count Oct 5 2008 at 11:46

Яндекс-открытки: Осторожно, фишинг!

1 min

IT-companies

+68

Comments 71

azizoid Oct 5 2008 at 11:55

Спасибо, что предупредили.

fog Oct 5 2008 at 12:39

А Вам не кажется, что нужно было сначала предупредить о вирусе, а потом ссылку давать?
И вообще не обязательно было аднес ссылкой делать.

zencd Oct 5 2008 at 14:05

Дык ведь ещё и не просто ссылку дал типа http://***, чтобы парсер с ней сам справился, а постарался, тег A HREF="" оформил :)

Только не понял как страница на Яндексе может привести на фишерский сайт… Через флеш, может?

count Oct 5 2008 at 14:25

Просто скопировал из письма. Сейчас исправлю

prudis Oct 5 2008 at 16:19

Трояны могут привести на фишерский сайт.

zelenin Oct 5 2008 at 16:24

текст ссылки яндексовский, а сама ссылка фишерская
(a href=virus)yandex(a)

skipjack Oct 5 2008 at 19:53

Мне тоже так кажется. То есть все значительно банальнее.
Но думаю, большинство людей здесь считает, что этот «вирус» как-то прямо на cards.yandex.ru непосредственно лежит.

pavel_manylov Oct 5 2008 at 20:55

Какие неумные спамеры — у yandex есть отличные редиректы, вот через них надо было делать)

DuhaN Oct 5 2008 at 12:41

Спасибо

UFO landed and left these words here

BANDiT600 Oct 5 2008 at 13:21

Вообще, люди, будьте особо внимательны, как только попадаете на любые страницы, где вас просят ввести логин и пароль, внимательно осмотритесь, а особенно внимательно нужно смотреть в адресную строку, если адрес хоть как-то отличается по написанию от «родного», то тут понятное дело мошеничество. В общем будьте на чеку на любых страницах с просьбой ввести логин и пароль!!!

GMM Oct 5 2008 at 15:52

Я например привык делать автологин через Ctrl-Enter. Если почему то не заходит на сайт и ссылка не от меня, всегда смотрю URL.

zencd Oct 5 2008 at 14:09

Кстати, в этом плане хорошо Гугл Хром — он подсвечивает домен в урле. Так что штуки типа вышеуказанной или http ://www.microsoft.com:updates@misrosoft.tw/updates/winxp/sp1.aspx уже не так страшны.

Lilumi Oct 5 2008 at 15:19

locationbar² для файрфокса тоже подсвечивает ;)

zencd Oct 5 2008 at 16:27

гугл делает это изкоробки, этим и ценен для индустрии/общества

no_smoking Oct 5 2008 at 17:02

про ie8 забыли там тоже из коробки :)

zencd Oct 5 2008 at 17:06

ну что ж, клёво; они во многом внешне похожи

UFO landed and left these words here

CrashMax Oct 5 2008 at 14:24

Старо! Этот способ фишинга развивается среди хакеров уже несколько лет, если не десятки) Посмотрите на antichat.ru можно скачать уже готовые странички для фишинга самых популярных почтовиков, например гмайла, яндекса, майла, рамблера, почты и тд. Я еще лет 5-6 назад баловался этим способом. Так что статья не нонсенс.

count Oct 5 2008 at 14:30

Баловались? Собирать чужие пароли — это теперь баловство называется?

Alver Oct 6 2008 at 01:00

никуда не выходите, за вами уже выехали.

slakey Oct 5 2008 at 14:26

Это не «очередная удочка». Этой удочке уже очень-очень много лет.

count Oct 5 2008 at 14:31

Я имел ввиду не то, что способ новый, а очередной, скорее всего, массовый случай.

arhikreol Oct 5 2008 at 14:28

это ещё полбеды. вот увидите в строке yandex.ru и не ничтоже сумяше введёте пароль. А буква а будет русская и сайт мошенника. А на глаз не определите, так как внешне отличаться не будет.

BANDiT600 Oct 5 2008 at 15:17

Для этого во многих браузер есть фишинг-фильтр.

egorinsk Oct 5 2008 at 15:53

Еще один повод запретить смешанные доменные имена, а можно и кириллические — до кучи

UFO landed and left these words here

skipjack Oct 5 2008 at 19:55

Cамая крутая подмена, с которой я сталкивался — это подмена yandex на yanclex. Связка букв cl очень похожа на d. Эпизод был где-то 1-2 назад.

UFO landed and left these words here

serkys Oct 5 2008 at 14:32

Уже закрыли, нынче там 404-я
Но всё равно для меня остаётся загадкой, каким образом шёл редирект с cards.yandex.ru на фишинговый сайт.

Leximist Oct 5 2008 at 14:42

Может быть в компании Яндекс нашелся недобросовестный разработчик, который настроил ссыку на редирект. В этом случае, надеюсь с ним уже проводят полит беседу. Ибо такого рода ошибки порочат лицо Яндекса

slakey Oct 5 2008 at 15:23

А редиректа никакого не шло. Я думаю, что текстом было написано cards.yandex.ru, а сама ссылка уже вела куда надо.

count Oct 5 2008 at 18:00

именно так и было

roh_roh Oct 5 2008 at 15:30

cards.yandex.ru

proektor Oct 5 2008 at 15:31

А может и нашли где-то дырку, позволяющую так или иначе сделать редирект.

Насчет их открыток ничего сказать не могу. Но не так давно получал спам, в котором ссылка на рекламируемый сайт стояла не напрямую, а через редиректор какого-то сервиса от Яндекса. Ну то есть что-то вида «yandex.ru/service/redir?url=junksite.info»

Mobyman Oct 5 2008 at 15:17

yandexpochta.freehostia.com/base.php

Улыбнуло))) А еще, в огнелисе есть такая фича: «Справка -> Сообщить о поддельном веб-сайте»

UFO landed and left these words here

Smartfon Oct 5 2008 at 18:43

Имеется информация, что этот сайт является мошенническим!

=)

marsohod17 Oct 5 2008 at 15:18

если у вас не стоит антивирус

Я думаю, что если нет антивируса и файервола, то вообще лучше с виндой в инет не входить.

Cryptochild Oct 5 2008 at 23:00

Я хожу в интеренет без установленного файрволла на моей машине. Есть файрволл на шлюзе.
А особой необходимости в антивирусе я не вижу.

Cryptochild Oct 5 2008 at 23:13

Блин, слово «винда» не заметил. :-(

UFO landed and left these words here

CrashMax Oct 5 2008 at 15:28

Во-во))

serkys Oct 5 2008 at 15:44

А мне кажется, что автор ставит своей целью предупредить пользователей об опасности. Время от времени невнимательность подводит всех.
А сверхчеловеки могу игнорировать топик или минусовать его. Если таких окажется больше — топик в топ не выйдет. Всё просто.

chonduhvan Oct 5 2008 at 21:25

Если на Хабре пользователь знающий о фишинге = суперчеловек, можно мне приделать статус бога ))

serkys Oct 5 2008 at 21:40

Под сверхчеловеком я имел в виду существо, никогда не теряющее внимательности.

UFO landed and left these words here

AHTOH Oct 6 2008 at 20:28

Многие вышли в интернет совсем недавно, многие не знают, что такое фишинг.
Ваше сообщение о чем? Что Вы давно в интернете, все знаете и эта статья Вам не полезна? — поздравляю! Вот только уважать новичков Вы за это время так и не научились, а жаль. Когда-то каждый из нас был ньюбом и ламером.
Автору статьи респект за то, что попытался сделать мир лучше.

UFO landed and left these words here

AHTOH Nov 20 2008 at 21:58

Вы сообщение прочитайте, прежде чем комментировать. Делать мир лучше своей статьёй о фишинге.

kr1z Oct 5 2008 at 15:34

А логотип Яндекса старенький на фишинговой страничке! :))

vadimus Oct 5 2008 at 15:58

Мне такие письма приходят примерно 2 раза в год. Я каждый раз, как добропорядочный пользователь пишу об этом в техподдержку, и мне каждый раз отвечают практически моментально: ни в коем случае не заходите по ссылке по ссылке, это фишинг, мы уже предприняли нужные меры. Там обычно адрес ссылки выглядел как-то так:

yandex.ru/dfgkjsdfgn...dklfjghskdg/zyandex.com/

Строка якобы в MD5 настолько длинная, что ее лень пробегать до конца. Не знаю, если честно, можно ли так писать. Разве можно ставит точку в доменном имени 4 уровня?

egorinsk Oct 5 2008 at 16:05

Может, используется какая-то из страниц Яндекса, делающая редирект? Вообще разработчикам стоит быть осторожнее с редиректами как-то контролировать адрес перехода.

Azmorf Oct 5 2008 at 16:00

На сайте Яндекса про фишинг статейка есть в Помощи — help.yandex.ru/passport/?id=996558. Правда там про Яндекс. Деньги, но суть та же…

cachealot Oct 5 2008 at 16:20

yandexpochta.freehostia.com/base.php — судя по текущему контенту — автор немного опечалился =)

кстати в ff перед заходом говорит что этот сайт находиться в black list

sdmitry Oct 5 2008 at 16:21

Я воообще не понял, в первой ссылке есть что-то подозрительное? Домен Яндекса и правильно написан же вроде? А почему перекидывает непонятно куда? Если все так, то следовало б разработчикам Яндекса задуматься.

prudis Oct 5 2008 at 16:28

Текст ссылки не обязательно совпадает с аттрибутом href (адрес на который пользователь попадет), а так-же не обязательно совпадает с тем что пишется в статусной строке.

sdmitry Oct 5 2008 at 16:33

Спасибо за разьяснение. Я это знал, но вот в оригинальном посте не указано, что использовалась именно эта техника. Как я уже понимаю оригинальный пост исправлялся и потерял эту суть.

Stmf Oct 5 2008 at 16:25

А Опера справилась :)

g15rus Oct 5 2008 at 17:10

в хроме тоже пишет, что «Веб-сайт по адресу yandexpochta.freehostia.com, согласно полученной информации, используется для фишинга. „

kex Oct 5 2008 at 17:24

Это сейчас она справилась, т. к. уже и времени прошло достаточно и стук был. В первые моменты скушала бы как и все остальные.

Morozhko Oct 5 2008 at 18:15

firefox уже то же распознал фишинг

vbif Oct 5 2008 at 18:00

Я так понял, что просто стоит вместо card.xml card.html — ИМХО [*.html?=что-то] там — явно уже нехороший признак…

habrahabanera Oct 5 2008 at 19:08

постоянно такое приходит…
просто смотрю реальный адрес отправителя а не псевдоним типа «b.gates@microsoft.com» (было и такое) и добавляю их в спам-фильтр…

eliaszudin Oct 5 2008 at 19:12

Думаю, предупреждение надо было размещать не здесь, а на top4top и liveinternet. Им нужнее.

habrahabanera Oct 5 2008 at 19:23

угу)))

VPK Oct 5 2008 at 19:58

Эх, ну когда уже будут посты «вы миллионный посетитель и выйграли стопяцот баксов», про письма о выгрыше 100 еголда, для получения которых надо войти в свой личный кабинет по следующей ссылке…

Надоело уже это «будьте внимательны».

Mobyman Oct 5 2008 at 20:59

Вот такая вот диаграмка. Сайт закрыт. Уважаемые хабрапользователи всем спасибо!
Возможно, мы спасли кому-то ящик.

Alexus Oct 5 2008 at 22:40

скажите, а как на страницу встроить вирус? Почему по ссылке нельзя переходить без антивируса?

ruskar Oct 6 2008 at 07:07

как обычно — через JS-код.

Mobyman Oct 7 2008 at 20:05

NoScript!