Примеры фишинговых сообщений электронной почты

Тема в разделе "Взлом, SPAM услуги", создана пользователем Marlb0r0, 14 апр 2017.

  1. TopicStarter Overlay
    Marlb0r0

    Marlb0r0 Модератор Команда форума Модератор True Radio Maniacs Амазон и другие Юный садовод.

    Регистрация:
    17 ноя 2016
    Сообщения:
    36
    Симпатии:
    17
    Репутация:
    21
    Покупки через гаранта:
    1
    Оригинал взят у [​IMG]cbetpa в Примеры фишинговых сообщений электронной почты
    [​IMG]

    Я не случайно поставил в заглавие поста картинку с котиком. Это один из примеров манипулирования человеческим сознанием, апеллирование к жалости. Методы воздействия злоумышленников, использующих такие приемы, находятся в области практической психологии и относятся к социальной инженерии. Играя на эмоциях, чувствах, страхах и рефлексах людей злоумышленники получают доступ к интересующей их информации. Все эти методы используются злоумышленниками при создании фишинговых почтовых сообщений.

    Внимание, под катом много изображений.
    как и обещал в комментарии, постараюсь описать основные приемы.

    При атаке на пользователей электронной почты у злоумышленников сейчас две основных цели: узнать пароль пользователя или попытаться заставить скачать некий файл. Для того чтобы собрать основные векторы по первому случаю — я создал ящик и «заказал» его взлом на нескольких площадках, которые довольно легко обнаружил с помощью поисковых систем.

    Я не буду рассматривать представленные фишинговые домены и адреса почт: рядовой пользователь не запомнит чем отличается google.com/index.php от google.com.indexphp.cc. Основное, что я хочу донести — не надо слепо следовать каким-то указаниям в почте, особенно тем, которые побуждают выполнять некие действия здесь и сейчас, иначе случится что-то плохое.
    http://xvxvxvxvxvx.ru/image.php?img="> )
    s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097

    [​IMG]

    Обратите внимание на старый логотип Google на фишинговой странице — многие ли из вас отметили, что он старый? А много ли пользователей помнят или знают о том, что у Google уже новый лого? Скорее всего, форма была сделана с помощью инструмента Social-Engineer Toolkit , в нем этот логотип не обновлен. А может злоумышленники просто не обращают на это никакого внимания и не обновляют свои поделки.

    [paste:font size="5"]Gmail — недоставленное сообщение


    Приходит письмо, о том, что некоторые письма не были доставлены. А если что-то важное потерялось?

    [​IMG]

    Многие люди по природе мнительны, поэтому клик по ссылке, а там уже известный редирект на: s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097

    Gmail — срочно сменить пароль

    Пользователь, какие-то нехорошие личности взломали твой пароль!

    [​IMG]

    Обычные пользователи, скорее всего, пойдут менять пароль, только вот адрес для смены совершенно неподходящий: google.mail.com.ru-id322322.ru/548589203339099000020039939/o/p/l/?id376=YWtzZWthdHlhQGdtYWlsLmNvbXxha3Nla2F0eWE=

    Gmail — ваша почта будет заблокирована

    Вы сделали что-то неправильно (ведь рядовые пользователи «не разбираются в компьютерах»), теперь надо все исправить, иначе удалят ящик:

    [​IMG]

    Что тут у нас? Опять старый логотип, но есть и кое-что новое — в URL передается адрес атакуемого ящика, для большей достоверности. Пользователь переходит по ссылке вида: w-google.com/account_c/mailer/0/u/16281666201206/[email protected]&fail=1&cGRmJmhsPV3N0BJmhsPXJnbWFpbC5j1VyJmFjdb20mbGV0EVyucGRmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1%27 и попадает на «персональную страничку»:

    [​IMG]

    Gmail — спам

    Вы рассылали спам, теперь Вы не можете отправлять письма. Необходимо подтвердить аккаунт:

    [​IMG]

    Опять старый логотип. Вектор вроде новый, но ведет, опять же на уже известную нам страничку: s-mail-google.com/u/0/accounts/index.php?id=&/id=d7115e86e7423e7aea202cebf544de21

    Gmail — черный список

    Вы добавлены в черный список, шутки кончились. Срочно подтвердите что вы не бот-программа:

    [​IMG]

    По ссылке уже известный адрес: google.mail.com.ru-id322322.ru/?login=YWtzZWthdHlhfGFrc2VrYXR5YUBnbWFpbC5jb20=

    Gmail — пора увеличить объем

    Почтовый ящик почти заполнен, необходимо увеличить его объем. Надо, так надо:

    [​IMG]

    Вот это письмо мне понравилось. Я ожидал стандартную форму логина, но нет, злоумышленники пошли другим путем. Такое внимание к деталям: указан логин жертвы, ссылка «изменить» неактивна, но самое интересное дальше: account-google.ru.com/ServicesLogin/settings/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/

    [​IMG]

    Указан логин жертвы, интерфейс явно гугловый, даже видно что место и правда кончилось. Да и домен подобран очень в тему. Но вот логотип опять старый. В общем, это пока явный фаворит фишингостроения.

