Аккуратно: очень хитрый скам

    Приходит вот такое письмо.
    image
    Выглядит очень натурально, чуть не повелся.
    Потом метит хитро во внешний сайт, хотя все ссылки показывают на гугл.
    Поделиться публикацией

    Похожие публикации

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 71

      –6
      вёрстка ужасная.
        +17
        Ну у гугла она вообще во многих местах такая.
        • НЛО прилетело и опубликовало эту надпись здесь
          +1
          Видимо рассылается по whois базе с мыльником на gmail
            –2
            или кто-то у руцентра дернул бд клиентов =)
              –1
              если бы действительно дёрнули, зачем рассылать что-то клиентам? достаточно вскрыть хэши паролей (если там вообще хэши) и стырить тысячи доменов…
              +41
              Тут никаких whois не надо, достаточно было вчера зайти на страницу с раздачей инвайтов.
              –17
              подправьте название новости… спам
                +10
                … срам
                  0
                  Может автор имел в виду не спам, а того, кто его рассылает?))
                  +1
                  лол, как на такое можно повестись?
                    –4
                    ПРивет!
                      +37
                      Пользователь написал скрытый комментарий. Для просмотра войдите, указав данные Хабра-аккаунта:
                        +2
                        «Раскрыть комментарий» на хабре тоже стоит изменить, чтобы под него нельзя было замаскировать злую ссылку. Совсем ведь не сложно, можно просто пунктирное подчёркивание сделать.

                        P.S.: Ваша картинка не грузится :(
                    –1
                    От Ру-центра запарил спам и так, а тут еще с издёвкой :)
                      0
                      Мне интересно кому пришла в голову мысль, что пользователь уже осуществивший вход в систему будет отдавать учетные данные в письме? Неужели я что-то не понимаю? есть такие кто на это поведеться? (нет, я конечно знаю что в семье не без урода, но все же)
                        +6
                        поведется 80% юзеров :)
                          –1
                          Пользователя приучают, что гуглаппы это не просто сайт, а целое приложение, имеющее, в том числе, и всплывающие окна на дивах.
                          Выглядит несколько похожим на оное.

                          А если добавить к этому такую вещь как защищённые паролем архивы, которые отложили свой отпечаток в умах многих пользователей, можно спокойно поймать кучу людей, вписавших в вышеуказанное письмо свои данные.

                          Просто не стоит смотреть на всех с высоты своих знаний в отдельное области. Пользовательская грамотность, даже после курсов на подобии «Уверенное владение ПК», вряд ли позволит увидеть в этом письме нечто нехорошее.
                            –1
                            Я даже не пытался смотреть с высоты… просто я давно уже привык к своему окружению. У меня даже мать, женщина преклонного возраста, понимает что такое данные авторизации и лишний раз подумает прежде чем что-то вводить.
                            я думаю количество «попавшихся» на эту удочку людей прямо пропорционально количеству тех кто без раздумий отправит смс с кодом ХХХ на номер УУУ. т.е. остается только сожалеть о низком уровне подготовке пользователей руцентра, ибо речь идет именно о них.
                        • НЛО прилетело и опубликовало эту надпись здесь
                            +3
                            pastebin.com/m4b2d3f88

                            Вот текст письма с заголовками.
                            Главное гугл пишет

                            «Images are not displayed.
                            Display images below — Always display images from ru-bill@nic.ru»
                            • НЛО прилетело и опубликовало эту надпись здесь
                                +2
                                руцентр это просто From: RU-CENTER NCC

                                но зато срипт спалил недоспамера
                                X-PHP-script: for-x.ru/email/mail.php for 193.108.38.230, 193.108.38.230
                                а хостится он на piter23.dns-rus.net

                                заголовки в абуз и дело закрыто
                                  0
                                  From: RU-CENTER NCC ru-bill@nic.ru
                              +19


                              Гугл так плохо не относится к своей типографике и пунктуации.
                              Я бы не повелся.
                                +8
                                Кроме того, «войдите, указав данные аккаунта», как бы :-)
                                  0
                                  Не знаю как насчёт типографики и пунктуации, но с переводом бывают досадные ляпы. Пруф: juick.com/johan/343467
                                    0
                                    а в украинском варианте вообще жесть проскакивает: «Файрбаг может замедлить работу вашего сайта, если его правильно настроить. Настроить файбаг!»
                                      0
                                      «вашего сайта» имелось ввиду gmail :)
                                  +3
                                  ну на скам это не похоже, да и на спам тоже, если вы описались.
                                  Больше похоже на фишинг, а идея не плохая.
                                    +1
                                    неважно, суть ясна
                                    +1
                                    Не путайте скам и спам

