Комментарии 71
вёрстка ужасная.
Видимо рассылается по whois базе с мыльником на gmail
подправьте название новости… спам
лол, как на такое можно повестись?
ПРивет!
Пользователь написал скрытый комментарий. Для просмотра войдите, указав данные Хабра-аккаунта:
От Ру-центра запарил спам и так, а тут еще с издёвкой :)
Мне интересно кому пришла в голову мысль, что пользователь уже осуществивший вход в систему будет отдавать учетные данные в письме? Неужели я что-то не понимаю? есть такие кто на это поведеться? (нет, я конечно знаю что в семье не без урода, но все же)
поведется 80% юзеров :)
Пользователя приучают, что гуглаппы это не просто сайт, а целое приложение, имеющее, в том числе, и всплывающие окна на дивах.
Выглядит несколько похожим на оное.
А если добавить к этому такую вещь как защищённые паролем архивы, которые отложили свой отпечаток в умах многих пользователей, можно спокойно поймать кучу людей, вписавших в вышеуказанное письмо свои данные.
Просто не стоит смотреть на всех с высоты своих знаний в отдельное области. Пользовательская грамотность, даже после курсов на подобии «Уверенное владение ПК», вряд ли позволит увидеть в этом письме нечто нехорошее.
Выглядит несколько похожим на оное.
А если добавить к этому такую вещь как защищённые паролем архивы, которые отложили свой отпечаток в умах многих пользователей, можно спокойно поймать кучу людей, вписавших в вышеуказанное письмо свои данные.
Просто не стоит смотреть на всех с высоты своих знаний в отдельное области. Пользовательская грамотность, даже после курсов на подобии «Уверенное владение ПК», вряд ли позволит увидеть в этом письме нечто нехорошее.
Я даже не пытался смотреть с высоты… просто я давно уже привык к своему окружению. У меня даже мать, женщина преклонного возраста, понимает что такое данные авторизации и лишний раз подумает прежде чем что-то вводить.
я думаю количество «попавшихся» на эту удочку людей прямо пропорционально количеству тех кто без раздумий отправит смс с кодом ХХХ на номер УУУ. т.е. остается только сожалеть о низком уровне подготовке пользователей руцентра, ибо речь идет именно о них.
я думаю количество «попавшихся» на эту удочку людей прямо пропорционально количеству тех кто без раздумий отправит смс с кодом ХХХ на номер УУУ. т.е. остается только сожалеть о низком уровне подготовке пользователей руцентра, ибо речь идет именно о них.
НЛО прилетело и опубликовало эту надпись здесь
pastebin.com/m4b2d3f88
Вот текст письма с заголовками.
Главное гугл пишет
«Images are not displayed.
Display images below — Always display images from ru-bill@nic.ru»
Вот текст письма с заголовками.
Главное гугл пишет
«Images are not displayed.
Display images below — Always display images from ru-bill@nic.ru»
Гугл так плохо не относится к своей типографике и пунктуации.
Я бы не повелся.
Кроме того, «войдите, указав данные аккаунта», как бы :-)
Не знаю как насчёт типографики и пунктуации, но с переводом бывают досадные ляпы. Пруф: juick.com/johan/343467
ну на скам это не похоже, да и на спам тоже, если вы описались.
Больше похоже на фишинг, а идея не плохая.
Больше похоже на фишинг, а идея не плохая.
Ну в принципе не плохо и свеженько
Хотелось бы посмотреть на идиотов, которые в принципе способны повестись на такое письмо (какое то скрытое мухаха письмо, да еще не по ссылку щелкнуть а логин и пароль ввести)
Можно не рассматривать письмо под лупой, а просто зайти, вбив вручную nic.ru
Покажет сообщение — правда, нет — забить на это.
Больше бесит когда на твой мыльник регистрируют аккаунты на всяких говносайтах без твоего согласия. Особенно если сайт без проверки е-мэйл. Вот с такими что делать?
Покажет сообщение — правда, нет — забить на это.