    Gmail — рабочие моменты

    Способ сомнительный для рядовых пользователей, письмо с какой-то заявкой или реквизитами:

    [​IMG]

    [​IMG]

    Ссылка редиректит на домен account-google.ru.com/ServicesLogin/files/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1
    [Error: Irreparable invalid markup ('<mpl=default<mplcache=2&emr=1<br>') in entry. Owner must fix manually. Raw contents below.]

    Оригинал взят у <lj user="cbetpa" /> в <a href="Примеры фишинговых сообщений электронной почты">Примеры фишинговых сообщений электронной почты</a><div class="repost"><img src="https://habrastorage.org/files/cc1/6b5/d6e/cc16b5d6ee184d51aedf4cfc7fa9f49f.png" />

    Я не случайно поставил в заглавие поста картинку с котиком. Это один из примеров манипулирования человеческим сознанием, апеллирование к жалости. Методы воздействия злоумышленников, использующих такие приемы, находятся в области практической психологии и относятся к <a href="Социальная инженерия — Википедия">социальной инженерии</a>. Играя на эмоциях, чувствах, страхах и рефлексах людей злоумышленники получают доступ к интересующей их информации. Все эти методы используются злоумышленниками при создании фишинговых почтовых сообщений.

    <b>Внимание, под катом много изображений.</b>
    <a name="habracut"></a>
    К сожалению, уровень осведомленности пользователей о современных угрозах довольно низок, поэтому, <a href="Случайный взлом: зачем ломают низкопосещаемые сайты">как и обещал в комментарии</a>, постараюсь описать основные приемы.

    При атаке на пользователей электронной почты у злоумышленников сейчас две основных цели: узнать пароль пользователя или попытаться заставить скачать некий файл. Для того чтобы собрать основные векторы по первому случаю &mdash; я создал ящик и &laquo;заказал&raquo; его взлом на нескольких площадках, которые довольно легко обнаружил с помощью поисковых систем.

    Я не буду рассматривать представленные фишинговые домены и адреса почт: рядовой пользователь не запомнит чем отличается google.com/index.php от google.com.indexphp.cc. Основное, что я хочу донести &mdash; не надо слепо следовать каким-то указаниям в почте, особенно тем, которые побуждают выполнять некие действия здесь и сейчас, иначе случится что-то плохое.
    <h2></h2><lj-cut><h2>Gmail &mdash; документы</h2>
    Письмо отправлено с gmail адреса и сообщает о неких документах. В деловой переписке, особенно при большом потоке писем легко кликнуть на документ, попав на фишинговую страницу:

    <img src="https://habrastorage.org/files/dcc/7ef/6c7/dcc7ef6c74474224a4df6ef86c68349f.png" />

    Хотя адрес &laquo;документов&raquo; ведет на neo4-yandex.ru, тем не менее с этого домена происходит редирект на:
    (в коде страницы установлен сниффер, который логгирует все заходы на страницу &mdash; <code> &lt;img height=0 width=0 src=&quot;http://xvxvxvxvxvx.ru/image.php?img=&quot;&gt; </code>)
    <a href="http://s-mail-google.com/myaccount/ru/index.php?id=&amp;/id=20154748705121097">s-mail-google.com/myaccount/ru/index.php?id=&amp;/id=20154748705121097</a>

    <img src="https://habrastorage.org/files/539/fad/6d5/539fad6d5f8b49cfae052e97fd1a58e7.png" />

    Обратите внимание на старый логотип Google на фишинговой странице &mdash; многие ли из вас отметили, что он старый? А много ли пользователей помнят или знают о том, что у Google уже новый лого? Скорее всего, форма была сделана с помощью инструмента <a href="GitHub - trustedsec/social-engineer-toolkit: The Social-Engineer Toolkit (SET) repository from TrustedSec - All new versions of SET will be deployed here.">Social-Engineer Toolkit </a>, в нем этот логотип не обновлен. А может злоумышленники просто не обращают на это никакого внимания и не обновляют свои поделки.

    <h2>Gmail &mdash; недоставленное сообщение</h2>
    Приходит письмо, о том, что некоторые письма не были доставлены. А если что-то важное потерялось?

    <img src="https://habrastorage.org/files/8a6/368/8ad/8a63688adf77415bb6a31de0b78854d7.png" />

    Многие люди по природе мнительны, поэтому клик по ссылке, а там уже известный редирект на: <a href="http://s-mail-google.com/myaccount/ru/index.php?id=&amp;/id=20154748705121097">s-mail-google.com/myaccount/ru/index.php?id=&amp;/id=20154748705121097</a>

    <h2>Gmail &mdash; срочно сменить пароль</h2>
    Пользователь, какие-то нехорошие личности взломали твой пароль!

    <img src="https://habrastorage.org/files/bb8/637/8b2/bb86378b278b4880a38beca61eb6dd01.png" />

    Обычные пользователи, скорее всего, пойдут менять пароль, только вот адрес для смены совершенно неподходящий: <a href="http://google.mail.com.ru-id322322....d376=YWtzZWthdHlhQGdtYWlsLmNvbXxha3Nla2F0eWE=">google.mail.com.ru-id322322.ru/548589203339099000020039939/o/p/l/?id376=YWtzZWthdHlhQGdtYWlsLmNvbXxha3Nla2F0eWE=</a>

    <h2>Gmail &mdash; ваша почта будет заблокирована</h2>
    Вы сделали что-то неправильно (ведь рядовые пользователи &laquo;не разбираются в компьютерах&raquo;), теперь надо все исправить, иначе удалят ящик:

    <img src="https://habrastorage.org/files/2b5/e3f/e58/2b5e3fe58c49454ab6d908df85222e90.png" />

    Что тут у нас? Опять старый логотип, но есть и кое-что новое &mdash; в URL передается адрес атакуемого ящика, для большей достоверности. Пользователь переходит по ссылке вида: <a href="http://w-google.com/account_c/maile...RmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1'">w-google.com/account_c/mailer/0/u/16281666201206/[email protected]&amp;fail=1&amp;cGRmJmhsPV3N0BJmhsPXJnbWFpbC5j1VyJmFjdb20mbGV0EVyucGRmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1%27</a> и попадает на &laquo;персональную страничку&raquo;:

    <img src="https://habrastorage.org/files/0eb/b7b/bac/0ebb7bbaca0b4dc386e180dc311367a0.png" />

    <h2>Gmail &mdash; спам</h2>
    Вы рассылали спам, теперь Вы не можете отправлять письма. Необходимо подтвердить аккаунт:

    <img src="https://habrastorage.org/files/5cf/001/d6a/5cf001d6a26640f7a684376806a2c1f2.png" />

    Опять старый логотип. Вектор вроде новый, но ведет, опять же на уже известную нам страничку: <a href="http://s-mail-google.com/u/0/accounts/index.php?id=&amp;/id=d7115e86e7423e7aea202cebf544de21">s-mail-google.com/u/0/accounts/index.php?id=&amp;/id=d7115e86e7423e7aea202cebf544de21</a>

    <h2>Gmail &mdash; черный список</h2>
    Вы добавлены в черный список, шутки кончились. Срочно подтвердите что вы не бот-программа:

    <img src="https://habrastorage.org/files/aeb/39b/aaa/aeb39baaac734ece9653d7290b124459.png" />

    По ссылке уже известный адрес: <a href="http://google.mail.com.ru-id322322.ru/?login=YWtzZWthdHlhfGFrc2VrYXR5YUBnbWFpbC5jb20=">google.mail.com.ru-id322322.ru/?login=YWtzZWthdHlhfGFrc2VrYXR5YUBnbWFpbC5jb20=</a>

    <h2>Gmail &mdash; пора увеличить объем</h2>
    Почтовый ящик почти заполнен, необходимо увеличить его объем. Надо, так надо:

    <img src="https://habrastorage.org/files/37b/388/9aa/37b3889aa7a24d6e986c9dad7d98eeaf.png" />

