Comments 71
UFO landed and left these words here
если бы действительно дёрнули, зачем рассылать что-то клиентам? достаточно вскрыть хэши паролей (если там вообще хэши) и стырить тысячи доменов…
Тут никаких whois не надо, достаточно было вчера зайти на страницу с раздачей инвайтов.
Пользователь написал скрытый комментарий. Для просмотра войдите, указав данные Хабра-аккаунта:
«Раскрыть комментарий» на хабре тоже стоит изменить, чтобы под него нельзя было замаскировать злую ссылку. Совсем ведь не сложно, можно просто пунктирное подчёркивание сделать.

P.S.: Ваша картинка не грузится :(
Мне интересно кому пришла в голову мысль, что пользователь уже осуществивший вход в систему будет отдавать учетные данные в письме? Неужели я что-то не понимаю? есть такие кто на это поведеться? (нет, я конечно знаю что в семье не без урода, но все же)
Пользователя приучают, что гуглаппы это не просто сайт, а целое приложение, имеющее, в том числе, и всплывающие окна на дивах.
Выглядит несколько похожим на оное.

А если добавить к этому такую вещь как защищённые паролем архивы, которые отложили свой отпечаток в умах многих пользователей, можно спокойно поймать кучу людей, вписавших в вышеуказанное письмо свои данные.

Просто не стоит смотреть на всех с высоты своих знаний в отдельное области. Пользовательская грамотность, даже после курсов на подобии «Уверенное владение ПК», вряд ли позволит увидеть в этом письме нечто нехорошее.
Я даже не пытался смотреть с высоты… просто я давно уже привык к своему окружению. У меня даже мать, женщина преклонного возраста, понимает что такое данные авторизации и лишний раз подумает прежде чем что-то вводить.
я думаю количество «попавшихся» на эту удочку людей прямо пропорционально количеству тех кто без раздумий отправит смс с кодом ХХХ на номер УУУ. т.е. остается только сожалеть о низком уровне подготовке пользователей руцентра, ибо речь идет именно о них.
UFO landed and left these words here
pastebin.com/m4b2d3f88

Вот текст письма с заголовками.
Главное гугл пишет

«Images are not displayed.
Display images below — Always display images from ru-bill@nic.ru»
UFO landed and left these words here
руцентр это просто From: RU-CENTER NCC

но зато срипт спалил недоспамера
X-PHP-script: for-x.ru/email/mail.php for 193.108.38.230, 193.108.38.230
а хостится он на piter23.dns-rus.net

заголовки в абуз и дело закрыто


Гугл так плохо не относится к своей типографике и пунктуации.
Я бы не повелся.
а в украинском варианте вообще жесть проскакивает: «Файрбаг может замедлить работу вашего сайта, если его правильно настроить. Настроить файбаг!»
ну на скам это не похоже, да и на спам тоже, если вы описались.
Больше похоже на фишинг, а идея не плохая.
Не путайте скам и спам

%username%, конечно, может объективно сказать, что такой наглый скам не пройдёт, но интернеты большие и свой улов он принесёт.
Хотелось бы посмотреть на идиотов, которые в принципе способны повестись на такое письмо (какое то скрытое мухаха письмо, да еще не по ссылку щелкнуть а логин и пароль ввести)
Можно не рассматривать письмо под лупой, а просто зайти, вбив вручную nic.ru
Покажет сообщение — правда, нет — забить на это.

Больше бесит когда на твой мыльник регистрируют аккаунты на всяких говносайтах без твоего согласия. Особенно если сайт без проверки е-мэйл. Вот с такими что делать?
про скам не знал, спасибо за инфу, но все равно, сама связка Ru-Center пользователь, как то не увязывается =) хотя обычным пользователям наверное на такое не обратить внимания.
«скрытое письмо» это жесть =) как будто все остальные открытые =)
Ага, вам пришло письмо, но я его вам не отдам, потому что у вас документов нету. ;)
наотличненько for-x.ru/
какой глупый спамер for-x.ru/email/

domain: FOR-X.RU
type: CORPORATE
nserver: ns57.dns-rus.net.
nserver: ns58.dns-rus.net.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private person
phone: +7 924 6055199
e-mail: info@i-n-f-o.ru
registrar: REGRU-REG-RIPN
created: 2009.03.12
paid-till: 2010.03.12
source: TC-RIPN

https://www.nic.ru/whois/?query=i-n-f-o.ru
https://www.nic.ru/whois/?query=tut-i-tam.ru

www.google.ru/#hl=ru&source=hp&q=924+6055199&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=924+6055199&fp=be4313e544833b95

