Коли уж начал разговор о взломах, то хочу рассказать одну поучительную историю, свидетелем которой я оказался. История произошла не совсем со мною, поэтому некоторые детали я не знаю, но я принимал непосредственное участие в ее завершении.
Завязка была такова – я застал одного своего хорошего товарища, сидящего с задумчивым видом (читай – в полной прострации) за компьютером, и держащего в руке свой смартфон. На мой вопрос – чего сидим, тормозим? – был ответ : “Да вот, сам не понимаю, что произошло”. Ок, ну давай разбираться, по порядку. С чего все началось? Дальше идет его история (от его лица).
Понадобилось зайти в почту, на mail.ru. Захожу, ввожу логин, пароль – выскакивает страничка – как обычно выскакивает, если ошибся с паролем.
Только в этот раз написано что-то вроде:
С вашего почтового ящика зафиксирована рассылка спама.
Скорее всего, ваш пароль слишком простой, и злоумышленники смогли его подобрать.
Ваш аккаунт заблокирован, для восстановления работы необходимо:
1. Сменить пароль на более сложный
2. Указать телефон для восстановления пароля в будущем
При этом – в сам ящик зайти не дает. Все выглядит, как на mail.ru, в строке браузера – e.mail.ru, файл hosts – девственно чистый, никаких других файл hosts с русскими буквами нет, т.е. на фишинг не похоже.
Ну, думаю – может действительно подобрали, и рассылали спам от моего имени. Меняю пароль, попутно начинаю припоминать, что когда-то привязывал номер телефона к е-мэйлу. Ага, предполагаю я – наверное, если указать телефон, то сравнит его с тем, что в базе, и даст зайти. Ввожу номер телефона, тут же смс приходит – укажите возраст, мы пришлем код для входа. Ладно, думаю, надо возраст, который в анкете на мэйле ру указывал прислать. Отправляю, приходит код, ввожу его в форму, вместо входа в аккаунт – получаю ссылку на файл, который должен разблокировать аккаунт. Скачиваю, отправляю его на вирустотал (имею такую привычку), оттуда приходит отчет, что файл представляет из себя троян. Разумеется, в аккаунт зайти так и не могу. Теперь сижу, думаю, что делать.
Я говорю ему – ну, давай еще раз посмотрим. Очень уж на фишинг похоже. Смотрим – из следов – только при просмотре кода исходной страницы несколько подозрительных ссылок на css стили. Да невозможность зайти на www.mail.ru – не идет переадресация на mail.ru, а выдается страничка, что адрес не найден. Но с hosts – действительно все в порядке. С DNS – тоже все в порядке. Ладно, давай детализацию телефона смотреть. Смотрим – вот, за отправку смс с возрастом на номер 7781 с него сняли 203 рубля и 20 копеек (правда, в детализации она без НДС указано, но умножить на 1.18 не сложно). Ага, ясно, значит не mail.ru смс отправлял. Ну ладно, с этим мы потом разберемся. Заходим с моего Galaxy Note в mail.ru (прекрасно заходит, естественно), меняем пароль на аккаунт. ОК. Заходим на сайт DrWeb, качаем последнюю CureIt, запускаем. Находим трояна в одной из dll. Говорим – излечить. Вылечивает, на mail.ru начинает нормально заходить. Но:
- Иконки и значки на рабочем столе не возможно перетащить и как-то по другому по нему перемещать
- При попытке войти в диспетчер устройств и посмотреть свойства какого-либо устройства – ничего не работает
- Также не выводятся свойства в контекстном меню для любого элемента (при клике мышкой на самый нижний пункт “свойства”)
- Пропали все учетные записи – пустой список, ничего, кроме кнопки домой
- Приложения не сворачиваются на панель задач, а сворачиваются в никуда, вернуться в приложение можно только по Alt+Tab
- Полностью отрубился звук – не видно аудиоустройств, для которых надо можно вывести иконку регулировки уровня звука
- Начальная загрузка стала идти минуты 2-3, зависает на приветствии
- Ну и куча уже не важных мелочей
Вот тебе и вылечил… Лучше бы Касперского запустили. Понятно, что после всего этого проще windows переустановить, чем каждую ошибку отлавливать.
ОК, теперь будем деньги возвращать. Звоним в МТС. Там делают вид, что они не причем, и предлагают написать заявку в офисе. Напишем, нам не сложно. Хоть в прокуратуру. Но прежде всего пробиваем 7781 в интернете, видим, что развод – сто лет как известный, что не удивительно, отличие от нашего случая тольк в том, что в основном файл hosts меняется. Ладно, выясняем, что все шло через http://www.alt1.ru/, составляем аналогичную жалобу на их сайте:
————
Добрый день,
Вчера, в 22.30 появилось сообщение о взломе моего аккаунта на mail.ru. Браузер запросил ввести номер телефона для подтверждения того, что я владелец этого аккаунта (выглядело все как на сайте mail.ru и с тем же адресом). На указанный номер +7-916-мой-но-мер, в 22.37 пришло смс, на который было предложено ответить указанием возраста, указанного в анкете mail.ru для восстановления аккаунта. После отправки смс с возрастом в ответ на пришедшее смс на номер 7781 в 22.39 и 56 сек. с меня было списано 203р.20коп. Учитывая, что
а) я нигде не был предупрежден о стоимости данной услуги
б) Услуга оказана не была (аккаунт все равно пришлось восстанавливать с помощью антивируса)
данное действие попадает под статью 159 УК “Мошенничество” и может быть квалифицировано как завладение чужим имуществом (деньгами) путем введения в заблуждение. (УК РФ: Статья 159. Мошенничество).
Как (уже сегодня) я убедился на странице http://smsnumbers.ru/sms/7781&page=6, данное мошенничество имеет место уже продолжительное время.
Убедительно настаиваю на срочном рассмотрении моей претензии и возврате на мой номер +7-916-мой-но-мер списанной с моего счета мошенническим образом суммы.
Прошу по рассмотрению данной претензии дать ответ по e-mail мойемэйл@mail.ru
В случае отсутствия ответа в течение трех рабочих дней оставляю за собою право обратиться в вышестоящие инстанции, включая жалобу в прокуратуру.
С уважением,
Мое имя.
———–
На следующий день – приходит ответ:
————
Добрый день, Ваше имя.
По результатам рассмотрения вашей заявки было принято решение вернуть денежные средства на ваш лицевой счет.
Денежные средства поступят на ваш счет в течение часа.
————
Еще через час – деньги прыгнули ему обратно на счет.
Если бы не требующаяся переустановка виндов – можно сказать, что прошло все безболезненно.
Понять, как так произошло, что при нормальном файле hosts происходила подмена ip адреса и соответственно – подмена сайта mail.ru – таким образом, что шла переадресация не понятно куда, и в строке браузера выводился правильный адрес, при этом сайт был фишинговый – мы так и не смогли. Есть предположение, что был затронут реестр, например – ссылка на hosts, лежащий в другом месте, или что-то типа HKLM\System\CCS\Services\Tcpip\..\ – но теперь уже не проверишь.
Добавить комментарий