    Вот это письмо мне понравилось. Я ожидал стандартную форму логина, но нет, злоумышленники пошли другим путем. Такое внимание к деталям: указан логин жертвы, ссылка &laquo;изменить&raquo; неактивна, но самое интересное дальше: <a href="http://account-google.ru.com/Servic...;passive=true&amp;rm=false&amp;continue=https">account-google.ru.com/ServicesLogin/settings/?account=privethabr&amp;?service=mail&amp;passive=true&amp;rm=false&amp;continue=https</a>://mail.google.com/mail/

    <img src="https://habrastorage.org/files/a23/f3f/ade/a23f3fadeb8d4c3fbb8d5496f2cb144e.png" />

    Указан логин жертвы, интерфейс явно гугловый, даже видно что место и правда кончилось. Да и домен подобран очень в тему. Но вот логотип опять старый. В общем, это пока явный фаворит фишингостроения.

    <h2>Gmail &mdash; рабочие моменты</h2>
    Способ сомнительный для рядовых пользователей, письмо с какой-то заявкой или реквизитами:

    <img src="https://habrastorage.org/files/487/35a/730/48735a73027c477c8cba8dfe45b39d61.png" />

    <img src="https://habrastorage.org/files/2f2/938/75d/2f293875d61b4b4f909b282fa8015c4f.png" />

    Ссылка редиректит на домен <a href="http://account-google.ru.com/Servic...;passive=true&amp;rm=false&amp;continue=https">account-google.ru.com/ServicesLogin/files/?account=privethabr&amp;?service=mail&amp;passive=true&amp;rm=false&amp;continue=https</a>://mail.google.com/mail/&amp;ss=1&amp;scc=1<mpl=default<mplcache=2&emr=1<br></mpl=default<mplcache=2&emr=1<br>
    <img src="https://habrastorage.org/files/b15/932/e73/b15932e736db4367be09c57e9fa06aa2.png" />

    Первая форма, на которой стоит новый логотип.

    <h2>Mail.ru &mdash; рабочие моменты</h2>
    Похож на способ указанный выше, прислали какие-то документы, вариаций может быть довольно много:

    <img src="https://habrastorage.org/files/a64/6cd/0df/a646cd0df56f46c6b7a0054d9784b8d8.png" />

    <img src="https://habrastorage.org/files/787/59d/140/78759d14029d405e8ffd15aa63d0d3ce.png" />

    <img src="https://habrastorage.org/files/647/60a/4bc/64760a4bc54e45558169a8dd628c5609.png" />

    Клик по ссылке и пользователю предлагают ввести пароль. Т.к. логин уже подставлен &mdash; большинство рядовых пользователей введет свой пароль &laquo;на автомате&raquo;:

    <img src="https://habrastorage.org/files/0e0/5aa/e22/0e05aae2275341f6a880b605b58355a8.png" />

    <h2>Mail.ru &mdash; сообщение не доставлено</h2>
    Вам не пришло важное письмо, но наш сервис уведомил Вас об этом, включая какие-то непонятные заголовки сообщения для пущей достоверности:

    <img src="https://habrastorage.org/files/4fc/6ae/800/4fc6ae800d0747a19a16ff458f148ddc.png" />

    А там уже знакомая нам форма:

    <img src="https://habrastorage.org/files/0e0/5aa/e22/0e05aae2275341f6a880b605b58355a8.png" />

    <h2>Mail.ru &mdash; увеличить объем ящика</h2>
    Еще один лидер моего хит-парада правдоподобности:

    <img src="https://habrastorage.org/files/f26/3d7/b13/f263d7b1371844adb976bcafb55b2623.png" />

    При переходе попадаем на форму увеличения объема ящика:

    <img src="https://habrastorage.org/files/1d7/d03/bba/1d7d03bbad2943afae5bb7cce112fd9d.png" />

    Еще один тип такого письма:

    <img src="https://habrastorage.org/files/4b0/61f/fff/4b061ffff59d4fb2a8386bae04423b90.png" />

    По ссылке видим форму:

    <img src="https://habrastorage.org/files/b16/fcc/3ec/b16fcc3ec33c4b51967550bc0b9d0f55.png" />

    Похож на способ указанный выше, но фишинговый домен уже не работает:

    <img src="https://habrastorage.org/files/2da/4c5/b59/2da4c5b590ec4c94afde760e5330cd5b.png" />

    Ссылка не работает: <a href="http://cew-mail.ru/mailcapacity/ind...WVzPXZGRmyPXZWVzc2FnZS8xMzY0MTEMDAwMWVzDU4NS8">cew-mail.ru/mailcapacity/[email protected]&amp;fail=0&amp;GPXZJmV5cWVzEuccGRmyPXZWVzc2FnZScPXZJmV5cEyMTQ0MDAwuccWVzGRmyWVzPXZGRmyPXZWVzc2FnZS8xMzY0MTEMDAwMWVzDU4NS8</a>

    <h2>Mail.ru &mdash; уведомление о безопасности</h2>
    Вашу почту кто-то взломал, срочно бегите менять пароль:

    <img src="https://habrastorage.org/files/30c/8b9/2b8/30c8b92b88e14a80a50eaab7c4678767.png" />

    Фишинговая ссылка редиректит на <a href="http://pechatay-prosto.ru/js/[email protected]">pechatay-prosto.ru/js/[email protected]</a> (уже не работает).

    <h2>Yandex &mdash; уведомление о безопасности</h2>
    Не подтвердите аккаунт &mdash; заблокируем почту:

    <img src="https://habrastorage.org/files/3d0/a36/49e/3d0a3649efdd4c3a9543caa2a74faae8.png" />

    По ссылке форма, с уже подставленным именем учетной записи:

    <img src="https://habrastorage.org/files/0f2/258/1bf/0f22581bf4e44b64ad6325fbce0463ef.png" />

    <h2>Yandex &mdash; реактивация почтового ящика</h2>
    Опять необходимо выполнить какие-то действия:

    <img src="https://habrastorage.org/files/b07/6c2/a9c/b076c2a9cd674f408c0e8c00e1d7d818.png" />

    Добавлено много &laquo;правдоподобных&raquo; деталей:

    <img src="https://habrastorage.org/files/fb8/ed7/a52/fb8ed7a528d04b0fa9c1422b5dbb6c20.png" />

    <h2>Рассылка вредоносных файлов/криптолокеров</h2>
    Пользуясь текущей экономической обстановкой и страхами людей злоумышленники рассылают письма, имитирующие уведомления от платежных систем и органов судебной или исполнительной власти:

    Письмо, содержащее инструкции для &laquo;подтверждения&raquo; доменного имени от Роскомнадзора (на самом деле пользователь установит на свой сайт шелл):

    <img src="https://habrastorage.org/files/62e/085/b29/62e085b29ca34af2afe9dfdd9497a5c2.png" />

    Письмо из арбитражного суда, содержащее ссылку на криптолокер:

    <img src="https://habrastorage.org/files/fd6/85d/fa4/fd685dfa483e487f81635b2af4c04cb4.png" />

    Письмо из Сбербанка о выданном кредите (со ссылкой на криптолокер):
    <img src="https://habrastorage.org/files/07f/600/b1b/07f600b1b4ed46a98dad13360087263d.png" />

    <h2>Правила безопасности</h2>
    <ol>
    <li>Письмо, побуждающее Вас к каким-то немедленным действиям должно Вас насторожить: проверьте от кого оно пришло, домен и ссылку. Если сомневаетесь &mdash; спросите специалистов.</li>
    <li>Если Вам что-то навязывают или присылают то, к чему Вы не имеете отношения &mdash; лучше удалить это письмо.</li>
    <li>Не переходите по подозрительным ссылкам в письме, даже если они пришли в сообщениях от ваших знакомых или с каких-то официальных адресов.</li>
    <li>Письма от судебных инстанций или органов: не поленитесь, найдите телефон этого ведомства и позвоните. Просто так никто судебные решения или уведомления о просроченных кредитах не высылает. Да и в 99% случаев Вы получите уведомление по обычной почте.</li>
    <li>Используйте двухфакторную авторизацию: большинство почтовых сервисов в настоящее время поддерживает эту технологию.</li>
    </ol>
    Эта статья посвящена атаке на рядовых пользователей, в следующей статье я расскажу о фишинговых и социотехнических атаках на корпоративный сектор.

    <a href="http://habrahabr.ru/company/pentestit/blog/271123/" target="_blank">Источник</a></lj-cut>

    <lj-like buttons="repost,facebook,twitter,vkontakte,google,odnoklassniki,livejournal" /></div>

    Статья скопирована с http://yushchuk.livejournal.com/509248.html
     
  2. Mrvtn

    Mrvtn Команда форума Арбитр

    Регистрация:
    20 мар 2017
    Сообщения:
    30
    Симпатии:
    26
    Репутация:
    -20
    Бесполезно тут советовать. Ламеры как велись, так и будут вестись, а, так сказать, тёмные личности вроде обитателей этого портала все эти схемы и так знают