Здрррррасти. Сегодня пришло мне ещё одно электронное письмо и я решил сделать разбор фишинговой атаки, как в прошлый раз.
Надо отметить, что векторы атаки с использованием электронной почты сейчас мега-популярны. И вот пример отлично составленного фишингового письма.
В поле отправитель указан поддомен mail.ru, весьма длинный и подозрительный. В теле письма – действующий электронный адрес. Идём ниже:
Кнопка “Сменить пароль”. Куда она ведёт – разберёмся позднее. Хочу отметить достаточно грамотный текст письма и его правдоподобность. Честно, возникло желание перепроверить информацию.
Итак, служебные заголовки:
Я отметил то, что показалось мне подозрительным:
- Отсутствие DKIM подписи;
- Отсутствие SPF сигнатуры;
- Путь пересылки через какие-то почтовые сервера в .jp зоне;
- Указание на скрипт рассылки (.php файл).
Посмотрите заголовки любого более-менее серьёзного письма и увидите как минимум первые две вещи, подтверждающие, что письмо отправлялось именно с этого домена, который там указан. А в поле отправителя можно указать что угодно, оно пользовательское.
Ну чтож, мы убедились, что письмо фишинговое, перейдём по ссылке смены пароля:
Сразу обращаем внимание на адресную строку. Ага. Хостинг tmweb.ru, попутно обратимся в поддержку хостинга и сообщим о фишинговой атаке:
При клике на кнопку “Изменить” отправляется POST-запрос на http://e.mail.ru-id.cq45033.tmweb.ru/security/mlogin2.php (да, даже не https!!!) со следующими параметрами:
Никаких проверочных скриптов нет, просто пересылка данных в открытом виде. После чего идёт перенаправление на оригинальный сайт mail.ru!!
Чтож, я-то набрал ерунду… А сколько людей могло повестись и слить свои данные?… Надеюсь, хостер их прикроет. Отправил письмо в чат ТП и на электронный ящик в ~11:50 по Москве.
Прошло 10 минут!
Проверка…Сайт злоумышленников более недоступен!Респект за оперативность!
Comments: