@KarasikovSergey13 апр 2015 в 07:26

Внимание! Фишинг регистрационных данных NIC.ru

2 мин

37K

Информационная безопасность *

+25

Комментарии 33

@0xC0CAC01A 13 апр 2015 в 08:38

А почему бы всем браузерам не делать проверку, что если текст между тегами ссылки похож на URL, то проверить, совпадает ли текст с реальной ссылкой, если нет, то не пускать.

@maximw 13 апр 2015 в 11:28

Отличная идея для плагина. При наведении на такую ссылку показывать предупреждение.

@DnAp 13 апр 2015 в 13:06

Много кто проксирует все ссылки через себя. Например vk.com/away.php?to=…

@maximw 13 апр 2015 в 13:22

Так пусть проксируют.

Просто, если показываешь в анкоре ссылки один URL (подчеркиваю — в анкоре URL, а не произвольный текст), а ссылаешься на другой, то это часто плохое поведение, которое должно настораживать пользователя.
И плагин, который бы показывал красный хинт с реальной ссылкой при наведени, был бы довольно полезен для борьбы с фишингом.
Проблема ложных срабатываний решается белым списком для Яндекса с Гуглом, для Вконтакта, популярных веб-морд сервисов электропочты и т.д.

@0xC0CAC01A 13 апр 2015 в 17:01

Для плагина идея не очень — тот кто его себе поставит и так не попадётся. А вот тот кто попадется может и про плагины не знать. Так что — только в коде самого браузера или движка.

@Beltoev 13 апр 2015 в 18:03

Нужно в стандартную сборку такой плагин включать. Не знаю, как с гуглом, но хотя бы до Яндекса с таким предложением, думаю, можно достучаться

@maximw 13 апр 2015 в 19:29

Для браузеров это слишком радикальное изменение в интерфейсе. А плагин хотя бы позволит знающим людям ставить его в браузерах незнающих.

@Beltoev 14 апр 2015 в 20:28

Мне лично хватает фичи с подсветкой адреса ссылки в левом нижнем углу хрома. Какой бы не была ссылка, с анкором или без, взгляд машинально смотрит в угол. Так что, думаю, не всё так плохо со стандартным интерфейсом

@JetP1L0t 14 апр 2015 в 07:36

Несколько лет назад, у браузеров была статусная строка, в которой замечательно отображалась настоящая цель ссылки. Да, этот текст можно было подменить, но только джаваскриптом, который, как правило, в почте был отключен.

@isden 14 апр 2015 в 07:39

Так она и сейчас никуда не пропала вроде О_о

@zhovner 13 апр 2015 в 08:44

Все потому что у nic.ru не установлены политики DMARC отвергающие не подписанные DKIM-ом письма. Так что нечего гугл винить.

dig txt _dmarc.nic.ru

@KarasikovSergey 13 апр 2015 в 08:46

Надеюсь теперь они решат эту проблему, потому как утечка учетных данных при таком фишинге — это равная ответственность невнимательного пользователя и технически-безалаберного поставщика услуг.

@homecreate 13 апр 2015 в 09:18

Я в своё время хотел запретить приём писем, если проверка spf выдавала softfail. Правда, так и не решился, да и руки никак не доходили

@ValdikSS 13 апр 2015 в 10:14

Да даже -all в SPF решил бы проблему. Почту правильно настраивают единицы.

@zhovner 13 апр 2015 в 10:27

Редко кто ставит -all, даже y paypal.com стоит ~all, хотя в dmarc значение p=reject. Видимо проблем с spf при пересылках больше чем с dkim. Кстати dkim побъется при пересылке как spf или возможно переслать письмо сохранив валидность подписи?

@ValdikSS 13 апр 2015 в 10:47

Да, spf не работает при пересылках всяких, но и с DMARC есть проблемы. А DKIM, думаю, можно настроить так, чтобы не бился.

@zhovner 13 апр 2015 в 10:30

Кстати рекомендую всем сервис dmarcian.com по сбору статистики срабатываний dmarc. Удобно графиками показывает проблемы при рассылках, или попытки кого-то отправлять письма от вашего имени. Разумеется, работает только при корректных настройках dmarc.

@chersanya 13 апр 2015 в 10:36

А в чём именно причина обхода проверок gmail? Что неправильно в приведённых заголовках, и как должно быть?

@tazepam 13 апр 2015 в 11:40

Абсолютно не в курсе, что и как проверяет gmail ( ну не занимался почтой), но перед тем, как нажать на ссылку я всегда смотрю куда она ведет.

@Infra_HDC 13 апр 2015 в 11:50

Храните триады URL:login:password в бумажном блокнотике или в таких программах, как KeePassX, и авторизуйтесь _только_ по этим данным, вводя URL вручную или через ПО. Проблема фишинга отпадёт сама собой.

@monah_tuk 14 апр 2015 в 00:24

@Infra_HDC 21 апр 2015 в 17:34

После нормальной, человеческой авторизации из блокнотика или ПО — ничего страшного, можно открыть фишинговую страничку в отдельной вкладке: если это не фишинг, сессия подхватится, если фишинг — будет видно сразу. IMHO. Главное изначально авторизоваться грамотно.

@spbdimka 13 апр 2015 в 12:01

А еще, буквально перед выходными, был выставлен на продажу эксплоит для обхода проверки gmail.

@maksimsuvorov 13 апр 2015 в 13:28

Вчера пришло такое же письмо от якобы Ru-Center, что мой домен *.com передается такому-то 60009/NIC-D просит перейти по ссылке, по которой находится клон nic.ru и подтвердить данное действие. Кто-то сбрутил все комовские домены, так как whois у многих открыт, и тем у кого RuCenter разослали письма. Отписался в РуЦентр.

@monah_tuk 14 апр 2015 в 00:26

РуЦентр и пароли открытым текстом хранит. Я чуть со стула не упал, когда напоминалку попросил, а он на почту текущий пароль прислал.

@maksimsuvorov 14 апр 2015 в 07:13

Это Вы еще хостингом не пользовались. Там все пароли в т.ч. SSH и к БД всегда дублируются на email в открытом виде. Хотелось бы выслушать мнение представителей РуЦентра по данной публикации, если таковые тут присутствуют.

@Oval 13 апр 2015 в 14:15

тем временем minregion.ru тупо забыли оплатить домен

@turbopower 13 апр 2015 в 17:34

недавно от якобы таймвеба аналогичное пришло
техподдержка таймвеба прислала кучу емэйлов о создании тикетов по этому вопросу от нескольких манагеров, но ответа по теме мне так и не прислали

@atermath 13 апр 2015 в 19:24

Спасибо большое за сигнал, со своей стороны подтверждаем, что фишинговая атака действительно была. С момента получения первых сигналов об инциденте мы ввели дополнительные этапы контроля при операциях с услугами наших клиентов.

@KarasikovSergey 13 апр 2015 в 19:52

Приятно видеть ответственных за свое дело людей, которые реагируют на вызовы и решают проблемы вместо их игнорирования!

@zen 14 апр 2015 в 05:15

Вы бы написали всем, что это фишинг, а то ведь пока на хабре не написали, так никто и не почесался.

@Milfgard 14 апр 2015 в 16:20

Вот только прислали 5 минут назад.

Письмо

Добрый день!

Некоторые наши клиенты столкнулись с фишинговой атакой с использованием писем, замаскированных под служебные уведомления RU-CENTER.

По форме и содержанию такие сообщения схожи с нашими реальными уведомлениями (тема и структура письма, отправитель, оформление, текст и т.п.), но ссылки в них ведут на сайты мошенников, копирующих страницу авторизации RU-CENTER. Таким образом злоумышленники собирают логины и пароли, чтобы получить доступ к управлению вашими услугами.

Электронные адреса для подобных рассылок, как правило, собираются из общедоступной базы данных Whois, поэтому мы рекомендуем в первую очередь защитить ваши данные.

Чтобы не стать жертвой мошенников, вам необходимо:

• после перехода по ссылке из письма проверить адресную строку (там должен быть адрес nic.ru);

• убедиться, что адресная строка «зеленая» (сертификат JSC «RU-CENTER»).

Если у вас есть подозрения в отношении письма — перешлите его по адресу support@nic.ru, это поможет в поиске злоумышленников.

Если вы считаете, что могли стать жертвой атаки, незамедлительно поменяйте пароль. При возникновении сложностей свяжитесь со службой поддержки любым удобным способом.

Будьте бдительны!

@maksimsuvorov 14 апр 2015 в 16:22

Подтверждаю — тоже только что пришло письмо от RuCenter. И суток не прошло…

Зарегистрируйтесь на Хабре, чтобы оставить комментарий