Больше бесит когда на твой мыльник регистрируют аккаунты на всяких говносайтах без твоего согласия. Особенно если сайт без проверки е-мэйл. Вот с такими что делать?
про скам не знал, спасибо за инфу, но все равно, сама связка Ru-Center пользователь, как то не увязывается =) хотя обычным пользователям наверное на такое не обратить внимания.
«скрытое письмо» это жесть =) как будто все остальные открытые =)
Ага, вам пришло письмо, но я его вам не отдам, потому что у вас документов нету. ;)
наотличненько for-x.ru/
какой глупый спамер for-x.ru/email/
domain: FOR-X.RU
type: CORPORATE
nserver: ns57.dns-rus.net.
nserver: ns58.dns-rus.net.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private person
phone: +7 924 6055199
e-mail: info@i-n-f-o.ru
registrar: REGRU-REG-RIPN
created: 2009.03.12
paid-till: 2010.03.12
source: TC-RIPN
https://www.nic.ru/whois/?query=i-n-f-o.ru
https://www.nic.ru/whois/?query=tut-i-tam.ru
www.google.ru/#hl=ru&source=hp&q=924+6055199&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=924+6055199&fp=be4313e544833b95
Телефон: 7 (924) 6055199. ФИО: Генералов Владислав Анатольевич
Россия, Иркутск
Старокузьмихинская, 53 [посмотреть на карте]. 8-924-6055199. www.stroyinfo.su
https://www.nic.ru/whois/?query=www.stroyinfo.su
domain: STROYINFO.SU
descr: Domain for Web Server
descr: Hosted by AGAVA Software
nserver: ns1.agava.net.ru.
nserver: ns2.agava.net.ru.
state: REGISTERED, DELEGATED
person: Pesterev Vladislav Anatolevich
phone: +7 3952 423749
fax-no: +7 3952 423749
e-mail: stroi.info@mail.ru
registrar: GPT-REG-FID
created: 2008.08.22
paid-till: 2010.08.22
продолжать? =;)
какой глупый спамер for-x.ru/email/
domain: FOR-X.RU
type: CORPORATE
nserver: ns57.dns-rus.net.
nserver: ns58.dns-rus.net.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private person
phone: +7 924 6055199
e-mail: info@i-n-f-o.ru
registrar: REGRU-REG-RIPN
created: 2009.03.12
paid-till: 2010.03.12
source: TC-RIPN
https://www.nic.ru/whois/?query=i-n-f-o.ru
https://www.nic.ru/whois/?query=tut-i-tam.ru
www.google.ru/#hl=ru&source=hp&q=924+6055199&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=924+6055199&fp=be4313e544833b95
Телефон: 7 (924) 6055199. ФИО: Генералов Владислав Анатольевич
Россия, Иркутск
Старокузьмихинская, 53 [посмотреть на карте]. 8-924-6055199. www.stroyinfo.su
https://www.nic.ru/whois/?query=www.stroyinfo.su
domain: STROYINFO.SU
descr: Domain for Web Server
descr: Hosted by AGAVA Software
nserver: ns1.agava.net.ru.
nserver: ns2.agava.net.ru.
state: REGISTERED, DELEGATED
person: Pesterev Vladislav Anatolevich
phone: +7 3952 423749
fax-no: +7 3952 423749
e-mail: stroi.info@mail.ru
registrar: GPT-REG-FID
created: 2008.08.22
paid-till: 2010.08.22
продолжать? =;)
дада (попкорн)
Россия, г. Иркутск, ул. Старо-Кузьмихинская, 53А
Тел. 8-9834-111-001
E-mail: info@i-n-f-o.ru
Доменные имена сайта:
www.i-n-f-o.ru/
www.tut-i-tam.ru/
www.ria-news.ru/
www.b-o-s.ru/
Пестерев Владислав Анатольевич
les.lesprom.com/community/32224/
ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5_%D1%83%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%B8%D0%BA%D0%B0:Stroyinfo
каратист?
74.125.77.132/search?q=cache:rGMFFm94uoQJ:www.ikomatsushima.ru/russian/Yakutov2005_rezults.doc+%D0%9F%D0%B5%D1%81%D1%82%D0%B5%D1%80%D0%B5%D0%B2+%D0%92%D0%BB%D0%B0%D0%B4%D0%B8%D1%81%D0%BB%D0%B0%D0%B2&cd=11&hl=ru&ct=clnk&gl=ru
www.kyokushin.ru/tours_dv2003d.html
если да, то он примерно 89-90гг рождения
хорошо зашифровались, гугл почти не знает улиц иркутска, яндекс не знает его вообще
слабо верится, что могли встретиться два человека с разными фамилиями, но одинаковыми именами-отчествами
ещё немного можно посмотреть на 1stat.ru/?show=whois по мылу
помимо известных, обнаружились
3 Делегирован hackeram.ru Private person best-hoster.ru +7 924 6055199 REGRU-REG-RIPN 10-02-2009 10-02-2010
5 Делегирован moyclan.ru Private person agava.ru +7 924 6055199 REGRU-REG-RIPN 25-05-2009 25-05-2010
6 Делегирован ria-news.ru Private person agava.ru +7 924 6055199 REGRU-REG-RIPN 12-03-2009 12-03-2010
все, что лежат на агаве, ведут в один каталог, но мойклан почему-то глючит
хакерамру даёт ещё кусочек инфы WMID:583677292847 ICQ:592-420-356
people.icq.com/people/about_me.php?uin=592420356 Павел Орлов, Male 26 years old, Иркутск
passport.webmoney.ru/asp/certview.asp?wmid=583677292847 снова павел оролов
гуглится он плохо
вконтактег даёт 5 павлов орловых из иркутска
причём, сертификат зареган 26 Апреля 2009 года в местном центре passport.webmoney.ru/asp/certview.asp?wmid=559818853628
опапа!(Ц) Прикрепленные к аттестату WM идентификаторы:
WMID#559818853628 BL: Бизнес уровень 2050 [BL] используется в интересах компании ИП БОЯРКИН РОМАН ВИКТОРОВИЧ
WMID#798065881608 BL: Бизнес уровень 0 [BL] WMIRK.ru delivery Robot
Бояркин Роман Викторович, Россия, Иркутск, ул. Академическая, д. 28/6
+7 902 5117269 аська 255131
схема проезда на Академическую wmirk.ru/img/schema.jpg
WMIRK.ru — кладезь контактов, аськи, почты, адреса
wmirk.ru/index.php?p=contacts
+7 (3952) 420 548, +7 (3952) 757269
400440749 (Анна), 568434821 (Алена), 255131 (Роман)
ну итд
вот так павлуша подставил аж две иркутские конторы ;) для стройинфо он, скорее всего, лепил сайт на дле
в другой получал вм-сертификат, который использует для недобропорядочной деятельности, предполагаю
мне почему-то кажется, что если кто-нить из иркутских увидит эти данные, павлу, ну, надо приготовиться к разъяснительной беседе
Тел. 8-9834-111-001
E-mail: info@i-n-f-o.ru
Доменные имена сайта:
www.i-n-f-o.ru/
www.tut-i-tam.ru/
www.ria-news.ru/
www.b-o-s.ru/
Пестерев Владислав Анатольевич
les.lesprom.com/community/32224/
ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5_%D1%83%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%B8%D0%BA%D0%B0:Stroyinfo
каратист?
