Види шахрайства

Корисні посилання

Зворотній зв`язок


Галерея накладок

Топ-Новини

Топ-Відео

Топ-Статті

Статті

Приклади фішингових повідомлень електронної пошти
2015-12-16

Я не випадково поставив у заголовок поста картинку з котиком. Це один із прикладів маніпулювання людською свідомістю, апелювання до жалості. Методи впливу зловмисників, що використовують такі прийоми, знаходяться в області практичної психології і відносяться до соціальної інженерії. Граючи на емоціях, почуттях, страхах і рефлексах людей зловмисники отримують доступ до інформації, що їх цікавить. Всі ці методи використовуються зловмисниками при створенні фішингових поштових повідомлень.


На жаль, рівень обізнаності користувачів про сучасні загрози досить низький, тому постараюся описати основні прийоми.


При атаці на користувачів електронної пошти у зловмисників зараз дві основні цілі: дізнатися пароль користувача або спробувати змусити скачати якийсь файл. Для того щоб зібрати основні вектори по першому випадку - я створив ящик і «замовив» його злом на декількох майданчиках, які досить легко виявив за допомогою пошукових систем.


Я не буду розглядати представлені фішингові домени та адреси пошт: рядовий користувач не запам`ятає чим відрізняється google.com/index.php від google.com.indexphp.cc. Основне, що я хочу донести - не треба сліпо слідувати якимось вказівкам в пошті, особливо тим, які спонукають виконувати якісь дії тут і зараз, інакше трапиться щось погане.


Gmail - документи


Лист відправлено з gmail адреси і повідомляє про деякі документи. У діловому листуванні, особливо при великому потоці листів легко клікнути на документ, потрапивши на фішингову сторінку:


Хоча адреса «документів» веде на neo4-yandex.ru, тим не менше з цього домену відбувається редирект на:(в коді сторінки встановлений сніфер, який логіює всі заходження на сторінку - <img height = 0 width = 0 src = "http://xvxvxvxvxvx.ru/image.php?img=">)s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097


Зверніть увагу на старий логотип Google на фішингової сторінці - чи багато хто з вас відзначили, що він старий? А чи багато користувачів пам`ятають або знають про те, що у Google вже новий лого? Швидше за все, форма була зроблена за допомогою інструменту Social-Engineer Toolkit, в ньому цей логотип не оновлено. А може зловмисники просто не звертають на це жодної уваги і не оновлюють свої вироби.


Gmail - Недоставлені повідомлення


Приходить лист, про те, що деякі листи не були доставлені. А якщо щось важливе загубилося?


Багато людей за природою недовірливі, тому клік по посиланню, а там вже відомий редирект на: s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097


Gmail - терміново змінити пароль


Користувач, якісь нехороші особистості зламали твій пароль!


Звичайні користувачі, швидше за все, підуть міняти пароль, тільки от адреса для зміни абсолютно невідповідна: google.mail.com.ru-id322322.ru/548589203339099000020039939/o/p/l/?id376=YWtzZWthdHlhQGdtYWlsLmNvbXxha3Nla2F0eWE=


Gmail - ваша пошта буде заблокована


Ви зробили щось неправильно (адже пересічні користувачі «не знаються на комп`ютерах»), тепер треба все виправити, інакше видалять ящик:


Що тут у нас? Знову старий логотип, але є й дещо нове - в URL передається адреса атакуємого ящика, для більшої достовірності. Користувач переходить за посиланням виду: //w-google.com/account_c/mailer/0/u/16281666201206/?email=privethabr@gmail.com&;fail=1&cGRmJmhsPV3N0BJmhsPXJnbWFpbC5j1VyJmFjdb20mbGV0EVyucGRmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1%27" style = "margin: 0px; padding: 0px; border: 0px; font-size: 14px; vertical-align: baseline; outline: 0px; color: rgb (153, 0, 153); text-decoration: none; font- family: Verdana, sans-serif; font-weight: normal; line-height: 22.4px;">w-google.com/account_c/mailer/0/u/16281666201206/?email=privethabr@gmail.com&fail=1&cGRmJmhsPV3N0BJmhsPXJnbWFpbC5j1VyJmFjdb20mbGV0EVyucGRmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1%27

і потрапляє на «персональну сторінку»:


Gmail - спам


Ви розсилали спам, тепер Ви не можете відправляти листи. Необхідно підтвердити аккаунт:


Знову старий логотип. Вектор начебто новий, але веде, знову ж таки на вже відому нам сторінку: s-mail-google.com/u/0/accounts/index.php?id=&/id=d7115e86e7423e7aea202cebf544de21


Gmail - чорний список

Ви додані в чорний список, жарти скінчилися. Терміново підтвердіть що ви не бот-програма:


За посиланням вже відома адреса: google.mail.com.ru-id322322.ru/?login=YWtzZWthdHlhfGFrc2VrYXR5YUBnbWFpbC5jb20=


Gmail - пора збільшити обсяг


Поштова скринька майже заповнена, необхідно збільшити її обсяг. Треба, так треба:


Ось цей лист мені сподобався. Я очікував стандартну форму логіна, але немає, зловмисники пішли іншим шляхом. Така увага до деталей: вказано логін жертви, посилання «змінити» неактивне, але найцікавіше далі: account-google.ru.com/ServicesLogin/settings/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/


Вказано логін жертви, інтерфейс явно гугловий, навіть видно що місце і правда скінчилося. Та й домен підібраний дуже в тему. Але ось логотип знову старий. Загалом, це поки явний фаворит фішингостроєння.


Gmail - робочі моменти


Спосіб сумнівний для рядових користувачів, лист з якоюсь заявкою або реквізитами:



Посилання редиректу на домен account-google.ru.com/ServicesLogin/files/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1<mpl=default<mplcache=2&emr=1


Перша форма, на якій стоїть новий логотип.



Mail.ru - робочі моменти


Схожий на спосіб зазначений вище, прислали якісь документи, варіацій може бути досить багато:




Клік по посиланню і користувачеві пропонують ввести пароль. Т.як. логін вже підставлений - більшість рядових користувачів введе свій пароль «на автоматі»:



Mail.ru - повідомлення не було доставлене


Вам не прийшов важливий лист, але наш сервіс повідомив Вас про це, включаючи якісь незрозумілі заголовки повідомлення для більшої достовірності:


А там вже знайома нам форма:



Mail.ru - збільшити обсяг ящика


Ще один лідер мого хіт-параду правдоподібності:


При переході потрапляємо на форму збільшення обсягу ящика:




Ще один тип такого листа:


За посиланням бачимо форму:


Схожий на спосіб зазначений вище, але фішинговий домен вже не працює:


Посилання не працює: //cew-mail.ru/mailcapacity/index.php?email=privethabr@mail.ru&;fail=0&GPXZJmV5cWVzEuccGRmyPXZWVzc2FnZScPXZJmV5cEyMTQ0MDAwuccWVzGRmyWVzPXZGRmyPXZWVzc2FnZS8xMzY0MTEMDAwMWVzDU4NS8" style = "margin: 0px; padding: 0px; border: 0px; font-size: 14px; vertical-align: baseline; outline: 0px; color: rgb (153, 0, 153); text-decoration: none; font- family: Verdana, sans-serif; font-weight: normal; line-height: 22.4px;">cew-mail.ru/mailcapacity/index.php?email=privethabr@mail.ru&fail=0&GPXZJmV5cWVzEuccGRmyPXZWVzc2FnZScPXZJmV5cEyMTQ0MDAwuccWVzGRmyWVzPXZGRmyPXZWVzc2FnZS8xMzY0MTEMDAwMWVzDU4NS8



Mail.ru - повідомлення про безпеку


Вашу пошту хтось зламав, терміново біжіть міняти пароль:

Фішингове посилання редирект на //pechatay-prosto.ru/js/?Login=privethabr@mail.ru "style =" margin: 0px; padding: 0px; border: 0px; font-size: 14px; vertical-align: baseline; outline: 0px; color: rgb (153, 0, 153); text-decoration: none; font-family: Verdana, sans-serif; font-weight: normal; line-height: 22.4px; "> pechatay-prosto.ru/js/?Login=privethabr@mail.ru (вже не працює).




Yandex - повідомлення про безпеку


Не підтвердите аккаунт - заблокуємо пошту:


За посиланням форма, з уже підставленим ім`ям облікового запису:




Yandex - реактивація поштової скриньки


Знову необхідно виконати якісь дії:


Додано багато «правдоподібних» деталей:




Розсилка шкідливих файлів / криптолокерів


Користуючись поточної економічною обстановкою і страхами людей зловмисники розсилають листи, що імітують повідомлення від платіжних систем та органів судової або виконавчої влади:


Лист, що містить інструкції для «підтвердження» доменного імені від Роскомнадзора (насправді користувач встановить на свій сайт шелл):


Лист з арбітражного суду, що містить посилання на криптолокер:





Лист з Ощадбанку про виданий кредит (з посиланням на криптолокер):




Правила безпеки 

  1. Лист, що спонукає Вас до якихось негайних дій повинно Вас насторожити: перевірте від кого воно прийшло, домен і заслання. Якщо сумніваєтеся - запитаєте фахівців.
  2. Якщо Вам щось нав`язують або надсилають те, до чого Ви не маєте відношення - краще видалити цей лист.
  3. Не переходьте за підозрілими посиланнями в листі, навіть якщо вони прийшли в повідомленнях від ваших знайомих або з якихось офіційних адрес.
  4. Листи від судових інстанцій або органів: не полінуйтеся, знайдіть телефон цього відомства і зателефонуйте. Просто так ніхто судові рішення або повідомлення про прострочені кредити не висилати. Та й у 99% випадків Ви отримаєте повідомлення по звичайній пошті.
  5. Використовуйте двухфакторную авторизацію: більшість поштових сервісів в даний час підтримує цю технологію.

 

Джерело: news.dks.com.ua

Рекомендовані статті