Как стать автором
Обновить

Комментарии 71

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Видимо рассылается по whois базе с мыльником на gmail
или кто-то у руцентра дернул бд клиентов =)
если бы действительно дёрнули, зачем рассылать что-то клиентам? достаточно вскрыть хэши паролей (если там вообще хэши) и стырить тысячи доменов…
Тут никаких whois не надо, достаточно было вчера зайти на страницу с раздачей инвайтов.
подправьте название новости… спам
… срам
Может автор имел в виду не спам, а того, кто его рассылает?))
лол, как на такое можно повестись?
ПРивет!
Пользователь написал скрытый комментарий. Для просмотра войдите, указав данные Хабра-аккаунта:
«Раскрыть комментарий» на хабре тоже стоит изменить, чтобы под него нельзя было замаскировать злую ссылку. Совсем ведь не сложно, можно просто пунктирное подчёркивание сделать.

P.S.: Ваша картинка не грузится :(
От Ру-центра запарил спам и так, а тут еще с издёвкой :)
Мне интересно кому пришла в голову мысль, что пользователь уже осуществивший вход в систему будет отдавать учетные данные в письме? Неужели я что-то не понимаю? есть такие кто на это поведеться? (нет, я конечно знаю что в семье не без урода, но все же)
поведется 80% юзеров :)
Пользователя приучают, что гуглаппы это не просто сайт, а целое приложение, имеющее, в том числе, и всплывающие окна на дивах.
Выглядит несколько похожим на оное.

А если добавить к этому такую вещь как защищённые паролем архивы, которые отложили свой отпечаток в умах многих пользователей, можно спокойно поймать кучу людей, вписавших в вышеуказанное письмо свои данные.

Просто не стоит смотреть на всех с высоты своих знаний в отдельное области. Пользовательская грамотность, даже после курсов на подобии «Уверенное владение ПК», вряд ли позволит увидеть в этом письме нечто нехорошее.
Я даже не пытался смотреть с высоты… просто я давно уже привык к своему окружению. У меня даже мать, женщина преклонного возраста, понимает что такое данные авторизации и лишний раз подумает прежде чем что-то вводить.
я думаю количество «попавшихся» на эту удочку людей прямо пропорционально количеству тех кто без раздумий отправит смс с кодом ХХХ на номер УУУ. т.е. остается только сожалеть о низком уровне подготовке пользователей руцентра, ибо речь идет именно о них.
НЛО прилетело и опубликовало эту надпись здесь
pastebin.com/m4b2d3f88

Вот текст письма с заголовками.
Главное гугл пишет

«Images are not displayed.
Display images below — Always display images from ru-bill@nic.ru»
НЛО прилетело и опубликовало эту надпись здесь
руцентр это просто From: RU-CENTER NCC

но зато срипт спалил недоспамера
X-PHP-script: for-x.ru/email/mail.php for 193.108.38.230, 193.108.38.230
а хостится он на piter23.dns-rus.net

заголовки в абуз и дело закрыто
From: RU-CENTER NCC ru-bill@nic.ru


Гугл так плохо не относится к своей типографике и пунктуации.
Я бы не повелся.
Кроме того, «войдите, указав данные аккаунта», как бы :-)
Не знаю как насчёт типографики и пунктуации, но с переводом бывают досадные ляпы. Пруф: juick.com/johan/343467
а в украинском варианте вообще жесть проскакивает: «Файрбаг может замедлить работу вашего сайта, если его правильно настроить. Настроить файбаг!»
«вашего сайта» имелось ввиду gmail :)
ну на скам это не похоже, да и на спам тоже, если вы описались.
Больше похоже на фишинг, а идея не плохая.
неважно, суть ясна
Не путайте скам и спам

%username%, конечно, может объективно сказать, что такой наглый скам не пройдёт, но интернеты большие и свой улов он принесёт.
Ну в принципе не плохо и свеженько
Хотелось бы посмотреть на идиотов, которые в принципе способны повестись на такое письмо (какое то скрытое мухаха письмо, да еще не по ссылку щелкнуть а логин и пароль ввести)
привет идиотам ) пока 10 насчитал
Можно не рассматривать письмо под лупой, а просто зайти, вбив вручную nic.ru
Покажет сообщение — правда, нет — забить на это.

