Пришло письмо от ГосУслуг, что я якобы пытаюсь сменить свою электронную почту. Но почему то пришло сообщение на один из моих резервных адресов на яндексе. И там под картинкой был дискредитирующий текст "Госпрограмма Престижный Гроб в Обмен на Службу".
Спам подумал Штирлиц, но почему замочек-то стоит, что отправитель подтверждён? Идём получать настоящее письмо и открываем заголовки для сравнения.
Заголовки фишингового письма
Received: from sas2-8adc7f9fdb94.qloud-c.yandex.net (sas2-8adc7f9fdb94.qloud-c.yandex.net [2a02:6b8:c14:3215:0:640:8adc:7f9f])
by sas2-ae949eb13c6d.qloud-c.yandex.net with LMTP id 4u3mxCXHpQ-og7QG23s
for <REDACTED@ya.ru>; Wed, 20 Apr 2022 00:26:08 +0300
Received: from smtp.gosuslugi.ru (smtp.gosuslugi.ru [213.59.253.1])
by sas2-8adc7f9fdb94.qloud-c.yandex.net (mxfront/Yandex) with ESMTPS id ATKp9xSv2g-Q8b4nfU6;
Wed, 20 Apr 2022 00:26:08 +0300
(using TLSv1.2 with cipher ECDHE-RSA-AES128-SHA256 (128/128 bits))
(Client certificate not present)
Return-Path: no-reply@gosuslugi.ru
X-Yandex-Fwd: 1
Authentication-Results: sas2-8adc7f9fdb94.qloud-c.yandex.net; spf=pass (sas2-8adc7f9fdb94.qloud-c.yandex.net: domain of gosuslugi.ru designates 213.59.253.1 as permitted sender, rule=[ip4:213.59.253.1]) smtp.mail=no-reply@gosuslugi.ru; dkim=pass header.i=@gosuslugi.ru
X-Yandex-Spam: 1
X-Yandex-Uid-Status: 1 114035614
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: base64
DKIM-Signature: v=1; a=rsa-sha256; d=gosuslugi.ru; s=mail; c=simple/simple;
t=1650403568; h=from:subject:to:date:message-id;
bh=4oxNCFprgCAKhzGZtJcM623SIyiDTPjssySVEYpQKZU=;
b=KUXexfkjrC6E2jxTR7iX4AeG8ecaZtzjfuAqS9LrI/fceyBWpVG01dbga1BbFEBz/da+GoSb03H
q07OdkOW9DYG3CT/MlMYl/tJJJ36Sl3Md72n1QnIQJ1lqu4ZfBPaxPcDU1u5l2TXBBtyCNcyzLnXi
6EFKI7k1zYzNSrVLnqQQzrWpZYXS1Psmmzp1X1zvjqF9KzB6K4qM4rgzzblTfLpuWLmVpxlhLGmyb
aqD/i7IK2SK/Cs/2McTktWAr6hhNA1FMQCrWJO4E4P+gNo7Xxwg+hgIQKA84Mqn2Uu48JQ09cbJIi
4kbx0zYH/pzFkXahVknd9ncAf4JaxEM8n/CA==
From: =?UTF-8?B?0JPQvtGB0YPRgdC70YPQs9C4?= <no-reply@gosuslugi.ru>
Sender: =?UTF-8?B?0JPQvtGB0YPRgdC70YPQs9C4?= <no-reply@gosuslugi.ru>
To: <REDACTED@ya.ru>
Message-ID: <1048716937.153028511650403567874.JavaMail.no-reply@gosuslugi.ru>
Subject: =?UTF-8?B?0KHQvNC10L3QsCDQsNC00YDQtdGB0LAg0Y3Quw==?=
=?UTF-8?B?0LXQutGC0YDQvtC90L3QvtC5INC/0L7Rh9GC0Ys=?=
MIME-Version: 1.0
Date: Wed, 20 Apr 2022 00:26:07 +0300
X-Yandex-Forward: b6884cd3e061804f66d1d7eebbc56d2e
Заголовки настоящего письма
Delivered-To: REDACTED@bk.ru
Return-path: <>
Received: from [213.59.253.1] (ident=mail)
by del7.m.smailru.net with local (envelope-from <no-reply@gosuslugi.ru>)
id 1ngvNx-00096t-VC
for REDACTED@bk.ru; Wed, 20 Apr 2022 00:27:46 +0300
X-ResentFrom: <REDACTED@bk.ru>
X-MailRu-Forward: 1
Received-SPF: pass (mx219.i.mail.ru: domain of gosuslugi.ru designates 213.59.253.1 as permitted sender) client-ip=213.59.253.1; envelope-from=no-reply@gosuslugi.ru; helo=smtp.gosuslugi.ru;
Received: from smtp.gosuslugi.ru ([213.59.253.1]:51712)
by mx219.i.mail.ru with esmtp (envelope-from <no-reply@gosuslugi.ru>)
id 1ngvNx-0002W0-Hx
for REDACTED@bk.ru; Wed, 20 Apr 2022 00:27:45 +0300
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: base64
DKIM-Signature: v=1; a=rsa-sha256; d=gosuslugi.ru; s=mail; c=simple/simple;
t=1650403665; h=from:subject:to:date:message-id;
bh=qBdNyJhJgBmVEGhhkkt4GqqkNDk2wUVuSewod4GvXx0=;
b=hgZnRPTdkUfY79i9DPPqwvSph4EScm3RVWKeYDLX4pqXgLXwe70a2wpB8HUHxux3ySJrTSZDpuJ
rs1UDGVARmkrnbY+DfF3Fc1OI3Bh4o20EodNYsa0ShftdWsPU0072ooAUMh29gPAsfT2MKug70UQF
mDd7fqqh82mmI1jTqDrEsMT2IYNfkgYUy9+eKLuvqJISspKn6GTyD20v8y3zdxD2qbSEwGQ74gqYv
ny8hl++hcEOUSay9YPxf2fteklxLGKOBYQhclkuTNcs3bMRE1A6PJKOcnXSajzhAwy+tAoAWZgfmr
6VwK8mKyxxT9VSqbqq3knS3u8DR3xE0NXYzg==
From: =?UTF-8?B?0JPQvtGB0YPRgdC70YPQs9C4?= <no-reply@gosuslugi.ru>
Sender: =?UTF-8?B?0JPQvtGB0YPRgdC70YPQs9C4?= <no-reply@gosuslugi.ru>
To: <REDACTED@bk.ru>
Message-ID: <1188337370.152787031650403665253.JavaMail.no-reply@gosuslugi.ru>
Subject: =?UTF-8?B?0KPRgdC/0LXRiNC90YvQuSDQstGF0L7QtCDQsiDRgdC40YHRgtC10LzRgw==?=
MIME-Version: 1.0
Date: Wed, 20 Apr 2022 00:27:45 +0300
X-4EC0790: 10
X-7564579A: 646B95376F6C166E
X-77F55803: E822A06ED42C499A9C19D32967300EC5CEEBB148302E62C7DD2CC4B2A8B1C2240BBDAAE39103F3638701F0628C4B95CBB29E5823AB364DE9FC838725624EE45D4940C7479431D710B7AB0E7134D2E1A8
X-7FA49CB5: FF5795518A3D127A4AD6D5ED66289B5259CC434672EE6371C2A783ECEC0211AD4AD6D5ED66289B524E70A05D1297E1BBAC83A81C8FD4AD239742502CCDD46D0D757A4B471A37DB43AC83A81C8FD4AD23D82A6BABE6F325AC2E85FA5F3EDFCBAA7353EFBB553375664A81CFF7C2158E059F9F2B0C207478DAF9F7455DE9427810
X-8FC586DF: A2602127D709D69B
X-C1DE0DAB: 8BD88D57C5CADBC8B2710865C386751046742C3408E6EB0B007B3D5D31C4C617296C473AB1E14218A96499356E36FFBBC2033CF449CDCA5DB2710865C38675105B7558F2FFCBE2BFAD821FE3CBC9797DB2710865C3867510CD8DAA7A11EFD9E5738129007D183D36B2710865C3867510A54EEB95E86C8F86738129007D183D36E2F53EE8FE8583D13ABA21ED53DF6E3EC6CDE5D1141D2B1CD96886DD2EE0BABAF2CBF5CBFFF022B9F9D6CD68B70C522AAD91A466A1DEF99B6767D0134C34A8BB9C5DF10A05D560A97E15B380B3B81456F2DBB7B6E8D16988B4C3F08A0C1F3162C79554A2A7244132AB599F986E9D6516C4FEDC7FE7C660A4EF3E4896CB9E64363D58D961240FA4EF6DABF04D5057A81F1E618B5D5F965AFDCB5012B2E24CD356
X-C8649E89: 4E36BF7865823D7055A7F0CF078B5EC49A30900B95165D347D10A9FCB2A62DFE9829DA8EB6DFDCFA7DC0A1FC2C0E1B0CA8068254CCD7230E222232819F0898971D7E09C32AA3244C9102A917C90E804F52433F0435EED93FF26BFA4C8A6946B83EB3F6AD6EA9203E
X-D57D3AED: 3ZO7eAau8CL7WIMRKs4sN3D3tLDjz0dLbV79QFUyzQ2Ujvy7cMT6pYYqY16iZVKkSc3dCLJ7zSJH7+u4VD18S7Vl4ZUrpaVfd2+vE6kuoey4m4VkSEu530nj6fImhcD4MUrOEAnl0W826KZ9Q+tr59cQFxbtK52nrsBwskjMlLbwTDbZjg0ktGWyd3ZwR5M2G0g+gzS0PKeJDOBrL//rLYldd2avYxhfs9M+DuXTOBSH/SnnzuO3dUdTEydar/8eFJ0Yov0iBYqbPxbjRbsUFg==
X-F696D7D5: c0WPOqWmwQ3rQhCFGZFb9SKd3VPw5rOHAXS29IJQOLp9rFA0OGQlUw==
X-Mailru-BIMI-Organization: w+7x8/Hr8+Po
X-Mailru-Noreply: yes
X-Mras: Ok
X-Spam: undefined
X-4EC0790: 10
X-7564579A: B8F34718100C35BD
X-77F55803: E822A06ED42C499A9C19D32967300EC5CEEBB148302E62C7D02DBF0B3A70D1900BBDAAE39103F3638701F0628C4B95CBB29E5823AB364DE9CD6EF3474C4177834940C7479431D7106464624B37E45577
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
X-B7AD71C0: 4965CFDFE0519134F690B0B3A4073A465E51A7AB86BDA418834459D11680B50524219EA45858A34453479C42001B8AD7
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
X-D57D3AED: 3ZO7eAau8CL7WIMRKs4sN3D3tLDjz0dLbV79QFUyzQ2Ujvy7cMT6pYYqY16iZVKkSc3dCLJ7zSJH7+u4VD18S7Vl4ZUrpaVfd2+vE6kuoey4m4VkSEu530nj6fImhcD4MUrOEAnl0W826KZ9Q+tr59cQFxbtK52nlS5dXYHM/vGJPPyhnCcOsWxjvstlFwfLDmG3SyZat9L/UbVf+SZbS53lpSoTHJY9G3u5IWT004KbDXfzo+fWyYN1jiACoayQ/taA8CIxp3O3z2PQ8A78WQ==
X-F696D7D5: 6nR2eVmEp8hQiu+ezB1cQCqgPp1D7Pdp2wTTzQlKDAoV3AgoTSSCJ8T4xZX//u2p
X-Mailru-BIMI-Organization: w+7x8/Hr8+Po
X-Mailru-Dmarc-Auth: dmarc=pass header.from=no-reply@gosuslugi.ru
X-Mailru-Noreply: yes
X-Mras: Ok
Authentication-Results: mxs.mail.ru; spf=pass (mx219.i.mail.ru: domain of gosuslugi.ru designates 213.59.253.1 as permitted sender) smtp.mailfrom=no-reply@gosuslugi.ru smtp.helo=smtp.gosuslugi.ru;
dkim=pass header.d=gosuslugi.ru; dmarc=pass header.from=no-reply@gosuslugi.ru; dmarc=pass header.from=no-reply@gosuslugi.ru
X-Senderinfo: 1095
X-Mailru-Intl-Transport: d,cb2ca2e
Первое что смотрим это IP адрес smtp сервера и пробиваем его через whois сервис.
В обоих письмах IP адрес совпадает (может спуфинг IP адреса, подумал я). Проверяем SPF записи в DNS, получаем через whois сервис регистратора домена и NS сервера для наших госуслуг, делаем запрос и получаем:
v=spf1 mx a:mail.ntt.ru ip4:109.207.0.0/20 ip4:195.28.32.3 ip4:213.59.253.1 ip4:213.59.253.2 ip4:213.59.254.1 ip4:213.59.254.2 -all
Проверяем DKIM и DMARC, мало ли кто где ошибся. Но всё верно. Тогда начинаем смотреть какие же заголовки у нас подписываются DKIM памятуя о том что электронная почта имеет особенности, которые освещали уже на хабре:
h=from:subject:to:date:message-id;
Значит адрес получателя указанный в заголовке to попадает в подпись, можно ли получить похожее письмо от госуслуг? Легко! Регистрируем аккаунт на госуслугах с именем "Госпрограмма Престижный" и отчеством "Гроб в Обмен на Службу", потом жмём "Изменение электронной почты" и всё дискредитирующее письмо отправляется получателю. Обмазываем это питончиком и наши кулхацкерские скрипт-кидди довольные идут пить чаёк.
Способ получить аккаунт на госуслугах и злоупотреблять функционалом засчитан в ачифку.
А я уж подумал что кто-то тело сообщения может менять на фишинговое что нибудь. Но нет, пойду поработаю.