Pull to refresh
0
Rating
REG.RU
Каждый день мы делаем Рунет лучше! Вы с нами?

Ошибка 404, которая спасла тысячи пользователей ВКонтакте

REG.RU corporate blog
Вчера у службы технической поддержки REG.RU день начался не как всегда — число обращений было больше, чем в любой другой майский день. В своих письмах люди просили разблокировать Гугл или показать Яндекс, открыть доступ к Твиттеру и т.д.





В определенный момент писем уже пришло настолько много, что это было похоже на какой-то флешмоб.



В то же время в статистике посещаемости сайта reg.ru наблюдался всплеск переходов со страниц социальной сети vkontakte.ru – совпадение первое, следующее совпадение еще интереснее…

Событие только стало набирать масштабы, а специалисты компании уже разбирались детально в статистике: осуществлено по 2-3 перехода с тысяч страниц разных пользователей ВКонтакте, но на этих страницах не было никакого упоминания о REG.RU.


(Скриншот из Google Analytics)

Но страница одного события показалась очень подозрительной, с нее было всего около десятка переходов за начало дня — vkontakte.ru/event27158053 В мероприятии говорится о программе, которая делает подарки ВКонтакте бесплатными и указана ссылка на скачивание _ttp://vkliker.ru/FreePresents.exe (не запускайте, там троян!).

Сотрудники произвели контрольное скачивание приложения, которое, как оказалось, не отличается оригинальностью и производит запись вида «IP адрес – название домена» для ресурсов:

95.163.12.18 baidu.com
95.163.12.18 blogger.com
95.163.12.18 facebook.com
95.163.12.18 google.com
95.163.12.18 google.ru
95.163.12.18 live.com
95.163.12.18 livejournal.com
95.163.12.18 mail.ru
95.163.12.18 msn.com
95.163.12.18 myspace.com
95.163.12.18 odnoklassniki.ru
95.163.12.18 rambler.ru
95.163.12.18 rutube.ru
95.163.12.18 twitter.com
95.163.12.18 vk.com
95.163.12.18 vkontakte.ru
95.163.12.18 webmoney.ru
95.163.12.18 wikipedia.org
95.163.12.18 ya.ru
95.163.12.18 yahoo.com
95.163.12.18 yandex.net
95.163.12.18 yandex.ru
95.163.12.18 youtube.com
95.163.12.18 durov.ru
95.163.12.18 www.baidu.com
95.163.12.18 www.blogger.com
95.163.12.18 www.facebook.com
95.163.12.18 www.google.com
95.163.12.18 www.google.ru
95.163.12.18 www.live.com
95.163.12.18 www.livejournal.com
95.163.12.18 www.mail.ru
95.163.12.18 www.msn.com
95.163.12.18 www.myspace.com
95.163.12.18 www.odnoklassniki.ru
95.163.12.18 www.rambler.ru
95.163.12.18 www.rutube.ru
95.163.12.18 www.twitter.com
95.163.12.18 www.vk.com
95.163.12.18 www.vkontakte.ru
95.163.12.18 www.webmoney.ru
95.163.12.18 www.wikipedia.org
95.163.12.18 www.ya.ru
95.163.12.18 www.yahoo.com
95.163.12.18 www.yandex.net
95.163.12.18 www.yandex.ru
95.163.12.18 www.youtube.com
95.163.12.18 www.durov.ru


При обращении по IP-адресу 95.163.12.18 отображается фишинговая страница Вконтакте. Пользователь, запустивший программу, попадает на страницу-фальшивку, вводит свои авторизационные данные и получает некое предупреждение об ошибке входа. Тем временем его логин и пароль входа уже пересланы злоумышленнику.

Совпадение номер два. Несколько дней назад в службу технической поддержки обратился человек, представившись владельцем хостинга для домена vkliker.ru, с вопросом о неработоспособности метода проверки сайта путем добавления записи в файл %WINDOWS%/system32/drivers/etc/hosts до того, как произойдет обновление DNS-серверов.

Обратившийся утверждал, что способ не работоспособен и при его использовании по адресу сайта отображается страница об ошибке. Сотрудник, уточняя детали, услышал фразу: «Александр, у меня этот способ не работает, я добавляю еще другие домены, кроме своего, и именно они не работают». Специалист технической поддержки хостинга, предположив возможные недобросовестные намерения, устно предупредил клиента, что его действия могут подпадать под определение «фишинга», т.е. являться незаконными. Клиент, ничего не ответив, предпочел закончить разговор.

Мошенник не справился с правильной настройкой дополнительного IP виртуального хостинга, в итоге «зараженным» посетителям, которые скачали и запустили зловредный FreePresents.exe выдавалась не фишинговая страница, а заглушка REG.RU с информацией о несуществующей странице. Зараженные пользователи набирали в браузере vkontakte.ru и попадали на страницу ошибки 404, где сообщалось, что такой страницы не существует. Поэтому расстроенные писали на первый попавшийся контакт с этой страницы, а именно в поддержку REG.RU.

Страница 404, которую все так не любят, чудесным образом спасла аккаунты тысяч пользователей ВКонтакте (прим. слово «тысяч» основано на количестве обращений к этой странице за первую половину дня).

Команда REG.RU максимально быстро отреагировала, поставив индивидуальную страницу, оповещающую пользователей о попытке взлома и с инструкцией по очистке файла hosts, рекомендацией поменять пароль к аккаунту на всякий случай и больше не запускать подозрительные файлы на своем компьютере.

Из всего сказанного можно сделать выводы, что бесплатный сыр бывает только в мышеловке. (ведь, на это намекает само изображение на странице мероприятия):

Tags:
Hubs:
Total votes 153: ↑143 and ↓10 +133
Views 62K
Comments Comments 127

Information

Founded
Location
Россия
Website
www.reg.ru
Employees
101–200 employees
Registered