Больше бесит когда на твой мыльник регистрируют аккаунты на всяких говносайтах без твоего согласия. Особенно если сайт без проверки е-мэйл. Вот с такими что делать?
про скам не знал, спасибо за инфу, но все равно, сама связка Ru-Center пользователь, как то не увязывается =) хотя обычным пользователям наверное на такое не обратить внимания.
«скрытое письмо» это жесть =) как будто все остальные открытые =)
Да что вы хотите, полстраны верит в астрологию.
имхо, лучший комментарий
Ага, вам пришло письмо, но я его вам не отдам, потому что у вас документов нету. ;)
наотличненько for-x.ru/
какой глупый спамер for-x.ru/email/

domain: FOR-X.RU
type: CORPORATE
nserver: ns57.dns-rus.net.
nserver: ns58.dns-rus.net.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private person
phone: +7 924 6055199
e-mail: info@i-n-f-o.ru
registrar: REGRU-REG-RIPN
created: 2009.03.12
paid-till: 2010.03.12
source: TC-RIPN

https://www.nic.ru/whois/?query=i-n-f-o.ru
https://www.nic.ru/whois/?query=tut-i-tam.ru

www.google.ru/#hl=ru&source=hp&q=924+6055199&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=924+6055199&fp=be4313e544833b95

Телефон: 7 (924) 6055199. ФИО: Генералов Владислав Анатольевич
Россия, Иркутск
Старокузьмихинская, 53 [посмотреть на карте]. 8-924-6055199. www.stroyinfo.su

https://www.nic.ru/whois/?query=www.stroyinfo.su
domain: STROYINFO.SU
descr: Domain for Web Server
descr: Hosted by AGAVA Software
nserver: ns1.agava.net.ru.
nserver: ns2.agava.net.ru.
state: REGISTERED, DELEGATED
person: Pesterev Vladislav Anatolevich
phone: +7 3952 423749
fax-no: +7 3952 423749
e-mail: stroi.info@mail.ru
registrar: GPT-REG-FID
created: 2008.08.22
paid-till: 2010.08.22

продолжать? =;)
дада (попкорн)
Россия, г. Иркутск, ул. Старо-Кузьмихинская, 53А
Тел. 8-9834-111-001

E-mail: info@i-n-f-o.ru

Доменные имена сайта:
www.i-n-f-o.ru/
www.tut-i-tam.ru/
www.ria-news.ru/
www.b-o-s.ru/

Пестерев Владислав Анатольевич
les.lesprom.com/community/32224/
ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5_%D1%83%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%B8%D0%BA%D0%B0:Stroyinfo

каратист?
74.125.77.132/search?q=cache:rGMFFm94uoQJ:www.ikomatsushima.ru/russian/Yakutov2005_rezults.doc+%D0%9F%D0%B5%D1%81%D1%82%D0%B5%D1%80%D0%B5%D0%B2+%D0%92%D0%BB%D0%B0%D0%B4%D0%B8%D1%81%D0%BB%D0%B0%D0%B2&cd=11&hl=ru&ct=clnk&gl=ru
www.kyokushin.ru/tours_dv2003d.html

если да, то он примерно 89-90гг рождения

хорошо зашифровались, гугл почти не знает улиц иркутска, яндекс не знает его вообще
слабо верится, что могли встретиться два человека с разными фамилиями, но одинаковыми именами-отчествами

ещё немного можно посмотреть на 1stat.ru/?show=whois по мылу
помимо известных, обнаружились
3 Делегирован hackeram.ru Private person best-hoster.ru +7 924 6055199 REGRU-REG-RIPN 10-02-2009 10-02-2010
5 Делегирован moyclan.ru Private person agava.ru +7 924 6055199 REGRU-REG-RIPN 25-05-2009 25-05-2010
6 Делегирован ria-news.ru Private person agava.ru +7 924 6055199 REGRU-REG-RIPN 12-03-2009 12-03-2010
все, что лежат на агаве, ведут в один каталог, но мойклан почему-то глючит

хакерамру даёт ещё кусочек инфы WMID:583677292847 ICQ:592-420-356
people.icq.com/people/about_me.php?uin=592420356 Павел Орлов, Male 26 years old, Иркутск
passport.webmoney.ru/asp/certview.asp?wmid=583677292847 снова павел оролов
гуглится он плохо
вконтактег даёт 5 павлов орловых из иркутска

причём, сертификат зареган 26 Апреля 2009 года в местном центре passport.webmoney.ru/asp/certview.asp?wmid=559818853628

опапа!(Ц) Прикрепленные к аттестату WM идентификаторы:
WMID#559818853628 BL: Бизнес уровень 2050 [BL] используется в интересах компании ИП БОЯРКИН РОМАН ВИКТОРОВИЧ
WMID#798065881608 BL: Бизнес уровень 0 [BL] WMIRK.ru delivery Robot

Бояркин Роман Викторович, Россия, Иркутск, ул. Академическая, д. 28/6
+7 902 5117269 аська 255131

