Ещё один способ украсть ваш пароль от Яндекс почты

    Ваш пароль от яндекса достаточно ценная информация, особенно если вы используете яндекс.деньги. И сегодня я наблюдал довольно хитрый и замороченный метод, как у меня пытались этот пароль увести. Решил показать этот метод тут, чтобы никто из наших не попался или хотя бы кто-то кто случайно это прочитает — не повёлся.

    image


    Итак, получил я сегодня письмо от моего регистратора и в поле отправитель вижу привычное: «RU-CENTER <no-replay@nic.ru>». Хотя в это даже особо не вглядываешься, так как тема письма достаточно цепляющая.

    image

    Текст письма, чтобы можно было нагуглить эту статью
    Здравствуйте, уважаемый клиент.
    Департаментом по работе с клиентами RU-CENTER была получена жалоба на неправомерное использование домена tocamp.ru. Данной жалобе был присвоен номер AL347031.
    В результате рассмотрения данного обращения специалисты RU-CENTER пришли к выводу, что жалоба является необоснованной, поскольку изложенные в ней факты не нашли своего подтверждения.
    Файл с текстом жалобы приложен к настоящему письму.

    — С уважением,
    Департамент по работе с клиентами RU-CENTER
    Москва, Ленинградский проспект, дом 74, корпус 4.
    +7 (495) 994-46-01
    +7 (495) 737-06-01


    И что-то меня в письме смутило, наверно отсутствие значка, которое есть в обычных письмах от руцентра.

    image

    То есть раз проверки DKIM не пройдены — значит поле отправитель мог заполнить кто угодно и это явно не руцентр. И эту бы мелочь я точно бы не заметил, если бы не готовил сам рассылку по случаю анонсирования нового проекта. Косяк нашёл, но в чём подвох всё-равно пока понять не мог.

    Далее кликаю на ссылку «посмотреть приложенный документ» (которая выглядит как обычная ссылка от яндекса, а не продукт хитрой HTML-вёрстки) — попадаешь на страничку очень похожую на Яндект документ с текстом заявления, но уже через 2 секунды неожиданно «слетает авторизация» и надо ввести пароль. Надо сказать, изобретательно сделано.

    image

    Тут стоит обратить внимание на домен. И он явно не от яндекса.

    Поняв, что они хотят получить пароль — я ввёл случайный набор символов и «о чудо» авторизировался и смог неспешно прочитать «жалобу».

    image

    На этом всё, будьте внимательны и никому не отдавайте ваш пароль.

    Спасибо за внимание.
    Dronk.Ru
    91,00
    Dronk.ru — кэшбэк-портал для экономии на покупках
    Поделиться публикацией

    Комментарии 35

      +9
      И что-то меня в письме смутило, наверно отсутствие значка, которое есть в обычных письмах от руцентра.

      То есть, отсутствие значка смутило, а какой-то кривой no-replay вместо кошерного noreply — нет?)
        0
        Читая статью «replay» я вот заметил. Но не уверен, обратил бы я не него внимание не включив режим повышенной внимательности.

        Но дальше yandex.ru.190390823478905897589 — это уже сразу феил. В корзину.
        +22
        Звучит как самый обычный фишинг. О чём статья?
          +5
          Очевидно же, что об этом:
          А вот емейл совершенно безопасно и весьма полезно можно оставить для подписки на открытые нашего кэшбэк-поисковика: dronk.ru/cashback-search
          +3
          Описывал этот и подобные приёмы: https://habrahabr.ru/company/pentestit/blog/271123/
            –8
            Так no-replay или ru-bill? Что-то вы со скриншотами темните.
              +3
              no-replay — фишинговое письмо. ru-bill как пример нормального письма от руцентра с DKIM
              0
              Не обновил комментарии.
                –3
                Надеюсь вы уже сообщили в Яндекс?
                  +1
                  HTTPS для чего придумали? Тем более на passport сертификат с EV. Подобные фишинговые сайты сплошь и рядом, взять хотя бы тот же Steam, в свое время было множество поддельных страниц входа, да и сейчас еще встречаются.
                    +4
                    >вижу привычное: «RU-CENTER <no-replay@nic.ru>»
                    replay, ага. Грамотеи :)
                      0
                      Где-то пол года назад бесплатно раздавали такие домены на сайте hostinger
                        0
                        Вот дней 5 назад:
                        Регистратура XYZ.com отметила двухлетие своего флагманского нового общего домена .XYZ очередной громкой акцией. На протяжении двух дней домены в этой зоне можно было зарегистрировать по ничтожно низким ценам. Вчера, например, стало известно, что регистратор Uniregistry предлагал доменные имена в .XYZ всего за 1 цент. Domain Incite сообщает, что это был вовсе не единичный случай, и цена в 1-2 цента за годовую регистрацию доменного имени в .XYZ предлагалась и многими другими крупными регистраторами.

                        Результаты не заставили себя ждать. Согласно последней статистике ntldstats, количество доменных имен, зарегистрированных в зоне .XYZ, выросло за один день не менее чем на 800 тысяч и превысило 3 700 000. Разумеется, это абсолютный рекорд, с которым регистратуру можно только поздравить.
                        0
                        А если бы письмо было открыто через почтовый клиент, что тогда? Перебросило бы на сайт для ввода пароля?
                          0
                          Если ваш клиент настроен на открытие ссылок в браузере — очевидно, да, по клику на «документ» (который на самом деле не вложенный документ, а хитро оформленная ссылка) откроется фишинговый сайт. Как и по клику на него в браузере.
                          +1
                          удалено (обещаю читать коменты, перед тем как писать коменты)
                            +20
                            Тысяча и один способ пропиарить dronk.ru
                              +1
                              Я не буду рекомендовать такую проверку, но я пользуюсь менеджером паролей и иконка активна только на «родном» сайте. (Для KeePass, тоже есть аддоны которые интегрируют его в браузеры)
                                0
                                Так и браузер без всяких менеджеров себя ведёт аналогично. Если ты запомнил пароль для yandex.ru, то он не будет вводить тебе его на фишинговом сайте в поле с тем же именем
                                  0
                                  Ну, я про браузер и говорил. Он хоть и встроенный,- но менеджер паролей (видимо, я слишком привык к тому, что раньше их в браузерах не было).
                                +1
                                На Яндексе уже давно есть очень удобная авторизация через приложение на телефоне.
                                  0
                                  Раньше я пользовался браузером opera (где-то до версии 12) и там в адресной строке основная часть домена (example.com/) была выделена черным цветом, а все поддомены 3-4-5… уровня, в том числе и www, а также то, что идет сразу после слеша — отображалось серым цветом.
                                  Спасибо mottoman за лишнее напоминание про такие сюрпризы.
                                    0
                                    Ничего не понял — как _приложение к письму_ вдруг превратилось в ссылку на сторонний ресурс?

                                    Ну и да, после «No-replay» уже сразу можно было отправлять в корзину…
                                      0
                                      Это может быть не вложение, а результат HTML-вёрстки, имитирующий вид вложения в интерфейсе Я-почты.
                                        0
                                        del
                                        0
                                        Всегда настораживает, когда сервисы неожиданно запрашивает авторизацию. «Где-то должен быть подвох»
                                          0
                                          Юзайте LastPass или аналоги. Они не заполнят форму на левом сайте.
                                            0
                                            бяки
                                            docviewer.yandex.ru.103149674440460345026173397479625337.xyz/hander.php

                                            Host IP Address of website: 93.174.88.20
                                            Last updated date: 2016-05-24

                                            Geo location information
                                            Address: Netherlands
                                            Location: (52.5, 5.75)
                                            Latitude: 52.5
                                            Longitude: 5.75

                                            Domain Name: 103149674440460345026173397479625337.XYZ
                                            Domain ID: D9082152-CNIC
                                            WHOIS Server: whois.tldregistrarsolutions.com
                                            Referral URL: www.tldregistrarsolutions.com
                                            Updated Date: 2015-07-28T14:57:16.0Z
                                            Creation Date: 2015-07-23T14:49:13.0Z
                                            Registry Expiry Date: 2016-07-23T23:59:59.0Z
                                            Sponsoring Registrar: TLD Registrar Solutions Ltd
                                            Sponsoring Registrar IANA ID: 1564
                                            Domain Status: clientTransferProhibited icann.org/epp#clientTransferProhibited
                                            Registrant ID: C23309022-CNIC
                                            Registrant Name: Domain Admin
                                            Registrant Organization: Whois Privacy Corp.
                                            Registrant Street: Ocean Centre, Montagu Foreshore
                                            Registrant Street: East Bay Street
                                            Registrant City: Nassau
                                            Registrant State/Province: New Providence
                                            Registrant Postal Code: 0000
                                            Registrant Country: BS
                                            Registrant Phone: +1.5163872248
                                            Registrant Phone Ext:
                                            Registrant Fax:
                                            Registrant Fax Ext:
                                            Registrant Email: 55b0fee8q9x4noqr@5225b4d0pi3627q9.whoisprivacycorp.com
                                            Admin ID: C23309028-CNIC
                                            Admin Name: Domain Admin
                                            Admin Organization: Whois Privacy Corp.
                                            Admin Street: Ocean Centre, Montagu Foreshore
                                            Admin Street: East Bay Street
                                            Admin City: Nassau
                                            Admin State/Province: New Providence
                                            Admin Postal Code: 0000
                                            Admin Country: BS
                                            Admin Phone: +1.5163872248
                                            Admin Phone Ext:
                                            Admin Fax:
                                            Admin Fax Ext:
                                            Admin Email: 55b0fee961sa163v@5225b4d0pi3627q9.whoisprivacycorp.com
                                            Tech ID: C23309025-CNIC
                                            Tech Name: Domain Admin
                                            Tech Organization: Whois Privacy Corp.
                                            Tech Street: Ocean Centre, Montagu Foreshore
                                            Tech Street: East Bay Street
                                            Tech City: Nassau
                                            Tech State/Province: New Providence
                                            Tech Postal Code: 0000
                                            Tech Country: BS
                                            Tech Phone: +1.5163872248
                                            Tech Phone Ext:
                                            Tech Fax:
                                            Tech Fax Ext:
                                            Tech Email: 55b0fee9hhurp2wi@5225b4d0pi3627q9.whoisprivacycorp.com
                                            Name Server: NS1.AFRAID.ORG
                                            Name Server: NS2.AFRAID.ORG
                                            Name Server: NS3.AFRAID.ORG
                                            Name Server: NS4.AFRAID.ORG
                                            DNSSEC: unsigned
                                            Billing ID: C23309031-CNIC
                                              0
                                              Мне пришло точно такое же письмо, и я чуть было не попался. Я бы очень хотел, чтобы Яндекс без моего участия автоматом отправлял такое в СПАМ. Так что спасибо автору, что поднял тему.
                                                0
                                                Так выглядит Яндекс-паспорт в браузере для людей:

                                                https://habrastorage.org/files/2d3/8d4/72b/2d38d472bc704da88c758134c9baeb29.png

                                                Даже не представляю, как его разнесёт от того .xyz домена…
                                                  0
                                                  Ничего не разнесет, не https же. Да и https, если заморочиться, можно сделать еще зеленее чем у легитимного домена.
                                                  Это пользователи должны быть приучены не вводить пароли куда попало.
                                                    0
                                                    Если очень сильно постараться и зарегистрировать Yanbex LLC, то наверное) Но имя сайта всё равно вылезет. И даже без https, вот как например тут

                                                    https://habrastorage.org/files/a3a/c89/080/a3ac890806a04084a9e7af320e9c87bf.png

                                                    Зы, ничего что я так, ссылками?

                                                    Раньше, кстати, было ещё зеленее с дополнением Site Identity Button Colors. Но в последних версиях всё испортили. А вот Page Title in URL Bar живее всех и очень помогает в таких случаях.
                                                      0
                                                      Ну, необязательно прям extended valdation брать. Просто «зелененький замочек» успокоит большинство пользователей:
                                                        0
                                                        Сорри не врубился что вы про вивальди.
                                                          0
                                                          ))) «вот сейчас обидно было»

                                                          — © firefox

                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                Самое читаемое