Разбор мошеннического письма №2

Здрррррасти. Сегодня пришло мне ещё одно электронное письмо и я решил сделать разбор фишинговой атаки, как в прошлый раз.

Надо отметить, что векторы атаки с использованием электронной почты сейчас мега-популярны. И вот пример отлично составленного фишингового письма.

В поле отправитель указан поддомен mail.ru, весьма длинный и подозрительный. В теле письма – действующий электронный адрес. Идём ниже:

 

Кнопка “Сменить пароль”. Куда она ведёт – разберёмся позднее. Хочу отметить достаточно грамотный текст письма и его правдоподобность. Честно, возникло желание перепроверить информацию.

Итак, служебные заголовки:

Я отметил то, что показалось мне подозрительным:

  • Отсутствие DKIM подписи;
  • Отсутствие SPF сигнатуры;
  • Путь пересылки через какие-то почтовые сервера в .jp зоне;
  • Указание на скрипт рассылки (.php файл).

Посмотрите заголовки любого более-менее серьёзного письма и увидите как минимум первые две вещи, подтверждающие, что письмо отправлялось именно с этого домена, который там указан. А в поле отправителя можно указать что угодно, оно пользовательское.

Ну чтож, мы убедились, что письмо фишинговое, перейдём по ссылке смены пароля:

Сразу обращаем внимание на адресную строку. Ага. Хостинг tmweb.ru, попутно обратимся в поддержку хостинга и сообщим о фишинговой атаке:

При клике на кнопку “Изменить” отправляется POST-запрос на http://e.mail.ru-id.cq45033.tmweb.ru/security/mlogin2.php (да, даже не https!!!) со следующими параметрами:

Никаких проверочных скриптов нет, просто пересылка данных в открытом виде. После чего идёт перенаправление на оригинальный сайт mail.ru!!

Чтож, я-то набрал ерунду… А сколько людей могло повестись и слить свои данные?… Надеюсь, хостер их прикроет. Отправил письмо в чат ТП и на электронный ящик в ~11:50 по Москве.


Прошло 10 минут!

Проверка…Сайт злоумышленников более недоступен!Респект за оперативность!

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply