|
Социальные сети, платежные системы - фальшивые письма из тех.поддержки.
|
Здравствуйте, sale!
Уведомляем Вас, что Вы получили письмо от пользователя:
Masha
Чтобы посмотреть сообщение перейдите по линку:
http://www.odnoklassniki.ru/RE?Z=GE70Y2O24569ETBKWVKR4C115156D2N502YO463M
--
С уважением,
служба поддержки Odnoklassniki.ru
|
|
Выше приведен текст письма пришедшего якобы от тех.поддержки. В таких письмах мошенники используют один из двух приемов:
|
- если письмо передается в формате HTML, то ссылка состоит из двух частей, той, что вы видите на экране и самой ссылки, в нашем случае скрытая ссылка выглядит так http://wwimynbagttb.blogspot.com/. В большинстве почтовых программ достаточно навести на ссылку курсор мыши, что бы увидеть настоящий адрес во всплывающем окне.
- если письмо передается в формате TXT для написания ссылки используются похожие по виду буквы, например "l" и "I", тогда адрес сайта, куда вас заманивает злоумышленник, будет выглядеть так "www.odnokIasniki.ru", естественно, что данное доменное имя должно "принадлежать" мошеннику.
|
|
При переходе вы попадаете на поддельную страницу, на которой вас просят ввести логин и пароль. Если это данные об аккаунте в социальной сети, то в дальнейшем от вашего имени могут рассылать "плохие" сообщения (подробнее вы можете прочитать в предыдущем посте). Если это данные об аккаунте в платежной системе, то деньги с вашего счета вполне могут испариться в ближайшее время. Так же при переходе на поддельную страницу ваш компьютер может быть заражен вирусом, именно так и могло случиться в случае с нашим письмом.
|
|
При переходе по ссылке, мы попали на сайт блогов GOOGLE (blogspot.com)
|
|
|
Обычный блог, но страница этого блога содержит небольшую программу, написанную на JavaScript всего одна строчка, которая переадресовывает наш браузер на сайт в китайской зоне интернета 783456788839.cn. Воспользуемся службой WHOIS и посмотрим, кому принадлежат права на данное доменное имя:
|
|
|
AstakhovSergey - наберите это "ник" в поисковой системе и вы обнаружите несколько сообщений о таких же письмах связанных с фишингом. Вот одно из сообщений http://www.securitylab.ru/blog/personal/tecklord/3705.php (поддельная форма платежной системы яндекс яндекс).
|
|
Именно на этом сайте (783456788839.cn) и расположена вредоносная программа. Пока мы использовали Firefox v.3.0.3 проблем не возникало, точнее наш браузер просто перебросили на коммерческий сайт.
|
|
|
Но как только мы воспользовались Internet Explorer v.6.0.29, наш фаервол сообщил о новой "программе", которая пытается выйти в Интернет, а IE самопроизвольно закрылся. Антивирусная защита (AntiVir) нашего компьютера молчала. При проверке на одном из антивирусных интернет-сервисов оказалось, что большинство антивирусных программ не распознают этот вирус, хотя все таки некоторые его опознали. |
|
|
Заражение вирусом, носило локальный характер, т.к. мы работали под аккаунтом с ограниченными правами и вирус не смог внедриться в систему.
|
|
Выводы:
|
|
Не стоит полагаться на антивирусные программы и защиты, т.к. базы с известными вирусами обновляются медленнее, чем "умельцы" их создают. Гораздо важнее быть внимательным и использовать проверенные ссылки. Так же позволит избежать заражения компьютера, работа по аккаунтом с ограниченными правами, что не даст вирусу изменить системные настройки вашего компьютера. Использование хорошего фаервола, поможет вовремя заметить вторжение на ваш компьютер и принять меры.
|
|
P.S. поскольку блог wwimynbagttb.blogspot.com нарушил правил GOOGLE, мы напишем письмо в тех.поддержку и будем ждать результатов. Интересно оценить оперативность службы GOOGLE.
|
|
К сожалению, связь у сервиса blogspot.com (он же blogger.com) односторонняя. Можно сообщить адрес спам-блога и даже нет возможности описать причину. По этому остается только гадать, что предпримет администрация сервиса.
|
Копирайт
|
|
автор: Коченгин Вадим
|
|
© ЗАО `Аврора Веб` - При полном или частичном копировании материала, прямая ссылка на сайт www.auweb.ru обязательна.
|
