Трудности перевода или как потерять свою почту

Охота за почтовыми аккаунтами будет вечной, несмотря на все попытки провайдеров обезопасить пользователей двухфакторными авторизациями и дополнительными проверками. И как ни странно, лень человеческая доводит до того, что выбирая простые пароли и отказываясь от дополнительных степеней защиты, мы сами оказываем злоумышленникам услугу. Всё, что им остаётся —прислать фейковую форму для выманивания пароля. Хотя и этим деятелям что-то выдумывать лень: вот и приходят обладателям российских, украинских и белорусских почтовых адресов «уведомления от администратора почтовой системы» на английском языке…

Например, письмо от адресата Server Notifications с темой Email Account Verification:

Mail Verification

Dear info
The password of your email account info@***.ru will expire soon.

To continue using your info@***.ru kindly re-confirm ownership below.

Re-confirm Password

Thanks,

***.ru Web Administrator

This email was sent to info@***.ru
Organization: Webmail Corporation. All rights reserved. @ 2020

Жулики не заморачиваются выяснением, кто является хостинг-провайдером, обслуживающим почту клиента. Отсюда и появляются абстрактные Web Adminstrator’ы и Webmail Corporation’ы… Над таким можно только посмеяться, хотя англоязычные юзеры, особенно не очень чётко представляющие, кто у них провайдер, могут и в лужу сесть.

Ещё один способ выманить пароль — сообщить о скорой (несуществующей, разумеется) деактивации почтового ящика: основной призыв будет не сменить пароль, а отменить якобы запрошенное  удаление ящика:

WEBMAIL ACCOUNT DE-ACTIVATION NOTICE
From: ***.ru Admin <fbadmin.auh@westin.com>

WEBMAIL ACCOUNT DE-ACTIVATION NOTICE

Attention: info@***.ru

You request that your info@***.ru be DE-ACTIVATED in 11/23/2020 3:15:58 a.m., If you have not then click the CANCEL REQUEST immediately, else your email account will be closed permanently.

CANCEL REQUEST

We apologize in advance for any inconvenience and thank you for your understanding!

Best regards,

Source: ***.ru Administrator 2020

Опять же, мошенники ориентированы на англоязычную аудиторию, но чем чёрт не шутит…

Берегите себя, свои персональные данные и свои нервы.

Охота на ваш домен? Или на банковский счёт?

Что самое страшное для владельца сайта, особенно контентного и приносящего деньги? Конечно, утрата этого сайта! И ладно бы это была спланированная и неотвратима атака квалифицированных зарубежных хакеров, утрата серьёзная, но получена в ходе неравной битвы! А ну как важный сайт можно потерять из-за банального раздолбайства?! Например, попросту из-за того, что забыли оплатить продление имени… Каких-то 10 долларов — и вот она, потеря…

Зачастую владелец серьёзного сайта сам и не занимается такими, казалось бы, мелочами, как продление доменного имени: такое, как правило, делегируется нанятому админу. И вот в какой-то момент хозяину сайта (ну или тому самому админу) приходит вот такое:

Письмо от "Регистратора"

На данном этапе пока непонятно, за чем идёт охота — вынудят ли пользователя «слить» связку «логин-пароль» у настоящего регистратора доменных имён, или предложат оплатить продление (хотя ради 10 долларов — такова цена среднегодовой оплаты за домен — вряд ли стоило так стараться). Но то, что действуют мошенники, причём низкой квалификации — уже ясно из заголовка: имя отправителя R01 — прописать смогли, а отправить с его адреса — уже нет, так что пришлось довольствоваться бесплатным ящиком. Ну что ж, давайте выясним, что им нужно и нажмём уже «Оплатить»!

Удивительно, но всё оказывается «тупее некуда» — по нажатию вы попадаете ни много ни мало — сразу в платёжный сервис Яндекса, который теперь называется yoomoney.ru. В ссылке уже введён номер кошелька получателя для перевода (на момент клика уже заблокирован) и сумма в 4470 рублей. Почему именно такая? Видимо для нынешних школьников (а кому ещё таким промышлять) это значимые деньги…

Берегите себя, свои персональные данные и свои нервы.

Благодарим за заполнение формы…

Уж сколько раз твердили миру, что если вы в явном виде, здравом уме и трезвой памяти не писали кому-либо какой-либо запрос и не заполняли никаких неизвестных вам онлайн-форм, то вам совершенно точно не могут прийти электронные письма, тема которых начинается с «Re:» (это безусловный признак ответа на вами ранее посланное письмо) или отбивка об успешном заполнении формы.

В новой мошеннической рассылке используется механизм Google-форм, когда после заполнения некой формы Google присылает на заранее указанный адрес почты отбивку-уведомление о том, что введённые вами данные успешно учтены.

Злоумышленники заранее создают Google-форму на подложном Google-аккаунте, в одном из полей формы предусматривают ввод адреса электронной почты (это и будет в дальнейшем адрес жертвы), а в настройках формы указывают необходимость отправки подтверждения на этот адрес в том, что форма заполнена успешно.

Подвох для спам-фильтров заключается в том, что отбивка приходит с одного из легальных почтовых адресов корпорации Google — к примеру, forms-receipt-noreply@google.com, что даёт возможность такому письму беспрепятственно попасть во входящие.

Типичный текст одного из таких писем выглядит вот так:

Образец мошеннического письма   Как видно, мошенники особенно не «парятся» — форма нехитро названа «Поздравляем!» и содержит всего два поля — адрес получателя, якобы заполнившего её, и текстовое поле с гиперссылкой, содержащее мотивирующий для клика по ссылке текст.

В условиях безденежья, постигшего многих в 2020 году, любопытство может запросто пересилить здравый смысл и жертва-таки нажмёт на ссылку…

Ну что ж, давайте кликнем по ссылке вместо незадачливого юзера и после целых трёх редиректов, идущих друг за другом, попадаем на адрес (при следующем заходе имя может быть и другим) https://bporini.xyz/mcv_736/

Доменная зона .xyz — уже тревожный звонок, даже для искателей приключений и острых ощущений: «намотать на винт» на сайтах этой зоны проще простого. Но наши мошенники, скорее всего, имеют другую цель — деньги пользователя. Для этого его (и нашему) вниманию предлагается целая «простыня», которая должна внушить нешуточное уважение к месту, которое посещено:

Люди старались, рисовали...

Как видим, это не просто фейк-страничка, а ловушка с элементами интерактива — несложный скрипт уже собрал ip-адрес посетителя и по таблице провайдеров «вычислил» город будущего «пострадавшего». И «система» под названием Многофункциональный Центр Возмещений (международная служба — значит, работают и аферисты-иностранцы) уже по вашему ip знает, сколько денег вам причитается. Если отбросить грамматические ошибки, тонкий юмор «разработчиков» насчёт «более 5 счастливых (читай — обманутых) клиентов каждый день» и мифического адреса на Петровке, 10 (там находится ТЦ «Петровский Пассаж»), то вся суть этой «простыни» в том, чтобы доверчивый посетитель нажал одну из ссылок: «Узнайте её сумму прямо сейчас» или «Узнайте сумму» вкупе со вводом 4 последних цифр банковской карты или «Вернуть деньги» либо «Воспользоваться случаем». Что бы из кнопок вы ни нажали, результат будет один — фокусирование страницы на блоке «Рассчитайте выплату», где предлагается ввести 4 последних цифры номера банковской карты (это на данном этапе не имеет никакого значения — данная информация не может никому помочь украсть с неё деньги) и нажать-таки финальную кнопку «Узнайте сумму». На самом деле, до нажатия этой кнопки дело даже не дойдёт: как только вы введёте последнюю цифру из четырёх — вводить можно что угодно, разумеется, — начинается магия! На экране начинают мелькать надписи типа «подключение к базам данных», «запрос начислений», «связь с сервером» и тому подобные, чтобы пользователь видел, что работа идёт серьёзная! Далее начинают генерироваться пяти- и даже шестизначные суммы, выделенные крупным красным шрифтом — не заметить невозможно. В нашем случае сумма «выплат» составила аж 231.928 рублей! Шутка ли! Отдельно сообщается, что вышеуказанная сумма состоит из «неполученной выплаты» в 181.700 рублей и «страховой компенсации» в 50.228 рублей. Тут же будущего потерпевшего начинают мотивировать на дальнейшие действия: начинает мигать кнопка «Связаться с юристом для получения выплаты» и ниже появляется нешуточное предупреждение о том, что если не получить эти суммы в течение 24 часов, то всё будет возвращено организаторам. Организаторам чего, текст умалчивает. Видимо, этого лохотрона. Ну что ж, «свяжемся с юристом»…

Вы думали, дальше будет форма, где сразу надо будет вводить данные вашей карты для «получения средств» или оплаты «сервисного сбора»? Нет, мошенники так быстро не хотят вас разочаровать. Надо придать значимости ещё больше! Поэтому «связь с юристом» — всего лишь прокрутка страницы в подвал, где рядом с адресом «Петровка, 10″ вам предлагается написать самостоятельно письмо в службу поддержки на адрес mcvsupport@mail.ru. Удивительно, что «международная служба» довольствуется бесплатным сервисом, но mail.ru ведь признанный лидер на рынке почтовых услуг… Что ж, надо сделать почтовый ящик «доверчивой бабушки» и написать им письмо…

Продолжение — в следующих постах.