                                    %username%, конечно, может объективно сказать, что такой наглый скам не пройдёт, но интернеты большие и свой улов он принесёт.
                                      +7
                                      Ну в принципе не плохо и свеженько
                                        –15
                                        Хотелось бы посмотреть на идиотов, которые в принципе способны повестись на такое письмо (какое то скрытое мухаха письмо, да еще не по ссылку щелкнуть а логин и пароль ввести)
                                          0
                                          привет идиотам ) пока 10 насчитал
                                          –2
                                          Можно не рассматривать письмо под лупой, а просто зайти, вбив вручную nic.ru
                                          Покажет сообщение — правда, нет — забить на это.

                                          Больше бесит когда на твой мыльник регистрируют аккаунты на всяких говносайтах без твоего согласия. Особенно если сайт без проверки е-мэйл. Вот с такими что делать?
                                            0
                                            про скам не знал, спасибо за инфу, но все равно, сама связка Ru-Center пользователь, как то не увязывается =) хотя обычным пользователям наверное на такое не обратить внимания.
                                              +2
                                              «скрытое письмо» это жесть =) как будто все остальные открытые =)
                                                +21
                                                Да что вы хотите, полстраны верит в астрологию.
                                                  +2
                                                  имхо, лучший комментарий
                                                +14
                                                Ага, вам пришло письмо, но я его вам не отдам, потому что у вас документов нету. ;)
                                                  +12
                                                  наотличненько for-x.ru/
                                                  какой глупый спамер for-x.ru/email/

                                                  domain: FOR-X.RU
                                                  type: CORPORATE
                                                  nserver: ns57.dns-rus.net.
                                                  nserver: ns58.dns-rus.net.
                                                  state: REGISTERED, DELEGATED, UNVERIFIED
                                                  person: Private person
                                                  phone: +7 924 6055199
                                                  e-mail: info@i-n-f-o.ru
                                                  registrar: REGRU-REG-RIPN
                                                  created: 2009.03.12
                                                  paid-till: 2010.03.12
                                                  source: TC-RIPN

                                                  https://www.nic.ru/whois/?query=i-n-f-o.ru
                                                  https://www.nic.ru/whois/?query=tut-i-tam.ru

                                                  www.google.ru/#hl=ru&source=hp&q=924+6055199&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=924+6055199&fp=be4313e544833b95

                                                  Телефон: 7 (924) 6055199. ФИО: Генералов Владислав Анатольевич
                                                  Россия, Иркутск
                                                  Старокузьмихинская, 53 [посмотреть на карте]. 8-924-6055199. www.stroyinfo.su

                                                  https://www.nic.ru/whois/?query=www.stroyinfo.su
                                                  domain: STROYINFO.SU
                                                  descr: Domain for Web Server
                                                  descr: Hosted by AGAVA Software
                                                  nserver: ns1.agava.net.ru.
                                                  nserver: ns2.agava.net.ru.
                                                  state: REGISTERED, DELEGATED
                                                  person: Pesterev Vladislav Anatolevich
                                                  phone: +7 3952 423749
                                                  fax-no: +7 3952 423749
                                                  e-mail: stroi.info@mail.ru
                                                  registrar: GPT-REG-FID
                                                  created: 2008.08.22
                                                  paid-till: 2010.08.22

                                                  продолжать? =;)
                                                    +5
                                                    дада (попкорн)
                                                      +13
                                                      Россия, г. Иркутск, ул. Старо-Кузьмихинская, 53А
                                                      Тел. 8-9834-111-001

                                                      E-mail: info@i-n-f-o.ru

                                                      Доменные имена сайта:
                                                      www.i-n-f-o.ru/
                                                      www.tut-i-tam.ru/
                                                      www.ria-news.ru/
                                                      www.b-o-s.ru/

                                                      Пестерев Владислав Анатольевич
                                                      les.lesprom.com/community/32224/
                                                      ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5_%D1%83%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%B8%D0%BA%D0%B0:Stroyinfo

                                                      каратист?
                                                      74.125.77.132/search?q=cache:rGMFFm94uoQJ:www.ikomatsushima.ru/russian/Yakutov2005_rezults.doc+%D0%9F%D0%B5%D1%81%D1%82%D0%B5%D1%80%D0%B5%D0%B2+%D0%92%D0%BB%D0%B0%D0%B4%D0%B8%D1%81%D0%BB%D0%B0%D0%B2&cd=11&hl=ru&ct=clnk&gl=ru
                                                      www.kyokushin.ru/tours_dv2003d.html

                                                      если да, то он примерно 89-90гг рождения

                                                      хорошо зашифровались, гугл почти не знает улиц иркутска, яндекс не знает его вообще
                                                      слабо верится, что могли встретиться два человека с разными фамилиями, но одинаковыми именами-отчествами

                                                      ещё немного можно посмотреть на 1stat.ru/?show=whois по мылу
                                                      помимо известных, обнаружились
                                                      3 Делегирован hackeram.ru Private person best-hoster.ru +7 924 6055199 REGRU-REG-RIPN 10-02-2009 10-02-2010
                                                      5 Делегирован moyclan.ru Private person agava.ru +7 924 6055199 REGRU-REG-RIPN 25-05-2009 25-05-2010
                                                      6 Делегирован ria-news.ru Private person agava.ru +7 924 6055199 REGRU-REG-RIPN 12-03-2009 12-03-2010
                                                      все, что лежат на агаве, ведут в один каталог, но мойклан почему-то глючит

                                                      хакерамру даёт ещё кусочек инфы WMID:583677292847 ICQ:592-420-356
                                                      people.icq.com/people/about_me.php?uin=592420356 Павел Орлов, Male 26 years old, Иркутск
                                                      passport.webmoney.ru/asp/certview.asp?wmid=583677292847 снова павел оролов
                                                      гуглится он плохо
                                                      вконтактег даёт 5 павлов орловых из иркутска

                                                      причём, сертификат зареган 26 Апреля 2009 года в местном центре passport.webmoney.ru/asp/certview.asp?wmid=559818853628

                                                      опапа!(Ц) Прикрепленные к аттестату WM идентификаторы:
                                                      WMID#559818853628 BL: Бизнес уровень 2050 [BL] используется в интересах компании ИП БОЯРКИН РОМАН ВИКТОРОВИЧ
                                                      WMID#798065881608 BL: Бизнес уровень 0 [BL] WMIRK.ru delivery Robot

                                                      Бояркин Роман Викторович, Россия, Иркутск, ул. Академическая, д. 28/6
                                                      +7 902 5117269 аська 255131

                                                      схема проезда на Академическую wmirk.ru/img/schema.jpg
                                                      WMIRK.ru — кладезь контактов, аськи, почты, адреса
                                                      wmirk.ru/index.php?p=contacts
                                                      +7 (3952) 420 548, +7 (3952) 757269
                                                      400440749 (Анна), 568434821 (Алена), 255131 (Роман)

                                                      ну итд
                                                      вот так павлуша подставил аж две иркутские конторы ;) для стройинфо он, скорее всего, лепил сайт на дле
                                                      в другой получал вм-сертификат, который использует для недобропорядочной деятельности, предполагаю

                                                      мне почему-то кажется, что если кто-нить из иркутских увидит эти данные, павлу, ну, надо приготовиться к разъяснительной беседе
                                                        +8
                                                        ФСБ потеряло в вас такого ценного кадра…
                                                        Зачет, я в шоке.
                                                          +3
                                                          анонимность в сети — это миф =;)
                                                            +7
                                                            cypa ты?
                                                              +1
                                                              нет :)
                                                              честно
                                                              +2
                                                              кто действительно хочет — остаётся в тени
                                                              прочие же лемминги только и делают, что оставляют следы
                                                              +2
                                                              откуда знаете, что потеряло? ;-)
                                                              +8
                                                              Чё-то вы не туда со своим дедуктивным анализом полезли.
                                                              Обратите внимание на строку в письме:
                                                              X-PHP-script: for-x.ru/email/mail.php for 193.108.38.230, 193.108.38.230

                                                              Теперь откроем for-x.ru/email/ — это анонимайзер для почты. И очевидно, что IP в конце — адрес того, кто воспользовался сервисом. Можете проверить для интереса, отправив анонимное письмо. Там будет ваш IP.

                                                              Оказывается, хлопец с Украины (см. WHOIS):

                                                              inetnum: 193.108.38.0 — 193.108.39.255
                                                              netname: DEC-NET
                                                              descr: Private Enterprise «DEC»,
                                                              descr: Universitetskay st, 70,
                                                              descr: 83012, Donetsk,Ukraine
                                                              country: UA

                                                              Теперь что на хосте — может машина-зомби? Смотрим:
                                                              193.108.38.230/
                                                              404 Not Found
                                                              The requested URL / was not found on this server.
                                                              Apache/2.2.12 (Ubuntu) Server at 193.108.38.230 Port 80

                                                              Значит, письма рассылаются оттуда через анонимайзер for-x. Но всё равно не факт, что виноват админ украинского сервера. Возможно, на этом сервере есть зараженный код, из которого идут запросы. Тогда автор теряется.
                                                                0
                                                                Параноить стоит в сторону владельца kasumi.ru тогда уже, потому как именно там сидел сборщик паролей.
                                                                  0
                                                                  1) У кого nmap под рукой просканируйте этот ИП (193.*).там наверняка проксик на порту типа 3333
                                                                  2) У кого есть nmap :) просканьте kasumi.ru, сайт хостится на hc.ru, видимо взломан, так как 21 октября там был корпоративный сайт
                                                                    –1
                                                                    отличное дополнение, спасибо
                                                              +1
                                                              моему начальнику пришло такое вчера, ладно он догадался у меня спросить ) прежде чем что то вводить
                                                                –1
                                                                Красотища какая…
                                                                <form id=«gaia_loginform» action=«kasumi.ru/mail.php» method=«post»
                                                                Может вгет натравить на него?
                                                                0
                                                                недавно читал о подобном способе взлома пароля относительно мыла.ру.

                                                                Однажды я чуть не попался на липовый Вконтакте, ссылку по аське прислали. Спасло не в последнюю очередь то, что все основные пароли помнит мой лис, и руками я их не вбиваю. Если лис не показал пароль — это повод напрячь мозги и внимание.
                                                                  0
                                                                  С лисой вы правы =) от таких шуток она меня и спасает идентичным способом.
                                                                  0
                                                                  Ну недоработали они… Судя по html, адрес формы не подставляется на оригинальный, чтобы можно было воспользоваться автозаполнением.

                                                                  А если я вижу форму входа на сайт, для которого пароль точно сохранён, а поля не заполнены или не подсвечены, то становится ясно, что это какая-то подстава.
                                                                    0
                                                                    Форма kasumi.ru/mail.php заблокирована.
                                                                      0
                                                                      Забанили сайтик. Forbidden говорит. Ура!
                                                                      –1
                                                                      ни разу не натурально
                                                                        –1
                                                                        На такое еще кто то ведется?? Этот способ стар, как мир! )
                                                                          +1
                                                                          Вычислить и к стенке.
                                                                            0
                                                                            а перед этим ещё и морду набить!
                                                                              0
                                                                              и ноги из одного места оторвать и туда же запихать!
                                                                            +1
                                                                            Меня бы насторожила сразу же глупейшая пунктуационная ошибка в тексте.
                                                                              0
                                                                              в Опере ещё бы спас «Жезл паролей». даже если не обратить внимания на адрес, то отсутствие активной кнопки «Войти» на тулбаре сразу бы показал, что сайт не гугловский :) кстати, Опера меня недавно спасла от потери пароля в соцсети вконтакте: переписывался с другом, потом, минут через 30 от него же приходит письмо, мол, ты знаешь её, она говорит, что знает. глаз не заметил лишней буквы в адресе, клик по ссылке, но Опера не дала зайти мне на сайт, предупредила о том, что это мошеннический сайт. в общем, будьте внимательны.
                                                                                0
                                                                                Ваше мыло заказали. На взлом. Рекомендую подумать кому это могло понадобится. Ибо раз заказали — заплатили денежку — будут пытаться еще. Способов масса.
                                                                                  0
                                                                                  а как «все ссылки показывают на гугл»? т.е. в строке состояния (statusbar) показывается фальшивая ссылка? если ваш браузер позволяет запрещать скриптам менять её (строку состояния), обязательно рассмотрите эту возможность

                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                  Самое читаемое