Инциденты

Внимание: классический фишинг российских сервисов

Сегодня утром на мой почтовый ящик в службе yandex.ru пришло сообщение следующего содержания:

Здравствуйте уважаемый пользователь национальной почтовой службы Yandex.ru!

В последнее время на сервере Yandex.ru появилось множество ящиков, используемых для рассылки «СПАМа». В связи с этим начата активная работа по их выявлению и удалению с сервера.

На данный момент все ящики с подозрительными именами, в том числе и Ваш, были занесены в список запрещенных, а каждому пользователю предложено пройти повторную авторизацию по следующей ссылке http://r.yandex.ru/****/yandex/?id=02cfdd227b9735c35a8288f37c020cd2&p=blacklist&mt=0.090866193010010.

После повторной авторизации Ваш ящик автоматически исключается из списка запрещенных, так как этим действием Вы подтверждаете прочтение данного письма, чего не могло произойти на «ящике-спамере».

С августа 2007 года все ящики, оставшиеся в списке запрещенных будут удалены с сервера, что нанесет серьезный удар по спамерским организациям и сделает почту на Yandex.ru более чистой.

Помните, если Вам приходит письмо явно рекламного содержания, на получение которого Вы не давали своего согласия, у Вас есть возможность пожаловаться на «СПАМ». Администрация Yandex.ru изучает все жалобы и модифицирует фильтрующие алгоритмы для новых видов «СПАМа».

Спасибо за то, что Вы являетесь пользователем Yandex.ru.

С уважением,
администрация Yandex.ru

Спросонья я чуть было не последовала указаниям письма. Но здравый смысл возобладал, я заподозрила неладное и полезла разбираться. И действительно: если заглянуть в строку состояния браузера, наведя курсор на невинную ссылку http://r .yandex.ru/…., оказывается, что в действительности переход по этой ссылке ведет на некий сайт в зоне бесплатного хостинга tu1.ru. Если же перейти по указанному адресу http://r.yandex.ru/…, скопировав его в окно браузера, выясняется, конечно, что такой страницы не существует.

Если присмотреться внимательнее, обнаруживается множество мелких нестыковок:

  • с точки зрения правил русского языка — как минимум одна недостающая запятая;
  • с точки зрения правил формальной переписки — сомнительная стилистика письма;
  • адрес «Администрации Yandex.ru» почему-то такой: «postmaster@sharabee.nichost.ru»;
  • в правом верхнем углу открывающегося по ссылке «сервиса авторизации Yandex» показывается контекстная реклама, которой на служебных сервисах Яндекса нет.

Это — пример классического фишинга. Фишинг российских сервисов мало распространен. На моей памяти это первая масс-рассылка фишинга по базе адресов электронной почты yandex.ru — по крайней мере, из числа пролезших через спам-фильтры. За счет этого «фактора неожиданности» фишеры, вероятно, все-таки соберут некоторый урожай паролей, несмотря на то, что фишинг примитивный и непродуманный (в частности, вышеописанных нестыковок могло бы и не быть).

Избежать фишинга легко, если следовать простому правилу: убедившись в том, что доменное имя предложенной ссылки не поддельное, перейти по ней не напрямую, а скопировав ее в окно браузера. При таком подходе не сработают даже самые хитрые уловки фишеров для сокрытия реального URL.

Если вы все-таки поддались на хитрость фишеров и ввели свой пароль в поля на предложенной странице, смените его как можно скорее.

Внимание: классический фишинг российских сервисов

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике