Здравствуйте,
12-APR-2015 Вами была заказана услуга RU-CENTER Смена администратора доменного имениmicrosoft.com.
Услуга будет оказана в течение 72 часов.
Право администрирования доменного имениmicrosoft.comбудет передано 60093/NIC-D.
Ссылка для подтверждения или отмены:
www.nic.ru/manager/admin_change.cgi?key=SiYK73RJesO3f8cnIH29-26ddd45b02859e836d13d4b9fde34281
Внутри ссылки, само собой, был линк на фишинговый сайт bethesdabiblechapel.net/sav/img/zmpbkbkhso.html?zmpbkbkhso=26ddd45b02859e836d13d4b9fde34281
Это было бы совершенно банальным делом, не стоящим внимания, если бы не обход проверок gmail. А дело оказалось в следующем:
Return-Path: <vectorin@vh163.sweb.ru>
Received: from mf1-1.nic.ru (mf1-1.nic.ru. [109.70.27.132])
и
Received-SPF: softfail (google.com: domain of transitioning vectorin@vh163.sweb.ru does not designate 109.70.27.132 as permitted sender) client-ip=109.70.27.132;
Authentication-Results: mx.google.com;
spf=softfail (google.com: domain of transitioning vectorin@vh163.sweb.ru does not designate 109.70.27.132 as permitted sender) smtp.mail=vectorin@vh163.sweb.ru
Received: from vh163.sweb.ru ([77.222.42.167])
by mf1-1.nic.ru with esmtp (RIPN)
Спросонья я чуть было не сходил по ссылке, доверившись почтовому сервису в вопросах опознания подлинности отправителя, в связи с чем хочу лишний раз порекомендовать не терять бдительности даже тогда, когда дело касается привычных и надежных систем.
В техподдержке регистратора сказали, что им пришло много обращений и служба безопасности занимается этим инцидентом. Насколько я понял — почтовые SMTP-серверы регистратора были использованы злоумышленниками для рассылки фишинговых писем с целью обхода встроенных в почтовые сервисы механизмов проверки подлинности отправителя. Всем внимания и аккуратности!
Комментарии (33)
zhovner
13.04.2015 11:44+14Все потому что у nic.ru не установлены политики DMARC отвергающие не подписанные DKIM-ом письма. Так что нечего гугл винить.
dig txt _dmarc.nic.ru
KarasikovSergey Автор
13.04.2015 11:46Надеюсь теперь они решат эту проблему, потому как утечка учетных данных при таком фишинге — это равная ответственность невнимательного пользователя и технически-безалаберного поставщика услуг.
homecreate
13.04.2015 12:18Я в своё время хотел запретить приём писем, если проверка spf выдавала softfail. Правда, так и не решился, да и руки никак не доходили
ValdikSS
13.04.2015 13:14Да даже -all в SPF решил бы проблему. Почту правильно настраивают единицы.
zhovner
13.04.2015 13:27+1Редко кто ставит -all, даже y paypal.com стоит ~all, хотя в dmarc значение p=reject. Видимо проблем с spf при пересылках больше чем с dkim. Кстати dkim побъется при пересылке как spf или возможно переслать письмо сохранив валидность подписи?
ValdikSS
13.04.2015 13:47Да, spf не работает при пересылках всяких, но и с DMARC есть проблемы. А DKIM, думаю, можно настроить так, чтобы не бился.
zhovner
13.04.2015 13:30+3Кстати рекомендую всем сервис dmarcian.com по сбору статистики срабатываний dmarc. Удобно графиками показывает проблемы при рассылках, или попытки кого-то отправлять письма от вашего имени. Разумеется, работает только при корректных настройках dmarc.
chersanya
13.04.2015 13:36+1А в чём именно причина обхода проверок gmail? Что неправильно в приведённых заголовках, и как должно быть?
tazepam
13.04.2015 14:40+1Абсолютно не в курсе, что и как проверяет gmail ( ну не занимался почтой), но перед тем, как нажать на ссылку я всегда смотрю куда она ведет.
Infra_HDC
13.04.2015 14:50+1Храните триады URL:login:password в бумажном блокнотике или в таких программах, как KeePassX, и авторизуйтесь _только_ по этим данным, вводя URL вручную или через ПО. Проблема фишинга отпадёт сама собой.
monah_tuk
14.04.2015 03:24.
Infra_HDC
21.04.2015 20:34После нормальной, человеческой авторизации из блокнотика или ПО — ничего страшного, можно открыть фишинговую страничку в отдельной вкладке: если это не фишинг, сессия подхватится, если фишинг — будет видно сразу. IMHO. Главное изначально авторизоваться грамотно.
EnterSandman
13.04.2015 15:01А еще, буквально перед выходными, был выставлен на продажу эксплоит для обхода проверки gmail.
Sqwony
13.04.2015 16:28+1Вчера пришло такое же письмо от якобы Ru-Center, что мой домен *.com передается такому-то 60009/NIC-D просит перейти по ссылке, по которой находится клон nic.ru и подтвердить данное действие. Кто-то сбрутил все комовские домены, так как whois у многих открыт, и тем у кого RuCenter разослали письма. Отписался в РуЦентр.
monah_tuk
14.04.2015 03:26+5РуЦентр и пароли открытым текстом хранит. Я чуть со стула не упал, когда напоминалку попросил, а он на почту текущий пароль прислал.
Sqwony
14.04.2015 10:13+2Это Вы еще хостингом не пользовались. Там все пароли в т.ч. SSH и к БД всегда дублируются на email в открытом виде. Хотелось бы выслушать мнение представителей РуЦентра по данной публикации, если таковые тут присутствуют.
turbopower
13.04.2015 20:34недавно от якобы таймвеба аналогичное пришло
техподдержка таймвеба прислала кучу емэйлов о создании тикетов по этому вопросу от нескольких манагеров, но ответа по теме мне так и не прислали
atermath
13.04.2015 22:24Спасибо большое за сигнал, со своей стороны подтверждаем, что фишинговая атака действительно была. С момента получения первых сигналов об инциденте мы ввели дополнительные этапы контроля при операциях с услугами наших клиентов.
KarasikovSergey Автор
13.04.2015 22:52Приятно видеть ответственных за свое дело людей, которые реагируют на вызовы и решают проблемы вместо их игнорирования!
zen
14.04.2015 08:15+2Вы бы написали всем, что это фишинг, а то ведь пока на хабре не написали, так никто и не почесался.
Milfgard
14.04.2015 19:20Вот только прислали 5 минут назад.
ПисьмоДобрый день!
Некоторые наши клиенты столкнулись с фишинговой атакой с использованием писем, замаскированных под служебные уведомления RU-CENTER.
По форме и содержанию такие сообщения схожи с нашими реальными уведомлениями (тема и структура письма, отправитель, оформление, текст и т.п.), но ссылки в них ведут на сайты мошенников, копирующих страницу авторизации RU-CENTER. Таким образом злоумышленники собирают логины и пароли, чтобы получить доступ к управлению вашими услугами.
Электронные адреса для подобных рассылок, как правило, собираются из общедоступной базы данных Whois, поэтому мы рекомендуем в первую очередь защитить ваши данные.
Чтобы не стать жертвой мошенников, вам необходимо:
• после перехода по ссылке из письма проверить адресную строку (там должен быть адрес nic.ru);
• убедиться, что адресная строка «зеленая» (сертификат JSC «RU-CENTER»).
Если у вас есть подозрения в отношении письма — перешлите его по адресу support@nic.ru, это поможет в поиске злоумышленников.
Если вы считаете, что могли стать жертвой атаки, незамедлительно поменяйте пароль. При возникновении сложностей свяжитесь со службой поддержки любым удобным способом.
Будьте бдительны!
Londoner
А почему бы всем браузерам не делать проверку, что если текст между тегами ссылки похож на URL, то проверить, совпадает ли текст с реальной ссылкой, если нет, то не пускать.
maximw
Отличная идея для плагина. При наведении на такую ссылку показывать предупреждение.
DnAp
Много кто проксирует все ссылки через себя. Например vk.com/away.php?to=…
maximw
Так пусть проксируют.
Просто, если показываешь в анкоре ссылки один URL (подчеркиваю — в анкоре URL, а не произвольный текст), а ссылаешься на другой, то это часто плохое поведение, которое должно настораживать пользователя.
И плагин, который бы показывал красный хинт с реальной ссылкой при наведени, был бы довольно полезен для борьбы с фишингом.
Проблема ложных срабатываний решается белым списком для Яндекса с Гуглом, для Вконтакта, популярных веб-морд сервисов электропочты и т.д.
Londoner
Для плагина идея не очень — тот кто его себе поставит и так не попадётся. А вот тот кто попадется может и про плагины не знать. Так что — только в коде самого браузера или движка.
Beltoev
Нужно в стандартную сборку такой плагин включать. Не знаю, как с гуглом, но хотя бы до Яндекса с таким предложением, думаю, можно достучаться
maximw
Для браузеров это слишком радикальное изменение в интерфейсе. А плагин хотя бы позволит знающим людям ставить его в браузерах незнающих.
Beltoev
Мне лично хватает фичи с подсветкой адреса ссылки в левом нижнем углу хрома. Какой бы не была ссылка, с анкором или без, взгляд машинально смотрит в угол. Так что, думаю, не всё так плохо со стандартным интерфейсом
JetP1L0t
Несколько лет назад, у браузеров была статусная строка, в которой замечательно отображалась настоящая цель ссылки. Да, этот текст можно было подменить, но только джаваскриптом, который, как правило, в почте был отключен.
isden
Так она и сейчас никуда не пропала вроде О_о