Итак, получил я сегодня письмо от моего регистратора и в поле отправитель вижу привычное: «RU-CENTER <no-replay@nic.ru>». Хотя в это даже особо не вглядываешься, так как тема письма достаточно цепляющая.
Департаментом по работе с клиентами RU-CENTER была получена жалоба на неправомерное использование домена tocamp.ru. Данной жалобе был присвоен номер AL347031.
В результате рассмотрения данного обращения специалисты RU-CENTER пришли к выводу, что жалоба является необоснованной, поскольку изложенные в ней факты не нашли своего подтверждения.
Файл с текстом жалобы приложен к настоящему письму.
— С уважением,
Департамент по работе с клиентами RU-CENTER
Москва, Ленинградский проспект, дом 74, корпус 4.
+7 (495) 994-46-01
+7 (495) 737-06-01
И что-то меня в письме смутило, наверно отсутствие значка, которое есть в обычных письмах от руцентра.
То есть раз проверки DKIM не пройдены — значит поле отправитель мог заполнить кто угодно и это явно не руцентр. И эту бы мелочь я точно бы не заметил, если бы не готовил сам рассылку по случаю анонсирования нового проекта. Косяк нашёл, но в чём подвох всё-равно пока понять не мог.
Далее кликаю на ссылку «посмотреть приложенный документ» (которая выглядит как обычная ссылка от яндекса, а не продукт хитрой HTML-вёрстки) — попадаешь на страничку очень похожую на Яндект документ с текстом заявления, но уже через 2 секунды неожиданно «слетает авторизация» и надо ввести пароль. Надо сказать, изобретательно сделано.
Тут стоит обратить внимание на домен. И он явно не от яндекса.
Поняв, что они хотят получить пароль — я ввёл случайный набор символов и «о чудо» авторизировался и смог неспешно прочитать «жалобу».
На этом всё, будьте внимательны и никому не отдавайте ваш пароль.
Спасибо за внимание.
Комментарии (35)
atomlib
07.06.2016 17:48+22Звучит как самый обычный фишинг. О чём статья?
AMIluvatar
07.06.2016 19:11+5Очевидно же, что об этом:
А вот емейл совершенно безопасно и весьма полезно можно оставить для подписки на открытые нашего кэшбэк-поисковика: dronk.ru/cashback-search
LukaSafonov
07.06.2016 17:50+3Описывал этот и подобные приёмы: https://habrahabr.ru/company/pentestit/blog/271123/
KorDen32
07.06.2016 18:40+1HTTPS для чего придумали? Тем более на passport сертификат с EV. Подобные фишинговые сайты сплошь и рядом, взять хотя бы тот же Steam, в свое время было множество поддельных страниц входа, да и сейчас еще встречаются.
danzolito
07.06.2016 19:07Где-то пол года назад бесплатно раздавали такие домены на сайте hostinger
osj
08.06.2016 07:48Вот дней 5 назад:
Регистратура XYZ.com отметила двухлетие своего флагманского нового общего домена .XYZ очередной громкой акцией. На протяжении двух дней домены в этой зоне можно было зарегистрировать по ничтожно низким ценам. Вчера, например, стало известно, что регистратор Uniregistry предлагал доменные имена в .XYZ всего за 1 цент. Domain Incite сообщает, что это был вовсе не единичный случай, и цена в 1-2 цента за годовую регистрацию доменного имени в .XYZ предлагалась и многими другими крупными регистраторами.
Результаты не заставили себя ждать. Согласно последней статистике ntldstats, количество доменных имен, зарегистрированных в зоне .XYZ, выросло за один день не менее чем на 800 тысяч и превысило 3 700 000. Разумеется, это абсолютный рекорд, с которым регистратуру можно только поздравить.
s7106500
07.06.2016 19:07А если бы письмо было открыто через почтовый клиент, что тогда? Перебросило бы на сайт для ввода пароля?
kloppspb
07.06.2016 19:25Если ваш клиент настроен на открытие ссылок в браузере — очевидно, да, по клику на «документ» (который на самом деле не вложенный документ, а хитро оформленная ссылка) откроется фишинговый сайт. Как и по клику на него в браузере.
S-ed
08.06.2016 01:58+1Я не буду рекомендовать такую проверку, но я пользуюсь менеджером паролей и иконка активна только на «родном» сайте. (Для KeePass, тоже есть аддоны которые интегрируют его в браузеры)
Denai
08.06.2016 02:05Так и браузер без всяких менеджеров себя ведёт аналогично. Если ты запомнил пароль для yandex.ru, то он не будет вводить тебе его на фишинговом сайте в поле с тем же именем
S-ed
08.06.2016 02:19Ну, я про браузер и говорил. Он хоть и встроенный,- но менеджер паролей (видимо, я слишком привык к тому, что раньше их в браузерах не было).
bezumkin
08.06.2016 09:56+1На Яндексе уже давно есть очень удобная авторизация через приложение на телефоне.
servermen
08.06.2016 10:11Раньше я пользовался браузером opera (где-то до версии 12) и там в адресной строке основная часть домена (example.com/) была выделена черным цветом, а все поддомены 3-4-5… уровня, в том числе и www, а также то, что идет сразу после слеша — отображалось серым цветом.
