Внимание! Фишинг регистрационных данных NIC.ru

    Утром нашел в своем почтовом ящике письмо от nic.ru со следующим текстом якобы от ru-cont@nic.ru, gmail в подлинности отправителя не усомнился:

    Здравствуйте,

    12-APR-2015 Вами была заказана услуга RU-CENTER Смена администратора доменного имени microsoft.com.

    Услуга будет оказана в течение 72 часов.
    Право администрирования доменного имени microsoft.com будет передано 60093/NIC-D.

    Ссылка для подтверждения или отмены:
    www.nic.ru/manager/admin_change.cgi?key=SiYK73RJesO3f8cnIH29-26ddd45b02859e836d13d4b9fde34281


    Внутри ссылки, само собой, был линк на фишинговый сайт bethesdabiblechapel.net/sav/img/zmpbkbkhso.html?zmpbkbkhso=26ddd45b02859e836d13d4b9fde34281

    Это было бы совершенно банальным делом, не стоящим внимания, если бы не обход проверок gmail. А дело оказалось в следующем:

    Return-Path: <vectorin@vh163.sweb.ru>
    Received: from mf1-1.nic.ru (mf1-1.nic.ru. [109.70.27.132])

    и
    Received-SPF: softfail (google.com: domain of transitioning vectorin@vh163.sweb.ru does not designate 109.70.27.132 as permitted sender) client-ip=109.70.27.132;
    Authentication-Results: mx.google.com;
    spf=softfail (google.com: domain of transitioning vectorin@vh163.sweb.ru does not designate 109.70.27.132 as permitted sender) smtp.mail=vectorin@vh163.sweb.ru
    Received: from vh163.sweb.ru ([77.222.42.167])
    by mf1-1.nic.ru with esmtp (RIPN)

    Спросонья я чуть было не сходил по ссылке, доверившись почтовому сервису в вопросах опознания подлинности отправителя, в связи с чем хочу лишний раз порекомендовать не терять бдительности даже тогда, когда дело касается привычных и надежных систем.

    В техподдержке регистратора сказали, что им пришло много обращений и служба безопасности занимается этим инцидентом. Насколько я понял — почтовые SMTP-серверы регистратора были использованы злоумышленниками для рассылки фишинговых писем с целью обхода встроенных в почтовые сервисы механизмов проверки подлинности отправителя. Всем внимания и аккуратности!
    Поделиться публикацией

    Похожие публикации

    Комментарии 33

      +11
      А почему бы всем браузерам не делать проверку, что если текст между тегами ссылки похож на URL, то проверить, совпадает ли текст с реальной ссылкой, если нет, то не пускать.
        +1
        Отличная идея для плагина. При наведении на такую ссылку показывать предупреждение.
          0
          Много кто проксирует все ссылки через себя. Например vk.com/away.php?to=…
            +7
            Так пусть проксируют.

            Просто, если показываешь в анкоре ссылки один URL (подчеркиваю — в анкоре URL, а не произвольный текст), а ссылаешься на другой, то это часто плохое поведение, которое должно настораживать пользователя.
            И плагин, который бы показывал красный хинт с реальной ссылкой при наведени, был бы довольно полезен для борьбы с фишингом.
            Проблема ложных срабатываний решается белым списком для Яндекса с Гуглом, для Вконтакта, популярных веб-морд сервисов электропочты и т.д.
            +2
            Для плагина идея не очень — тот кто его себе поставит и так не попадётся. А вот тот кто попадется может и про плагины не знать. Так что — только в коде самого браузера или движка.
              +4
              Нужно в стандартную сборку такой плагин включать. Не знаю, как с гуглом, но хотя бы до Яндекса с таким предложением, думаю, можно достучаться
                0
                Для браузеров это слишком радикальное изменение в интерфейсе. А плагин хотя бы позволит знающим людям ставить его в браузерах незнающих.
                  +1
                  Мне лично хватает фичи с подсветкой адреса ссылки в левом нижнем углу хрома. Какой бы не была ссылка, с анкором или без, взгляд машинально смотрит в угол. Так что, думаю, не всё так плохо со стандартным интерфейсом
                0
                Несколько лет назад, у браузеров была статусная строка, в которой замечательно отображалась настоящая цель ссылки. Да, этот текст можно было подменить, но только джаваскриптом, который, как правило, в почте был отключен.
                  +1
                  Так она и сейчас никуда не пропала вроде О_о
              +14
              Все потому что у nic.ru не установлены политики DMARC отвергающие не подписанные DKIM-ом письма. Так что нечего гугл винить.