74.125.77.132/search?q=cache:rGMFFm94uoQJ:www.ikomatsushima.ru/russian/Yakutov2005_rezults.doc+%D0%9F%D0%B5%D1%81%D1%82%D0%B5%D1%80%D0%B5%D0%B2+%D0%92%D0%BB%D0%B0%D0%B4%D0%B8%D1%81%D0%BB%D0%B0%D0%B2&cd=11&hl=ru&ct=clnk&gl=ru
www.kyokushin.ru/tours_dv2003d.html
если да, то он примерно 89-90гг рождения
хорошо зашифровались, гугл почти не знает улиц иркутска, яндекс не знает его вообще
слабо верится, что могли встретиться два человека с разными фамилиями, но одинаковыми именами-отчествами
ещё немного можно посмотреть на 1stat.ru/?show=whois по мылу
помимо известных, обнаружились
3 Делегирован hackeram.ru Private person best-hoster.ru +7 924 6055199 REGRU-REG-RIPN 10-02-2009 10-02-2010
5 Делегирован moyclan.ru Private person agava.ru +7 924 6055199 REGRU-REG-RIPN 25-05-2009 25-05-2010
6 Делегирован ria-news.ru Private person agava.ru +7 924 6055199 REGRU-REG-RIPN 12-03-2009 12-03-2010
все, что лежат на агаве, ведут в один каталог, но мойклан почему-то глючит
хакерамру даёт ещё кусочек инфы WMID:583677292847 ICQ:592-420-356
people.icq.com/people/about_me.php?uin=592420356 Павел Орлов, Male 26 years old, Иркутск
passport.webmoney.ru/asp/certview.asp?wmid=583677292847 снова павел оролов
гуглится он плохо
вконтактег даёт 5 павлов орловых из иркутска
причём, сертификат зареган 26 Апреля 2009 года в местном центре passport.webmoney.ru/asp/certview.asp?wmid=559818853628
опапа!(Ц) Прикрепленные к аттестату WM идентификаторы:
WMID#559818853628 BL: Бизнес уровень 2050 [BL] используется в интересах компании ИП БОЯРКИН РОМАН ВИКТОРОВИЧ
WMID#798065881608 BL: Бизнес уровень 0 [BL] WMIRK.ru delivery Robot
Бояркин Роман Викторович, Россия, Иркутск, ул. Академическая, д. 28/6
+7 902 5117269 аська 255131
схема проезда на Академическую wmirk.ru/img/schema.jpg
WMIRK.ru — кладезь контактов, аськи, почты, адреса
wmirk.ru/index.php?p=contacts
+7 (3952) 420 548, +7 (3952) 757269
400440749 (Анна), 568434821 (Алена), 255131 (Роман)
ну итд
вот так павлуша подставил аж две иркутские конторы ;) для стройинфо он, скорее всего, лепил сайт на дле
в другой получал вм-сертификат, который использует для недобропорядочной деятельности, предполагаю
мне почему-то кажется, что если кто-нить из иркутских увидит эти данные, павлу, ну, надо приготовиться к разъяснительной беседе
ФСБ потеряло в вас такого ценного кадра…
Зачет, я в шоке.
Зачет, я в шоке.
Чё-то вы не туда со своим дедуктивным анализом полезли.
Обратите внимание на строку в письме:
X-PHP-script: for-x.ru/email/mail.php for 193.108.38.230, 193.108.38.230
Теперь откроем for-x.ru/email/ — это анонимайзер для почты. И очевидно, что IP в конце — адрес того, кто воспользовался сервисом. Можете проверить для интереса, отправив анонимное письмо. Там будет ваш IP.
Оказывается, хлопец с Украины (см. WHOIS):
inetnum: 193.108.38.0 — 193.108.39.255
netname: DEC-NET
descr: Private Enterprise «DEC»,
descr: Universitetskay st, 70,
descr: 83012, Donetsk,Ukraine
country: UA
Теперь что на хосте — может машина-зомби? Смотрим:
193.108.38.230/
404 Not Found
The requested URL / was not found on this server.
Apache/2.2.12 (Ubuntu) Server at 193.108.38.230 Port 80
Значит, письма рассылаются оттуда через анонимайзер for-x. Но всё равно не факт, что виноват админ украинского сервера. Возможно, на этом сервере есть зараженный код, из которого идут запросы. Тогда автор теряется.
Обратите внимание на строку в письме:
X-PHP-script: for-x.ru/email/mail.php for 193.108.38.230, 193.108.38.230
Теперь откроем for-x.ru/email/ — это анонимайзер для почты. И очевидно, что IP в конце — адрес того, кто воспользовался сервисом. Можете проверить для интереса, отправив анонимное письмо. Там будет ваш IP.
Оказывается, хлопец с Украины (см. WHOIS):
inetnum: 193.108.38.0 — 193.108.39.255
netname: DEC-NET
descr: Private Enterprise «DEC»,
descr: Universitetskay st, 70,
descr: 83012, Donetsk,Ukraine
country: UA
Теперь что на хосте — может машина-зомби? Смотрим:
193.108.38.230/
404 Not Found
The requested URL / was not found on this server.
Apache/2.2.12 (Ubuntu) Server at 193.108.38.230 Port 80
Значит, письма рассылаются оттуда через анонимайзер for-x. Но всё равно не факт, что виноват админ украинского сервера. Возможно, на этом сервере есть зараженный код, из которого идут запросы. Тогда автор теряется.
Параноить стоит в сторону владельца kasumi.ru тогда уже, потому как именно там сидел сборщик паролей.
1) У кого nmap под рукой просканируйте этот ИП (193.*).там наверняка проксик на порту типа 3333
2) У кого есть nmap :) просканьте kasumi.ru, сайт хостится на hc.ru, видимо взломан, так как 21 октября там был корпоративный сайт
2) У кого есть nmap :) просканьте kasumi.ru, сайт хостится на hc.ru, видимо взломан, так как 21 октября там был корпоративный сайт
отличное дополнение, спасибо
моему начальнику пришло такое вчера, ладно он догадался у меня спросить ) прежде чем что то вводить
Красотища какая…
<form id=«gaia_loginform» action=«kasumi.ru/mail.php» method=«post»
Может вгет натравить на него?
<form id=«gaia_loginform» action=«kasumi.ru/mail.php» method=«post»
Может вгет натравить на него?
недавно читал о подобном способе взлома пароля относительно мыла.ру.
Однажды я чуть не попался на липовый Вконтакте, ссылку по аське прислали. Спасло не в последнюю очередь то, что все основные пароли помнит мой лис, и руками я их не вбиваю. Если лис не показал пароль — это повод напрячь мозги и внимание.
Однажды я чуть не попался на липовый Вконтакте, ссылку по аське прислали. Спасло не в последнюю очередь то, что все основные пароли помнит мой лис, и руками я их не вбиваю. Если лис не показал пароль — это повод напрячь мозги и внимание.
Ну недоработали они… Судя по html, адрес формы не подставляется на оригинальный, чтобы можно было воспользоваться автозаполнением.
А если я вижу форму входа на сайт, для которого пароль точно сохранён, а поля не заполнены или не подсвечены, то становится ясно, что это какая-то подстава.
А если я вижу форму входа на сайт, для которого пароль точно сохранён, а поля не заполнены или не подсвечены, то становится ясно, что это какая-то подстава.
Форма kasumi.ru/mail.php заблокирована.
ни разу не натурально
На такое еще кто то ведется?? Этот способ стар, как мир! )
Вычислить и к стенке.
Меня бы насторожила сразу же глупейшая пунктуационная ошибка в тексте.
в Опере ещё бы спас «Жезл паролей». даже если не обратить внимания на адрес, то отсутствие активной кнопки «Войти» на тулбаре сразу бы показал, что сайт не гугловский :) кстати, Опера меня недавно спасла от потери пароля в соцсети вконтакте: переписывался с другом, потом, минут через 30 от него же приходит письмо, мол, ты знаешь её, она говорит, что знает. глаз не заметил лишней буквы в адресе, клик по ссылке, но Опера не дала зайти мне на сайт, предупредила о том, что это мошеннический сайт. в общем, будьте внимательны.
Ваше мыло заказали. На взлом. Рекомендую подумать кому это могло понадобится. Ибо раз заказали — заплатили денежку — будут пытаться еще. Способов масса.
а как «все ссылки показывают на гугл»? т.е. в строке состояния (statusbar) показывается фальшивая ссылка? если ваш браузер позволяет запрещать скриптам менять её (строку состояния), обязательно рассмотрите эту возможность
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Аккуратно: очень хитрый скам