Фишинг и троян — якобы блокировка mail.ru с запросом на отправку смс на номер 7781

Фишинг и троян - якобы блокировка mail.ru с запросом на отправку смс на номер 7781Коли уж начал разговор о взломах, то хочу рассказать одну поучительную историю, свидетелем которой я оказался. История произошла не совсем со мною, поэтому некоторые детали я не знаю,  но я принимал непосредственное участие в ее завершении.

Завязка была такова — я застал одного своего хорошего товарища, сидящего с задумчивым видом (читай — в полной прострации) за компьютером, и держащего в руке свой смартфон. На мой вопрос — чего сидим, тормозим? — был ответ : «Да вот, сам не понимаю, что произошло». Ок, ну давай разбираться, по порядку. С чего все началось? Дальше идет его история (от его лица).

Понадобилось зайти в почту, на mail.ru. Захожу, ввожу логин, пароль — выскакивает страничка — как обычно выскакивает, если ошибся с паролем.

Страница ошибки на mail.ru

Только в этот раз написано что-то вроде:

С вашего почтового ящика зафиксирована рассылка спама.
Скорее всего, ваш пароль слишком простой, и злоумышленники смогли его подобрать.
Ваш аккаунт заблокирован, для восстановления работы необходимо:
1. Сменить пароль на более сложный
2. Указать телефон для восстановления пароля в будущем

При этом — в сам ящик зайти не дает. Все выглядит, как на mail.ru, в строке браузера — e.mail.ru, файл hosts — девственно чистый, никаких других файл hosts с русскими буквами нет, т.е. на фишинг не похоже.

Ну, думаю — может действительно подобрали, и рассылали спам от моего имени. Меняю пароль, попутно начинаю припоминать, что когда-то привязывал номер телефона к е-мэйлу. Ага, предполагаю я — наверное, если указать телефон, то сравнит его с тем, что в базе, и даст зайти. Ввожу номер телефона, тут же смс приходит — укажите возраст, мы пришлем код для входа. Ладно, думаю, надо возраст, который в анкете на мэйле ру указывал прислать. Отправляю, приходит код, ввожу его в форму, вместо входа в аккаунт — получаю ссылку на файл, который должен разблокировать аккаунт. Скачиваю, отправляю его на вирустотал (имею такую привычку), оттуда приходит отчет, что файл представляет из себя троян. Разумеется, в аккаунт зайти так и не могу. Теперь сижу, думаю, что делать.

Я говорю ему — ну, давай еще раз посмотрим. Очень уж на фишинг похоже. Смотрим — из следов — только при просмотре кода исходной страницы несколько подозрительных ссылок на css стили. Да невозможность зайти на www.mail.ru — не идет переадресация на mail.ru, а выдается страничка, что адрес не найден. Но с hosts — действительно все в порядке. С DNS — тоже все в порядке. Ладно, давай детализацию телефона смотреть. Смотрим — вот, за отправку смс с возрастом на номер 7781 с него сняли 203 рубля и 20 копеек (правда, в детализации она без НДС указано, но умножить на 1.18 не сложно). Ага, ясно, значит не mail.ru смс отправлял. Ну ладно, с этим мы потом разберемся. Заходим с моего Galaxy Note в mail.ru (прекрасно заходит, естественно), меняем пароль на аккаунт. ОК. Заходим на сайт DrWeb, качаем последнюю CureIt, запускаем. Находим трояна в одной из dll. Говорим — излечить. Вылечивает, на mail.ru начинает нормально заходить. Но:

  • Иконки и значки на рабочем столе не возможно перетащить и как-то по другому по нему перемещать
  • При попытке войти в диспетчер устройств и посмотреть свойства какого-либо устройства — ничего не работает
  • Также не выводятся свойства в контекстном меню для любого элемента (при клике мышкой на самый нижний пункт «свойства»)
  • Пропали все учетные записи — пустой список, ничего, кроме кнопки домой
  • Приложения не сворачиваются на панель задач, а сворачиваются в никуда, вернуться в приложение можно только по Alt+Tab
  • Полностью отрубился звук — не видно аудиоустройств, для которых надо можно вывести иконку регулировки уровня звука
  • Начальная загрузка стала идти минуты 2-3, зависает на приветствии
  • Ну и куча уже не важных мелочей

Вот тебе и вылечил… Лучше бы Касперского запустили. Понятно, что после всего этого проще windows переустановить, чем каждую ошибку отлавливать.

ОК, теперь будем деньги возвращать. Звоним в МТС. Там делают вид, что они не причем, и предлагают написать заявку в офисе. Напишем, нам не сложно. Хоть в прокуратуру. Но прежде всего пробиваем 7781 в интернете, видим, что развод — сто лет как известный, что не удивительно, отличие от нашего случая тольк в том, что в основном файл hosts меняется. Ладно, выясняем, что все шло через http://www.alt1.ru/, составляем аналогичную жалобу на их сайте:
————
Добрый день,

Вчера, в 22.30 появилось сообщение о взломе моего аккаунта на mail.ru. Браузер запросил ввести номер телефона для подтверждения того, что я владелец этого аккаунта (выглядело все как на сайте mail.ru и с тем же адресом). На указанный номер +7-916-мой-но-мер, в 22.37 пришло смс, на который было предложено ответить указанием возраста, указанного в анкете mail.ru для восстановления аккаунта. После отправки смс с возрастом в ответ на пришедшее смс на номер 7781 в 22.39 и 56 сек. с меня было списано 203р.20коп. Учитывая, что
а) я нигде не был предупрежден о стоимости данной услуги
б) Услуга оказана не была (аккаунт все равно пришлось восстанавливать с помощью антивируса)
данное действие попадает под статью 159 УК «Мошенничество» и может быть квалифицировано как завладение чужим имуществом (деньгами) путем введения в заблуждение. (УК РФ: Статья 159. Мошенничество).
Как (уже сегодня) я убедился на странице http://smsnumbers.ru/sms/7781&page=6, данное мошенничество имеет место уже продолжительное время.
Убедительно настаиваю на срочном рассмотрении моей претензии и возврате на мой номер +7-916-мой-но-мер списанной с моего счета мошенническим образом суммы.
Прошу по рассмотрению данной претензии дать ответ по e-mail мойемэйл@mail.ru
В случае отсутствия ответа в течение трех рабочих дней оставляю за собою право обратиться в вышестоящие инстанции, включая жалобу в прокуратуру.
С уважением,

Мое имя.
————
На следующий день — приходит ответ:
————
Добрый день, Ваше имя.

По результатам рассмотрения вашей заявки было принято решение вернуть денежные средства на ваш лицевой счет.
Денежные средства поступят на ваш счет в течение часа.
————
Еще через час — деньги прыгнули ему обратно на счет.

Если бы не требующаяся переустановка виндов — можно сказать, что прошло все безболезненно.

Понять, как так произошло, что при нормальном файле hosts происходила подмена ip адреса и соответственно — подмена сайта  mail.ru — таким образом, что шла переадресация не понятно куда, и в строке браузера выводился правильный адрес, при этом сайт был фишинговый — мы так и не смогли. Есть предположение, что был затронут реестр, например — ссылка на hosts, лежащий в другом месте, или что-то типа HKLM\System\CCS\Services\Tcpip\..\ — но теперь уже не проверишь.

You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *


Subscribe without commenting

QR Code Business Card