Телефон: 7 (924) 6055199. ФИО: Генералов Владислав Анатольевич
Россия, Иркутск
Старокузьмихинская, 53 [посмотреть на карте]. 8-924-6055199. www.stroyinfo.su

https://www.nic.ru/whois/?query=www.stroyinfo.su
domain: STROYINFO.SU
descr: Domain for Web Server
descr: Hosted by AGAVA Software
nserver: ns1.agava.net.ru.
nserver: ns2.agava.net.ru.
state: REGISTERED, DELEGATED
person: Pesterev Vladislav Anatolevich
phone: +7 3952 423749
fax-no: +7 3952 423749
e-mail: stroi.info@mail.ru
registrar: GPT-REG-FID
created: 2008.08.22
paid-till: 2010.08.22

продолжать? =;)
Россия, г. Иркутск, ул. Старо-Кузьмихинская, 53А
Тел. 8-9834-111-001

E-mail: info@i-n-f-o.ru

Доменные имена сайта:
www.i-n-f-o.ru/
www.tut-i-tam.ru/
www.ria-news.ru/
www.b-o-s.ru/

Пестерев Владислав Анатольевич
les.lesprom.com/community/32224/
ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5_%D1%83%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%B8%D0%BA%D0%B0:Stroyinfo

каратист?
74.125.77.132/search?q=cache:rGMFFm94uoQJ:www.ikomatsushima.ru/russian/Yakutov2005_rezults.doc+%D0%9F%D0%B5%D1%81%D1%82%D0%B5%D1%80%D0%B5%D0%B2+%D0%92%D0%BB%D0%B0%D0%B4%D0%B8%D1%81%D0%BB%D0%B0%D0%B2&cd=11&hl=ru&ct=clnk&gl=ru
www.kyokushin.ru/tours_dv2003d.html

если да, то он примерно 89-90гг рождения

хорошо зашифровались, гугл почти не знает улиц иркутска, яндекс не знает его вообще
слабо верится, что могли встретиться два человека с разными фамилиями, но одинаковыми именами-отчествами

ещё немного можно посмотреть на 1stat.ru/?show=whois по мылу
помимо известных, обнаружились
3 Делегирован hackeram.ru Private person best-hoster.ru +7 924 6055199 REGRU-REG-RIPN 10-02-2009 10-02-2010
5 Делегирован moyclan.ru Private person agava.ru +7 924 6055199 REGRU-REG-RIPN 25-05-2009 25-05-2010
6 Делегирован ria-news.ru Private person agava.ru +7 924 6055199 REGRU-REG-RIPN 12-03-2009 12-03-2010
все, что лежат на агаве, ведут в один каталог, но мойклан почему-то глючит

хакерамру даёт ещё кусочек инфы WMID:583677292847 ICQ:592-420-356
people.icq.com/people/about_me.php?uin=592420356 Павел Орлов, Male 26 years old, Иркутск
passport.webmoney.ru/asp/certview.asp?wmid=583677292847 снова павел оролов
гуглится он плохо
вконтактег даёт 5 павлов орловых из иркутска

причём, сертификат зареган 26 Апреля 2009 года в местном центре passport.webmoney.ru/asp/certview.asp?wmid=559818853628

опапа!(Ц) Прикрепленные к аттестату WM идентификаторы:
WMID#559818853628 BL: Бизнес уровень 2050 [BL] используется в интересах компании ИП БОЯРКИН РОМАН ВИКТОРОВИЧ
WMID#798065881608 BL: Бизнес уровень 0 [BL] WMIRK.ru delivery Robot

Бояркин Роман Викторович, Россия, Иркутск, ул. Академическая, д. 28/6
+7 902 5117269 аська 255131

схема проезда на Академическую wmirk.ru/img/schema.jpg
WMIRK.ru — кладезь контактов, аськи, почты, адреса
wmirk.ru/index.php?p=contacts
+7 (3952) 420 548, +7 (3952) 757269
400440749 (Анна), 568434821 (Алена), 255131 (Роман)