              dig txt _dmarc.nic.ru


                0
                Надеюсь теперь они решат эту проблему, потому как утечка учетных данных при таком фишинге — это равная ответственность невнимательного пользователя и технически-безалаберного поставщика услуг.
                  0
                  Я в своё время хотел запретить приём писем, если проверка spf выдавала softfail. Правда, так и не решился, да и руки никак не доходили
                    0
                    Да даже -all в SPF решил бы проблему. Почту правильно настраивают единицы.
                      +1
                      Редко кто ставит -all, даже y paypal.com стоит ~all, хотя в dmarc значение p=reject. Видимо проблем с spf при пересылках больше чем с dkim. Кстати dkim побъется при пересылке как spf или возможно переслать письмо сохранив валидность подписи?
                        0
                        Да, spf не работает при пересылках всяких, но и с DMARC есть проблемы. А DKIM, думаю, можно настроить так, чтобы не бился.
                      +3
                      Кстати рекомендую всем сервис dmarcian.com по сбору статистики срабатываний dmarc. Удобно графиками показывает проблемы при рассылках, или попытки кого-то отправлять письма от вашего имени. Разумеется, работает только при корректных настройках dmarc.
                      +1
                      А в чём именно причина обхода проверок gmail? Что неправильно в приведённых заголовках, и как должно быть?
                        +1
                        Абсолютно не в курсе, что и как проверяет gmail ( ну не занимался почтой), но перед тем, как нажать на ссылку я всегда смотрю куда она ведет.
                          +1
                          Храните триады URL:login:password в бумажном блокнотике или в таких программах, как KeePassX, и авторизуйтесь _только_ по этим данным, вводя URL вручную или через ПО. Проблема фишинга отпадёт сама собой.
                            0
                            .
                              0
                              После нормальной, человеческой авторизации из блокнотика или ПО — ничего страшного, можно открыть фишинговую страничку в отдельной вкладке: если это не фишинг, сессия подхватится, если фишинг — будет видно сразу. IMHO. Главное изначально авторизоваться грамотно.
                            0
                            А еще, буквально перед выходными, был выставлен на продажу эксплоит для обхода проверки gmail.
                              +1
                              Вчера пришло такое же письмо от якобы Ru-Center, что мой домен *.com передается такому-то 60009/NIC-D просит перейти по ссылке, по которой находится клон nic.ru и подтвердить данное действие. Кто-то сбрутил все комовские домены, так как whois у многих открыт, и тем у кого RuCenter разослали письма. Отписался в РуЦентр.
                                +5
                                РуЦентр и пароли открытым текстом хранит. Я чуть со стула не упал, когда напоминалку попросил, а он на почту текущий пароль прислал.
                                  +2
                                  Это Вы еще хостингом не пользовались. Там все пароли в т.ч. SSH и к БД всегда дублируются на email в открытом виде. Хотелось бы выслушать мнение представителей РуЦентра по данной публикации, если таковые тут присутствуют.
                                0
                                тем временем minregion.ru тупо забыли оплатить домен
                                  0
                                  недавно от якобы таймвеба аналогичное пришло
                                  техподдержка таймвеба прислала кучу емэйлов о создании тикетов по этому вопросу от нескольких манагеров, но ответа по теме мне так и не прислали
                                    0
                                    Спасибо большое за сигнал, со своей стороны подтверждаем, что фишинговая атака действительно была. С момента получения первых сигналов об инциденте мы ввели дополнительные этапы контроля при операциях с услугами наших клиентов.
                                      0
                                      Приятно видеть ответственных за свое дело людей, которые реагируют на вызовы и решают проблемы вместо их игнорирования!
                                        +2
                                        Вы бы написали всем, что это фишинг, а то ведь пока на хабре не написали, так никто и не почесался.
                                          0
                                          Вот только прислали 5 минут назад.

                                          Письмо
                                          Добрый день!

                                          Некоторые наши клиенты столкнулись с фишинговой атакой с использованием писем, замаскированных под служебные уведомления RU-CENTER.

                                          По форме и содержанию такие сообщения схожи с нашими реальными уведомлениями (тема и структура письма, отправитель, оформление, текст и т.п.), но ссылки в них ведут на сайты мошенников, копирующих страницу авторизации RU-CENTER. Таким образом злоумышленники собирают логины и пароли, чтобы получить доступ к управлению вашими услугами.

                                          Электронные адреса для подобных рассылок, как правило, собираются из общедоступной базы данных Whois, поэтому мы рекомендуем в первую очередь защитить ваши данные.

                                          Чтобы не стать жертвой мошенников, вам необходимо:

                                          • после перехода по ссылке из письма проверить адресную строку (там должен быть адрес nic.ru);

                                          • убедиться, что адресная строка «зеленая» (сертификат JSC «RU-CENTER»).

                                          Если у вас есть подозрения в отношении письма — перешлите его по адресу support@nic.ru, это поможет в поиске злоумышленников.

                                          Если вы считаете, что могли стать жертвой атаки, незамедлительно поменяйте пароль. При возникновении сложностей свяжитесь со службой поддержки любым удобным способом.

                                          Будьте бдительны!
                                            0
                                            Подтверждаю — тоже только что пришло письмо от RuCenter. И суток не прошло…

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                      Самое читаемое