Спасибо mottoman за лишнее напоминание про такие сюрпризы.
Cheater
08.06.2016 13:31Ничего не понял — как _приложение к письму_ вдруг превратилось в ссылку на сторонний ресурс?
Ну и да, после «No-replay» уже сразу можно было отправлять в корзину…kloppspb
08.06.2016 14:00Это может быть не вложение, а результат HTML-вёрстки, имитирующий вид вложения в интерфейсе Я-почты.
Vakudon
08.06.2016 13:37Всегда настораживает, когда сервисы неожиданно запрашивает авторизацию. «Где-то должен быть подвох»
Slon9999
08.06.2016 16:54бяки
docviewer.yandex.ru.103149674440460345026173397479625337.xyz/hander.php
Host IP Address of website: 93.174.88.20
Last updated date: 2016-05-24
Geo location information
Address: Netherlands
Location: (52.5, 5.75)
Latitude: 52.5
Longitude: 5.75
Domain Name: 103149674440460345026173397479625337.XYZ
Domain ID: D9082152-CNIC
WHOIS Server: whois.tldregistrarsolutions.com
Referral URL: www.tldregistrarsolutions.com
Updated Date: 2015-07-28T14:57:16.0Z
Creation Date: 2015-07-23T14:49:13.0Z
Registry Expiry Date: 2016-07-23T23:59:59.0Z
Sponsoring Registrar: TLD Registrar Solutions Ltd
Sponsoring Registrar IANA ID: 1564
Domain Status: clientTransferProhibited icann.org/epp#clientTransferProhibited
Registrant ID: C23309022-CNIC
Registrant Name: Domain Admin
Registrant Organization: Whois Privacy Corp.
Registrant Street: Ocean Centre, Montagu Foreshore
Registrant Street: East Bay Street
Registrant City: Nassau
Registrant State/Province: New Providence
Registrant Postal Code: 0000
Registrant Country: BS
Registrant Phone: +1.5163872248
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: 55b0fee8q9x4noqr@5225b4d0pi3627q9.whoisprivacycorp.com
Admin ID: C23309028-CNIC
Admin Name: Domain Admin
Admin Organization: Whois Privacy Corp.
Admin Street: Ocean Centre, Montagu Foreshore
Admin Street: East Bay Street
Admin City: Nassau
Admin State/Province: New Providence
Admin Postal Code: 0000
Admin Country: BS
Admin Phone: +1.5163872248
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: 55b0fee961sa163v@5225b4d0pi3627q9.whoisprivacycorp.com
Tech ID: C23309025-CNIC
Tech Name: Domain Admin
Tech Organization: Whois Privacy Corp.
Tech Street: Ocean Centre, Montagu Foreshore
Tech Street: East Bay Street
Tech City: Nassau
Tech State/Province: New Providence
Tech Postal Code: 0000
Tech Country: BS
Tech Phone: +1.5163872248
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: 55b0fee9hhurp2wi@5225b4d0pi3627q9.whoisprivacycorp.com
Name Server: NS1.AFRAID.ORG
Name Server: NS2.AFRAID.ORG
Name Server: NS3.AFRAID.ORG
Name Server: NS4.AFRAID.ORG
DNSSEC: unsigned
Billing ID: C23309031-CNIC
mpetrunin
08.06.2016 18:21Мне пришло точно такое же письмо, и я чуть было не попался. Я бы очень хотел, чтобы Яндекс без моего участия автоматом отправлял такое в СПАМ. Так что спасибо автору, что поднял тему.
u007
10.06.2016 13:55Так выглядит Яндекс-паспорт в браузере для людей:
https://habrastorage.org/files/2d3/8d4/72b/2d38d472bc704da88c758134c9baeb29.png
Даже не представляю, как его разнесёт от того .xyz домена…
EminH
10.06.2016 18:01Ничего не разнесет, не https же. Да и https, если заморочиться, можно сделать еще зеленее чем у легитимного домена.
Это пользователи должны быть приучены не вводить пароли куда попало.u007
10.06.2016 18:19Если очень сильно постараться и зарегистрировать Yanbex LLC, то наверное) Но имя сайта всё равно вылезет. И даже без https, вот как например тут
https://habrastorage.org/files/a3a/c89/080/a3ac890806a04084a9e7af320e9c87bf.png
Зы, ничего что я так, ссылками?
Раньше, кстати, было ещё зеленее с дополнением Site Identity Button Colors. Но в последних версиях всё испортили. А вот Page Title in URL Bar живее всех и очень помогает в таких случаях.
Sterhel
То есть, отсутствие значка смутило, а какой-то кривой no-replay вместо кошерного noreply — нет?)
edd_k
Читая статью «replay» я вот заметил. Но не уверен, обратил бы я не него внимание не включив режим повышенной внимательности.
Но дальше yandex.ru.190390823478905897589 — это уже сразу феил. В корзину.