Comments 12
Мне за последние две недели на gmail пришло 25 однотипных фишинговых писем с вложениями, все с разных адресов, но всегда гмайловских. Первую неделю шли прямо в инбокс, только потом автоматически в спам начали отправляться.
Это оно, или если предупреждения от Google не пришло, значит что-то другое?
Я, похоже, тоже попал под эту раздачу.
У вас во вложениях тоже были htm/html?
Именно так.
Да, оно. Плюс письмо без темы всегда, и в тексте набор букв. И обязательно какое-то вложение.
Приходят до сих пор, лишь иногда попадая сразу в спам. Чаще - обходят.
Мне такие тоже стали приходить. Одно-два попало в инбокс, но после их перемещения в спам все стало фильтроваться.
Это не оно. Письма с HTML-ями - это ярославская банда гопников.
HTMLи перенаправляют на мошеннические сайты типа лото, купоны, продай куки и потеряй 499р, поиграй в игру и потеряй выигрыш оплатив жуликам налог, потеряй на наших биткоинах, и так далее. Вся эта шушера падает мне в инбокс, и я руками отмечаю их как фишинг. Только сегодня где-то 25 было.
Я тоже попал под этот шквал спама, решил проанализировать что, кто и как от этого избавиться.
Пока я нашел два интересных адреса viamone.ru и spaysdomains.com. Первый адрес выступает фронтом и делает редиректы на окончательный сайт фишинга, второй выступает беком и отдает какие-то адреса для первого сайта.
Также файлы в письмах бывают двух типов - в виде изображения и в виде обычного открытия новой вкладки. Обычно содержимое состоит из js и закодированного base64 текста (изображение или url).
Процесс открытия пользователем сайта мошенников примерно такой:
1) открывается viamone.ru/google.html, содержание почти пустое и грузится лишь один js скрипт (viamone.ru/tds.js)
2) скрипт обращается ко второму сайту, по адресу spaysdomains.com/request_tds.php, и получает какой-то json с сайтом для дальнейшего перенаправления
3) в js происходит какая-то матем. магия с url и вас редиректит на страницу мошенников
что ещё удалось найти: у первого сайта есть авторизация на phpmyadmin (viamone.ru/phpmyadmin/), у второго есть обычная http авторизация (spaysdomains.com/admin/ru/)
Также начал лететь спам недели 2 назад, каждый день по письму с вложениями.
Аналогично, сперва даже попадали прямо во входящие, сейчас уже в спам идут
Google обвинила российских хакеров в атаке 14 тыс. пользователей Gmail