/cloud/upload/img/session_error.php?ob=7077#inbox

Аналогично в «нулевом случае», который случился уже больше двух недель назад, однако после того, как я пожаловался в mail.ru на данную рассылку — показать его в полной красоте я не могу, но вот, что осталось:

Письмо якобы из бухгалтерии контрагента

И точно также, как в предыдущем случае, при клике на якобы аттачмент, открывалась страничка, опять же имитирующая мэйл.ру с предложением скачать счет, введя пароль (якобы соединение было потеряно).

Предпоследний вариант — попытка обвинить в спам-рассылке. Жаль, опять же, что после жалобы в мэйл.ру — все оформление письма слетело, и я могу продемонстрировать вам только текст:

Якобы ваш ящик рассылает спам

Но тоже выглядело впечатляюще, очень похоже на стандартную рассылку от мэйл.ру. И тоже — при клике на ссылке «подтвердить учетную запись» — выдавался фишинговый сайт, настроенный под ваш почтовый ящик, и лишь ожидающий пароля.

Ну и последний вариант — аналогичное обвинение в спам рассылке:

Атака - ваш ящик рассылает спам

Только с переходом на сайт, стилизированный уже под Яндекс (поди разберись там — какой пароль им нужен, от яндекса и мэйл.ру, тут ребята, конечно, не доработали, ну и снова все та же самая адресная строка типа http://y.be62d5a68681ee755e6e0c8bceb864a9.info/client/security/1544581819_646.php?ob=6666):

Введите пароль на якобы яндексе

В общем, что сказать в довершение? Будьте бдительны, всегда при переходе на другой сайт — проверяйте, а чего там получилось в адресной строке, ну и предупредите не столь бдительных коллег и родственников.

You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Добавить комментарий