схема проезда на Академическую wmirk.ru/img/schema.jpg
WMIRK.ru — кладезь контактов, аськи, почты, адреса
wmirk.ru/index.php?p=contacts
+7 (3952) 420 548, +7 (3952) 757269
400440749 (Анна), 568434821 (Алена), 255131 (Роман)

ну итд
вот так павлуша подставил аж две иркутские конторы ;) для стройинфо он, скорее всего, лепил сайт на дле
в другой получал вм-сертификат, который использует для недобропорядочной деятельности, предполагаю

мне почему-то кажется, что если кто-нить из иркутских увидит эти данные, павлу, ну, надо приготовиться к разъяснительной беседе
ФСБ потеряло в вас такого ценного кадра…
Зачет, я в шоке.
анонимность в сети — это миф =;)
cypa ты?
нет :)
честно
кто действительно хочет — остаётся в тени
прочие же лемминги только и делают, что оставляют следы
откуда знаете, что потеряло? ;-)
Чё-то вы не туда со своим дедуктивным анализом полезли.
Обратите внимание на строку в письме:
X-PHP-script: for-x.ru/email/mail.php for 193.108.38.230, 193.108.38.230

Теперь откроем for-x.ru/email/ — это анонимайзер для почты. И очевидно, что IP в конце — адрес того, кто воспользовался сервисом. Можете проверить для интереса, отправив анонимное письмо. Там будет ваш IP.

Оказывается, хлопец с Украины (см. WHOIS):

inetnum: 193.108.38.0 — 193.108.39.255
netname: DEC-NET
descr: Private Enterprise «DEC»,
descr: Universitetskay st, 70,
descr: 83012, Donetsk,Ukraine
country: UA

Теперь что на хосте — может машина-зомби? Смотрим:
193.108.38.230/
404 Not Found
The requested URL / was not found on this server.
Apache/2.2.12 (Ubuntu) Server at 193.108.38.230 Port 80

Значит, письма рассылаются оттуда через анонимайзер for-x. Но всё равно не факт, что виноват админ украинского сервера. Возможно, на этом сервере есть зараженный код, из которого идут запросы. Тогда автор теряется.
Параноить стоит в сторону владельца kasumi.ru тогда уже, потому как именно там сидел сборщик паролей.
1) У кого nmap под рукой просканируйте этот ИП (193.*).там наверняка проксик на порту типа 3333
2) У кого есть nmap :) просканьте kasumi.ru, сайт хостится на hc.ru, видимо взломан, так как 21 октября там был корпоративный сайт
отличное дополнение, спасибо
моему начальнику пришло такое вчера, ладно он догадался у меня спросить ) прежде чем что то вводить
Красотища какая…
<form id=«gaia_loginform» action=«kasumi.ru/mail.php» method=«post»
Может вгет натравить на него?
и что дальше?.. :-D
недавно читал о подобном способе взлома пароля относительно мыла.ру.

Однажды я чуть не попался на липовый Вконтакте, ссылку по аське прислали. Спасло не в последнюю очередь то, что все основные пароли помнит мой лис, и руками я их не вбиваю. Если лис не показал пароль — это повод напрячь мозги и внимание.
С лисой вы правы =) от таких шуток она меня и спасает идентичным способом.
Ну недоработали они… Судя по html, адрес формы не подставляется на оригинальный, чтобы можно было воспользоваться автозаполнением.

А если я вижу форму входа на сайт, для которого пароль точно сохранён, а поля не заполнены или не подсвечены, то становится ясно, что это какая-то подстава.
Забанили сайтик. Forbidden говорит. Ура!
ни разу не натурально
На такое еще кто то ведется?? Этот способ стар, как мир! )
а перед этим ещё и морду набить!
и ноги из одного места оторвать и туда же запихать!
Меня бы насторожила сразу же глупейшая пунктуационная ошибка в тексте.
в Опере ещё бы спас «Жезл паролей». даже если не обратить внимания на адрес, то отсутствие активной кнопки «Войти» на тулбаре сразу бы показал, что сайт не гугловский :) кстати, Опера меня недавно спасла от потери пароля в соцсети вконтакте: переписывался с другом, потом, минут через 30 от него же приходит письмо, мол, ты знаешь её, она говорит, что знает. глаз не заметил лишней буквы в адресе, клик по ссылке, но Опера не дала зайти мне на сайт, предупредила о том, что это мошеннический сайт. в общем, будьте внимательны.
Ваше мыло заказали. На взлом. Рекомендую подумать кому это могло понадобится. Ибо раз заказали — заплатили денежку — будут пытаться еще. Способов масса.
а как «все ссылки показывают на гугл»? т.е. в строке состояния (statusbar) показывается фальшивая ссылка? если ваш браузер позволяет запрещать скриптам менять её (строку состояния), обязательно рассмотрите эту возможность
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории