13.04.2015 07:26
KarasikovSergey 33 26559 Источник
Утром нашел в своем почтовом ящике письмо от nic.ru со следующим текстом якобы от ru-cont@nic.ru, gmail в подлинности отправителя не усомнился:

Здравствуйте,

12-APR-2015 Вами была заказана услуга RU-CENTER Смена администратора доменного имени microsoft.com.

Услуга будет оказана в течение 72 часов.
Право администрирования доменного имени microsoft.com будет передано 60093/NIC-D.

Ссылка для подтверждения или отмены:
www.nic.ru/manager/admin_change.cgi?key=SiYK73RJesO3f8cnIH29-26ddd45b02859e836d13d4b9fde34281


Внутри ссылки, само собой, был линк на фишинговый сайт bethesdabiblechapel.net/sav/img/zmpbkbkhso.html?zmpbkbkhso=26ddd45b02859e836d13d4b9fde34281

Это было бы совершенно банальным делом, не стоящим внимания, если бы не обход проверок gmail. А дело оказалось в следующем:

Return-Path: <vectorin@vh163.sweb.ru>
Received: from mf1-1.nic.ru (mf1-1.nic.ru. [109.70.27.132])

и
Received-SPF: softfail (google.com: domain of transitioning vectorin@vh163.sweb.ru does not designate 109.70.27.132 as permitted sender) client-ip=109.70.27.132;
Authentication-Results: mx.google.com;
spf=softfail (google.com: domain of transitioning vectorin@vh163.sweb.ru does not designate 109.70.27.132 as permitted sender) smtp.mail=vectorin@vh163.sweb.ru
Received: from vh163.sweb.ru ([77.222.42.167])
by mf1-1.nic.ru with esmtp (RIPN)

Спросонья я чуть было не сходил по ссылке, доверившись почтовому сервису в вопросах опознания подлинности отправителя, в связи с чем хочу лишний раз порекомендовать не терять бдительности даже тогда, когда дело касается привычных и надежных систем.

В техподдержке регистратора сказали, что им пришло много обращений и служба безопасности занимается этим инцидентом. Насколько я понял — почтовые SMTP-серверы регистратора были использованы злоумышленниками для рассылки фишинговых писем с целью обхода встроенных в почтовые сервисы механизмов проверки подлинности отправителя. Всем внимания и аккуратности!

Комментарии (33)


  1. Londoner
    13.04.2015 11:38
    #8373763
    +11

    А почему бы всем браузерам не делать проверку, что если текст между тегами ссылки похож на URL, то проверить, совпадает ли текст с реальной ссылкой, если нет, то не пускать.


    1. maximw
      13.04.2015 14:28
      #8374055
      +1

      Отличная идея для плагина. При наведении на такую ссылку показывать предупреждение.


      1. DnAp
        13.04.2015 16:06
        #8374161

        Много кто проксирует все ссылки через себя. Например vk.com/away.php?to=…


        1. maximw
          13.04.2015 16:22
          #8374185
          +7

          Так пусть проксируют.

          Просто, если показываешь в анкоре ссылки один URL (подчеркиваю — в анкоре URL, а не произвольный текст), а ссылаешься на другой, то это часто плохое поведение, которое должно настораживать пользователя.
          И плагин, который бы показывал красный хинт с реальной ссылкой при наведени, был бы довольно полезен для борьбы с фишингом.
          Проблема ложных срабатываний решается белым списком для Яндекса с Гуглом, для Вконтакта, популярных веб-морд сервисов электропочты и т.д.


      1. Londoner
        13.04.2015 20:01
        #8374403
        +2

        Для плагина идея не очень — тот кто его себе поставит и так не попадётся. А вот тот кто попадется может и про плагины не знать. Так что — только в коде самого браузера или движка.


        1. Beltoev
          13.04.2015 21:03
          #8374473
          +4

          Нужно в стандартную сборку такой плагин включать. Не знаю, как с гуглом, но хотя бы до Яндекса с таким предложением, думаю, можно достучаться


        1. maximw
          13.04.2015 22:29
          #8374557

          Для браузеров это слишком радикальное изменение в интерфейсе. А плагин хотя бы позволит знающим людям ставить его в браузерах незнающих.


          1. Beltoev
            14.04.2015 23:28
            #8376275
            +1

            Мне лично хватает фичи с подсветкой адреса ссылки в левом нижнем углу хрома. Какой бы не была ссылка, с анкором или без, взгляд машинально смотрит в угол. Так что, думаю, не всё так плохо со стандартным интерфейсом


      1. JetP1L0t
        14.04.2015 10:36
        #8374871

        Несколько лет назад, у браузеров была статусная строка, в которой замечательно отображалась настоящая цель ссылки. Да, этот текст можно было подменить, но только джаваскриптом, который, как правило, в почте был отключен.


        1. isden
          14.04.2015 10:39
          #8374881
          +1

          Так она и сейчас никуда не пропала вроде О_о


  1. zhovner
    13.04.2015 11:44
    #8373783
    +14

    Все потому что у nic.ru не установлены политики DMARC отвергающие не подписанные DKIM-ом письма. Так что нечего гугл винить.

    dig txt _dmarc.nic.ru



    1. KarasikovSergey Автор
      13.04.2015 11:46
      #8373789

      Надеюсь теперь они решат эту проблему, потому как утечка учетных данных при таком фишинге — это равная ответственность невнимательного пользователя и технически-безалаберного поставщика услуг.


    1. homecreate
      13.04.2015 12:18
      #8373871

      Я в своё время хотел запретить приём писем, если проверка spf выдавала softfail. Правда, так и не решился, да и руки никак не доходили


    1. ValdikSS
      13.04.2015 13:14
      #8373953

      Да даже -all в SPF решил бы проблему. Почту правильно настраивают единицы.


      1. zhovner
        13.04.2015 13:27
        #8373971
        +1

        Редко кто ставит -all, даже y paypal.com стоит ~all, хотя в dmarc значение p=reject. Видимо проблем с spf при пересылках больше чем с dkim. Кстати dkim побъется при пересылке как spf или возможно переслать письмо сохранив валидность подписи?


        1. ValdikSS
          13.04.2015 13:47
          #8374009

          Да, spf не работает при пересылках всяких, но и с DMARC есть проблемы. А DKIM, думаю, можно настроить так, чтобы не бился.


    1. zhovner
      13.04.2015 13:30
      #8373975
      +3

      Кстати рекомендую всем сервис dmarcian.com по сбору статистики срабатываний dmarc. Удобно графиками показывает проблемы при рассылках, или попытки кого-то отправлять письма от вашего имени. Разумеется, работает только при корректных настройках dmarc.


  1. chersanya
    13.04.2015 13:36
    #8373987
    +1

    А в чём именно причина обхода проверок gmail? Что неправильно в приведённых заголовках, и как должно быть?


  1. tazepam
    13.04.2015 14:40
    #8374063
    +1

    Абсолютно не в курсе, что и как проверяет gmail ( ну не занимался почтой), но перед тем, как нажать на ссылку я всегда смотрю куда она ведет.


  1. Infra_HDC
    13.04.2015 14:50
    #8374067
    +1

    Храните триады URL:login:password в бумажном блокнотике или в таких программах, как KeePassX, и авторизуйтесь _только_ по этим данным, вводя URL вручную или через ПО. Проблема фишинга отпадёт сама собой.


    1. monah_tuk
      14.04.2015 03:24
      #8374669

      .


      1. Infra_HDC
        21.04.2015 20:34
        #8387085

        После нормальной, человеческой авторизации из блокнотика или ПО — ничего страшного, можно открыть фишинговую страничку в отдельной вкладке: если это не фишинг, сессия подхватится, если фишинг — будет видно сразу. IMHO. Главное изначально авторизоваться грамотно.


  1. EnterSandman
    13.04.2015 15:01
    #8374075

    А еще, буквально перед выходными, был выставлен на продажу эксплоит для обхода проверки gmail.


  1. Sqwony
    13.04.2015 16:28
    #8374189
    +1

    Вчера пришло такое же письмо от якобы Ru-Center, что мой домен *.com передается такому-то 60009/NIC-D просит перейти по ссылке, по которой находится клон nic.ru и подтвердить данное действие. Кто-то сбрутил все комовские домены, так как whois у многих открыт, и тем у кого RuCenter разослали письма. Отписался в РуЦентр.


    1. monah_tuk
      14.04.2015 03:26
      #8374671
      +5

      РуЦентр и пароли открытым текстом хранит. Я чуть со стула не упал, когда напоминалку попросил, а он на почту текущий пароль прислал.


      1. Sqwony
        14.04.2015 10:13
        #8374829
        +2

        Это Вы еще хостингом не пользовались. Там все пароли в т.ч. SSH и к БД всегда дублируются на email в открытом виде. Хотелось бы выслушать мнение представителей РуЦентра по данной публикации, если таковые тут присутствуют.


  1. Oval
    13.04.2015 17:15
    #8374243

    тем временем minregion.ru тупо забыли оплатить домен


  1. turbopower
    13.04.2015 20:34
    #8374433

    недавно от якобы таймвеба аналогичное пришло
    техподдержка таймвеба прислала кучу емэйлов о создании тикетов по этому вопросу от нескольких манагеров, но ответа по теме мне так и не прислали


  1. atermath
    13.04.2015 22:24
    #8374553

    Спасибо большое за сигнал, со своей стороны подтверждаем, что фишинговая атака действительно была. С момента получения первых сигналов об инциденте мы ввели дополнительные этапы контроля при операциях с услугами наших клиентов.


    1. KarasikovSergey Автор
      13.04.2015 22:52
      #8374585

      Приятно видеть ответственных за свое дело людей, которые реагируют на вызовы и решают проблемы вместо их игнорирования!


    1. zen
      14.04.2015 08:15
      #8374727
      +2

      Вы бы написали всем, что это фишинг, а то ведь пока на хабре не написали, так никто и не почесался.


      1. Milfgard
        14.04.2015 19:20
        #8375973

        Вот только прислали 5 минут назад.

        Письмо
        Добрый день!

        Некоторые наши клиенты столкнулись с фишинговой атакой с использованием писем, замаскированных под служебные уведомления RU-CENTER.

        По форме и содержанию такие сообщения схожи с нашими реальными уведомлениями (тема и структура письма, отправитель, оформление, текст и т.п.), но ссылки в них ведут на сайты мошенников, копирующих страницу авторизации RU-CENTER. Таким образом злоумышленники собирают логины и пароли, чтобы получить доступ к управлению вашими услугами.

        Электронные адреса для подобных рассылок, как правило, собираются из общедоступной базы данных Whois, поэтому мы рекомендуем в первую очередь защитить ваши данные.

        Чтобы не стать жертвой мошенников, вам необходимо:

        • после перехода по ссылке из письма проверить адресную строку (там должен быть адрес nic.ru);

        • убедиться, что адресная строка «зеленая» (сертификат JSC «RU-CENTER»).

        Если у вас есть подозрения в отношении письма — перешлите его по адресу support@nic.ru, это поможет в поиске злоумышленников.

        Если вы считаете, что могли стать жертвой атаки, незамедлительно поменяйте пароль. При возникновении сложностей свяжитесь со службой поддержки любым удобным способом.

        Будьте бдительны!


        1. Sqwony
          14.04.2015 19:22
          #8375975

          Подтверждаю — тоже только что пришло письмо от RuCenter. И суток не прошло…