Как угоняют аккаунты на mail.ru (фишинг mail.ru)

[Deementor]

Автор: DiMan - HackZone Team

Прошу рассматривать данный материал в контексте "Как не стать жертвой мошенников"
В данной статье будет приведен классический пример попытки угона (фишинга) почтового аккаунта.
В данном случае это mail.ru , но способ универсален и применим к любому web сервису


Предыстория

Звонит племянница и жалуется, что у нее взломали аккаунт в социальной сети.
Говорю, меняй везде пароли и в первую очередь на почте.
На резонный вопрос "причем тут почта" - так надо.

Разбор полетов

Итак начинаем расследование как такое могло произойти. Пароли на почте и в соц.сети стояли крепкие, тупому бруту неподвластные.

Спрашиваю у племяшки приходили какие-то запросы от администрации почтовой службы или соц.сети на изменение пароля. Говорит недавно было что-то похожее от mail.ru.

На первый взгляд все прилично. Отправитель [email protected], приличное оформление с логотипом mail.ru.
Все ссылки указывают на субдомены в зоне mail.ru ну и конечно тема письма не располагающая к особым раздумьям.
Не удивительно, что на такое ведутся.

Ну а теперь протрем глаза и взглянем трезво. Вообщем-то все ссылки ведут на mail.ru....
Кроме одной. Обратите внимание на строку

Так же Вы можете подтвердить электронный адрес, авторизовавшись на сервере.

Ссылка в которой ведет на адрес http://r2.mail.ru/clb_win.mail.ru/wi...l.ru/_cgi-bin/

В результате перехода по этой ссылке мы попадаем не на mail.ru, а на win.rmaill.ru , который представляет собой так называемый фейк главной страницы mail.ru.
Таким образом нас заманили на якобы страницу авторизации в почтовой службе mail.ru
Далее, по замыслу создателей фейка мы должны ввести свои логи и пароль в форме входа в акаунт, что ,к сожалению, большинство из пользователей и делает.

В результате чего все данные сначала уходят владельцам rmaill.ru, а потом вас перебрасывает уже на настоящий mail.ru

Попробуем определить подлецов. Воспользуемся сервисом WHOIS. Получаем:

IP: 213.155.3.152
domain: RMAILL.RU
type: CORPORATE
nserver: ns1.buydedicated.ru.
nserver: ns2.buydedicated.ru.
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 3472 738609
e-mail: [email protected]
registrar: NAUNET-REG-RIPN
created: 2008.11.14
paid-till: 2009.11.14
source: TC-RIPN

Регистратором домена является компания NAUNET служба поддержки которой была извещена о деятельности их подопечных.

Сервис maxmind.com помог определить место хостинга товарищей.
Саппорт хостинга отреагировал на жалобу весьма оперативно. Менее чем через полчаса после написания статьи аккаунт был заблокирован.

Выводы

Будьте внимательны. Не тычьте во все ссылки подряд ибо рискуете остаться не просто без ящика, но и без соц.сетей, вебманей, яндекс денег и всего всего нажитого непосильным трудом.

[guk8686]

Чтобы сформировать канал, программе-клиенту надо, во-первых, получить от каждого из узлов его открытый «ключ идентификации», используемый для проверки идентичности сервера.

[Sharer]

Совершенно также связаны, как vkontakte.ru связан с сайтами vkontalrte.ru и vlrontakte.ru, то есть никак, а вот между собой rmaill, vkontalrte, vlrontakte связаны тем, что зарегистрированы на один почтовый ящик [email protected]

при чем названия выбраны не с целью получить на себя посещение от раскрученного проекта. Например вместо mail.ru особо одаренный пользователь может напечатать meil.ru, но это вполне корректный шаг - урвать кусочек славы от раскрученного проекта и зла обычно не причиняет, но в этом случае названия подобраны только для того, чтобы невнимательный пользователь не обратил внимания куда именно ведет ссылка из письма эл. почты: на реальный сайт, или на его клон.

Вобщем внимательнее ходите по ссылкам в том числе и от администрации сайтов.