ну итд
вот так павлуша подставил аж две иркутские конторы ;) для стройинфо он, скорее всего, лепил сайт на дле
в другой получал вм-сертификат, который использует для недобропорядочной деятельности, предполагаю

мне почему-то кажется, что если кто-нить из иркутских увидит эти данные, павлу, ну, надо приготовиться к разъяснительной беседе
ФСБ потеряло в вас такого ценного кадра…
Зачет, я в шоке.
кто действительно хочет — остаётся в тени
прочие же лемминги только и делают, что оставляют следы
Чё-то вы не туда со своим дедуктивным анализом полезли.
Обратите внимание на строку в письме:
X-PHP-script: for-x.ru/email/mail.php for 193.108.38.230, 193.108.38.230

Теперь откроем for-x.ru/email/ — это анонимайзер для почты. И очевидно, что IP в конце — адрес того, кто воспользовался сервисом. Можете проверить для интереса, отправив анонимное письмо. Там будет ваш IP.

Оказывается, хлопец с Украины (см. WHOIS):

inetnum: 193.108.38.0 — 193.108.39.255
netname: DEC-NET
descr: Private Enterprise «DEC»,
descr: Universitetskay st, 70,
descr: 83012, Donetsk,Ukraine
country: UA

Теперь что на хосте — может машина-зомби? Смотрим:
193.108.38.230/
404 Not Found
The requested URL / was not found on this server.
Apache/2.2.12 (Ubuntu) Server at 193.108.38.230 Port 80

Значит, письма рассылаются оттуда через анонимайзер for-x. Но всё равно не факт, что виноват админ украинского сервера. Возможно, на этом сервере есть зараженный код, из которого идут запросы. Тогда автор теряется.
Параноить стоит в сторону владельца kasumi.ru тогда уже, потому как именно там сидел сборщик паролей.
1) У кого nmap под рукой просканируйте этот ИП (193.*).там наверняка проксик на порту типа 3333
2) У кого есть nmap :) просканьте kasumi.ru, сайт хостится на hc.ru, видимо взломан, так как 21 октября там был корпоративный сайт
моему начальнику пришло такое вчера, ладно он догадался у меня спросить ) прежде чем что то вводить
недавно читал о подобном способе взлома пароля относительно мыла.ру.

Однажды я чуть не попался на липовый Вконтакте, ссылку по аське прислали. Спасло не в последнюю очередь то, что все основные пароли помнит мой лис, и руками я их не вбиваю. Если лис не показал пароль — это повод напрячь мозги и внимание.
С лисой вы правы =) от таких шуток она меня и спасает идентичным способом.
Ну недоработали они… Судя по html, адрес формы не подставляется на оригинальный, чтобы можно было воспользоваться автозаполнением.

А если я вижу форму входа на сайт, для которого пароль точно сохранён, а поля не заполнены или не подсвечены, то становится ясно, что это какая-то подстава.
На такое еще кто то ведется?? Этот способ стар, как мир! )
Меня бы насторожила сразу же глупейшая пунктуационная ошибка в тексте.
в Опере ещё бы спас «Жезл паролей». даже если не обратить внимания на адрес, то отсутствие активной кнопки «Войти» на тулбаре сразу бы показал, что сайт не гугловский :) кстати, Опера меня недавно спасла от потери пароля в соцсети вконтакте: переписывался с другом, потом, минут через 30 от него же приходит письмо, мол, ты знаешь её, она говорит, что знает. глаз не заметил лишней буквы в адресе, клик по ссылке, но Опера не дала зайти мне на сайт, предупредила о том, что это мошеннический сайт. в общем, будьте внимательны.
Ваше мыло заказали. На взлом. Рекомендую подумать кому это могло понадобится. Ибо раз заказали — заплатили денежку — будут пытаться еще. Способов масса.
а как «все ссылки показывают на гугл»? т.е. в строке состояния (statusbar) показывается фальшивая ссылка? если ваш браузер позволяет запрещать скриптам менять её (строку состояния), обязательно рассмотрите эту возможность
Only those users with full accounts are able to leave comments. Log in, please.