Pull to refresh

Comments 12

Мне за последние две недели на gmail пришло 25 однотипных фишинговых писем с вложениями, все с разных адресов, но всегда гмайловских. Первую неделю шли прямо в инбокс, только потом автоматически в спам начали отправляться.
Это оно, или если предупреждения от Google не пришло, значит что-то другое?

Я, похоже, тоже попал под эту раздачу.

У вас во вложениях тоже были htm/html?

Да, оно. Плюс письмо без темы всегда, и в тексте набор букв. И обязательно какое-то вложение.

Приходят до сих пор, лишь иногда попадая сразу в спам. Чаще - обходят.

Мне такие тоже стали приходить. Одно-два попало в инбокс, но после их перемещения в спам все стало фильтроваться.

Мне не помогло с первого и второго раза.

Мне штук 10-15 пришлось вручную в спам отправить, только потом отфильтровываться автоматически начало.

Это не оно. Письма с HTML-ями - это ярославская банда гопников.

HTMLи перенаправляют на мошеннические сайты типа лото, купоны, продай куки и потеряй 499р, поиграй в игру и потеряй выигрыш оплатив жуликам налог, потеряй на наших биткоинах, и так далее. Вся эта шушера падает мне в инбокс, и я руками отмечаю их как фишинг. Только сегодня где-то 25 было.

Я тоже попал под этот шквал спама, решил проанализировать что, кто и как от этого избавиться.

Пока я нашел два интересных адреса viamone.ru и spaysdomains.com. Первый адрес выступает фронтом и делает редиректы на окончательный сайт фишинга, второй выступает беком и отдает какие-то адреса для первого сайта.

Также файлы в письмах бывают двух типов - в виде изображения и в виде обычного открытия новой вкладки. Обычно содержимое состоит из js и закодированного base64 текста (изображение или url).

Процесс открытия пользователем сайта мошенников примерно такой:

1) открывается viamone.ru/google.html, содержание почти пустое и грузится лишь один js скрипт (viamone.ru/tds.js)

2) скрипт обращается ко второму сайту, по адресу spaysdomains.com/request_tds.php, и получает какой-то json с сайтом для дальнейшего перенаправления

3) в js происходит какая-то матем. магия с url и вас редиректит на страницу мошенников

что ещё удалось найти: у первого сайта есть авторизация на phpmyadmin (viamone.ru/phpmyadmin/), у второго есть обычная http авторизация (spaysdomains.com/admin/ru/)

Также начал лететь спам недели 2 назад, каждый день по письму с вложениями.

Аналогично, сперва даже попадали прямо во входящие, сейчас уже в спам идут

Only those users with full accounts are able to leave comments. Log in, please.