Предупреждение пользователям Webmoney: фишеры стали рассылать поддельную программу-клиент

    Здравствуй читатель!

    Сегодня я хочу рассказать и предупредить о новом (для меня) способе отъема денег у «населения». В качестве населения в этот раз выступают пользователи довольно популярного сервиса Webmoney. Упало сегодня на почту очень забавное письмо, якобы от Webmoney:

    Уважаемый участник системы WebMoney Transfer!

    Система WebMoney выпустила новую версию програмы
    WebMoney Keeper Classic 3.8.0.0 которая не требует
    инсталляции и занимает всего 1.5mb
    Эта программа находится в закрытом доступе и
    отсылается на почту наших клиентов в целях безопасности.
    Программа находится в этом сообщении.

    Это автоматическое письмо. Если у вас есть какие-либо вопросы, Вы можете
    изучить Справочную информацию: www.webmoney.ru/rus/about/demo
    или отправить вопрос на адрес support@wmtransfer.com

    С уважением,
    Команда WEBMONEY TRANSFER


    И все бы ничего, но Webmoney:

    • Не рассылает вроде как свои программы на e-mail;
    • Не опубликовало никакой информации о новой версии программ;


    В тексте письма помимо прочего присутствовала еще и «англоязычная» версия сообщения, но с жуткими синтаксическими ошибками. Именно это и заставило меня заглянуть в заголовки письма, и вот что там было:

    X-Kaspersky: Checking
    Return-path: <mrpotolo@biz12bl.bizhosting.ru>
    Received: from [82.140.91.142] (port=59507 helo=biz12bl.bizhosting.ru)
    by mx43.mail.ru with esmtp
    id 1Le70Z-0000iy-00
    for orenlab@list.ru; Mon, 02 Mar 2009 15:12:31 +0300
    Received-SPF: none (mx43.mail.ru: 82.140.91.142 is neither permitted nor denied by domain of biz12bl.bizhosting.ru) client-ip=82.140.91.142; envelope-from=mrpotolo@biz12bl.bizhosting.ru; helo=biz12bl.bizhosting.ru;
    X-Mru-PTR: none
    X-Mru-NR: 1
    X-Mru-OF: unknown (unknown)
    X-Mru-RC: RU
    Received: from mrpotolo by biz12bl.bizhosting.ru with local (Exim 4.69 (FreeBSD))
    (envelope-from <mrpotolo@biz12bl.bizhosting.ru>)
    id 1Le70X-000Efj-36
    for orenlab@list.ru; Mon, 02 Mar 2009 15:12:29 +0300
    To: orenlab@list.ru
    Subject: WebMoney Keeper Classic 3.8.0.0
    X-PHP-Script: mrpotolok.ru/svids/svf/wmwids/mail.php for 95.84.11.76
    MIME-Version: 1.0;
    Content-Type: multipart/mixed; boundary="--8f71e28220cb8225029c69bbb564bc9f"
    From: WebMoney<support@wmtransfer.com>
    Message-Id: <E1Le70X-000Efj-36@biz12bl.bizhosting.ru>
    Sender: User Mrpotolo <mrpotolo@biz12bl.bizhosting.ru>
    Received: for <orenlab@pop.list.ru>
    Date: Mon, 02 Mar 2009 15:12:29 +0300
    X-Spam: Not detected


    В общем с виду обыкновенные спам, если бы не одно но! Во вложении был исполняемый файл с именем WebMoney Keeper Classic 3.8.0.0.exe, имеющий такую же иконку, и более того, скомпилирован с той же информацией, что и настоящий:

    Version language: Русский (Россия)
    CompanyName: CJSC «Computing Forces»
    FileDescription: WebMoney Keeper Classic Runner Module
    FileVersion: 3, 6, 0, 1
    InternalName: WebMoney Keeper Classic
    LegalCopyright: Copyright 1998-2008 by CJSC «Computing Forces»
    LegalTrademarks: WebMoney Transfer
    OriginalFilename: webmoney.exe
    ProductName: WebMoney Keeper Classic
    ProductVersion: 3, 6, 0, 1
    Comments: WebMoney. Confidence Internet Information Service Technology.

    Creation Date: 02/03/2009 20:15:27
    Last Modif. Date: 02/03/2009 20:15:30
    Last Access Date: 02/03/2009 00:00:00
    FileSize: 1586688 bytes ( 1549.500 KB, 1.513 MB )
    FileVersionInfoSize: 2244 bytes
    File type: Application (0x1)
    Target OS: Win32 (0x4)
    File/Product version: 1.0.0.0 / 1.0.0.0
    Language: Русский (Россия) (0x419)
    Character Set: 1251 (ANSI — Cyrillic) (0x4E3)


    Запускать я его не стал, так как здравый смысл подсказывает что делать этого не стоит :). Будьте внимательны, и не стоит из-за своей невнимательности терять контроль или средства со своего кипера Webmoney.

    P.S. Я, конечно же, отправил этот пример в службу безопасности Webmoney, но, полагаю, будет не лишним как можно скорее оповестить широкую аудиторию (я знаю, что на «Хабре» присутствуют не только гуру информационной безопасности)
    Поделиться публикацией

    Комментарии 38

      +5
      Не вижу смысла каждый пример фишинга, коих миллионы, постить на хабр.
        +20
        Да, я соглашусь с Вами, но к счастью не все примеры фишинга касаются инструментов для работы с деньгами, пусть в какой то части и виртуальными. Именно исходя из этого и желания предупредить одну из самых массовых аудиторий рунета я и опубликовал этот пост.
          0
          Сколько из них просят ввести данные кредитной карты…
          • НЛО прилетело и опубликовало эту надпись здесь
              +3
              Позволю не согласиться :). Не зря же появилась поговорка — «Сапожник без сапог». «Айтишники» такие же люди и порой точно так же наступают на подобные грабли, слава богу что реже!
                +3
                Здесь сидят не только суперпрограммеры и мегасисадмины.
                  +3
                  но и простые советские школьники
              +2
              А я вижу смысла постить именно этот пример — с таким сталкиваешься нечасто.
              0
              Никакая фирма, даже в полностью невменяемом состоянии не станет рассылать копии своих программ посредством email сообщений :)
              Помоему для любого пользователя ПК уже должно быть законом — никаких исполняемых файлов пришедших по почте категорически не запускать.
                +1
                Должно быть, но, увы, до сих пор это не так. И так не будет никогда, пока природа человека не изменится. Новые юзеры прибывают, пока они не встретились с подобной публикацией — они беззащитны.
                  0
                  Вспомните сбербанк, как они отправляли письма с программой клиент-банка с адреса mail.ru :) Где-то проскакивала новость пару-тройку месяцев назад :)
                    0
                      0
                      Оу, ну это я потерялся во времени :)
                        0
                        не, это просто мне в своё время повезло увидеть рождение баяна из первых рук :)
                  –2
                  И сколько из тех кто читают хабр, чисто теоретически, могут на это клюнуть?
                    +1
                    Дофига. Хабр читают самые разные люди, не только мегасисадмины и гиперпрограммеры.
                      +1
                      Возможно погорячился, но мне кажется, что если их интересует подобная тематика и если они работают в системе webmoney, то они не будут открывать всякие «ILoveYou» из аттачей.
                        0
                        Увы, очень много людей знаю, которым приходится прямо-таки по рукам бить — такие глупости делают, а ведь не первый год в интернете. И на «Хабре», кстати, тоже сидят.
                          0
                          I Love You и webmoney.exe (с идентичным оригинальному заголовками) — разные вещи. Достаточно хорошая маскировка и далеко не каждый обнаружит подвох.
                    • НЛО прилетело и опубликовало эту надпись здесь
                        0
                        Скиньте по внутренней почте Хабра адрес e-mail куда можно скинуть файл.
                          0
                          если можно мне тоже на rtcster@gmail.com
                          • НЛО прилетело и опубликовало эту надпись здесь
                              0
                              Хорошо вышлю всем вечером, только я снимаю с себя всю ответственность — на свой страх и риск как говорится. :)
                        0
                        Вообще, я не понимаю, почему на главную вылезают посты «юмор», а вот такие посты — про новые приемы фишинга в рунете — кто-то минусует.
                          +1
                          Это социальное регулирование в действии.
                            0
                            мошенники повсюду :)
                            на самом деле все просто — на очевидные вещи особого внимания не обращают.
                              0
                              эта стало быть не очевидная =\
                                0
                                Вот прямо так все для всех очевидно, чего же тогда люди ведутся?
                                  0
                                  Вот прямо так все для всех очевидно, чего же тогда люди ведутся?
                                0
                                А можно увидеть английскую версию письма?
                                  0
                                  Да, но только вечером (после 18.00 (MSK)). Пришло в домашнюю почту, а на сервере я письма не храню, т.к. это личный ящик и не нужен для работы.
                                  0
                                  а я считаю что стоит раз-два допустить подбного рода атак для «не только суперпрограммеры и мегасисадмины», ибо предупреждений на каждом углу полно, но они не воспринимаются как что-то реальное. То ли дело, когда тебя кинут на реальные деньги. Тогда уже сам будешь внимательно смотреть на все письма.

                                  Нечто похожее — «кто не был в армии тот не поймёт».
                                    0
                                    Запалили своё мыло)
                                      0
                                      Если Вы имеет моё мыло, то я не переживаю — пусть спамят, у меня стоит офигенный антиспам.
                                      0
                                      По всей видимости пришли сами «фишеры» — срут в карму и не оставляют комментариев.
                                        0
                                        БизХостингу абузу в почту, ибо ненадо таких хостить.
                                          0
                                          А рассылают из дырявой UMI.CMS.

                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                          Самое читаемое