Пришло мне вот такое интересное мошенническое письмо. Сейчас покажу принцип:
Обычная залепуха, только вот нюанс – то, что я выделил красным прямоугольником – это не Майловская форма прикреплённого файла, а обычное изображение, встроенное в письмо. С гиперссылкой. Т.е. все слова эти “Посмотреть”, “Скачать” и т.д. – это всё нарисовано на картинке.
Сама ссылка ведёт на сторонний сервер и выглядит вот так:
Начинает грузиться, как будто “Облако”:
Как будто мы разлогинены и необходимо ввести пароль, чтобы залогиниться обратно. Только вот адрес сайта изменился, хотя и https. Нетрудно заметить, что логин передан в GET-запросе в строке адреса.
Выглядит всё так. Пользователь кликает на вложение, там перекидывает типа на облако.
“- Щорт, опять разлогинился.” – думает пользователь, вводит свой пароль. И усё. Он уже не только его пароль.
Кстати, вот кое-что заметил:
Если навести на ссылку “Все проекты”, то в статусной строке отображается…. Мммм.. Чей-то е-майл. Злоумышленника, который был залогинен на момент создания копии страницы? Возможно. Совпадение? Не думаю. В любом случае, копию письма в формате EML я отправил в Mail.Ru на страницу жалобы, пусть разбираются.
https://help.mail.ru/mail-help/security/fraud
Кстати, призываю всех, кто столкнулся с мошенническими сообщениями, потратить пару минут своего времени и создать соответствующее обращение.
Будьте внимательны и предупредите доверчивых друзей и близких!
Подобный развод существует достаточно давно. При помощи фишинга подделываются аутентификационные формы различных сервисов, в том числе делают целые копии банковских сайтов, к примеру.
Так то да, но я впервые столкнулся именно с реализацией вложенного файла. То есть тут фишингом обыгрывается конкретная почтовая система. И они рассчитывали, что человек будет смотреть почту через веб-интерфейс, т.к. имитировали внешний вид вложения