Автор Тема: Снова о фишинге - odnoklassniki.ru  (Прочитано 36210 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн seiri-itaru

  • Команда Зея.org
  • *****
  • Сообщений: 3702
Снова о фишинге - odnoklassniki.ru
« : 03 Июнь 2008, 18:49:35 »
   На этот раз фишеры поимели многа-многа паролей к личным кабинетам сайта odnoklassniki.
Разбираем по порядку.
Приходит сообщение с odnoklassniki.ru :

Цитировать
Здравствуйте, vovkamail!

Вам пришло новое сообщение от пользователя:

Dar'ja

Чтобы прочитать сообщение перейдите по ссылке:
http://www.odnoklassniks.info//mi?l=iMXVnqbxLMHhRx_WPXdttbtqhHYpj

Если указанная выше ссылка не открывается, скопируйте ее в буфер обмена,
вставьте в адресную строку браузера и нажмите ввод.

Вы получили это письмо, потому что зарегистрированы на сайте odnoklassniki.ru
Вы можете настроить отправку уведомлений о новых сообщениях
в разделе "Моя страница" > "Мои настройки"

--
С уважением,
Служба поддержки odnoklassniki.ru

--------------------------------------------------------------

Общайся с одноклассниками на мобильном телефоне.

Зайди с телефона на wap.odnoklassniki.ru!

Код письма:
Цитировать
From - Tue Jun 03 17:40:56 2008
X-Account-Key: account2
X-UIDL: 1130605175.14077
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <bezotveta@odnoklassniki.ru>
Received: from mail.домен (mail.домен [185.88.160.67])
   by имя_домена (8.13.4/8.13.4/Debian-3sarge3) with ESMTP id m530gZBw028294
   for <vovkamail@домен>; Tue, 3 Jun 2008 10:42:35 +1000
Received: from [89.16.17.183] (port=52894 helo=89.16.17.183)
   by mail.домен with esmtp (Exim 4.52)
   id 1K3KbP-0005yn-SH
   for vovkamail@домен; Tue, 03 Jun 2008 10:42:17 +1000
Message-ID: <0009...@cihwxlqn>
From: "Odnoklassniki.ru" <bezotveta@odnoklassniki.ru>
To: <vovkamail@мыло>
Subject: .....
далее видимый пользователю текст сообщения.

А вот письмо, которое мне пришло давно, но точно с odnoklassniki.ru :
Цитировать
Здравствуйте, Вовка!

Вам пришло новое сообщение от пользователя:

Иванов Иван (имя вымышленное)

Чтобы прочитать сообщение перейдите по ссылке:
http://www.odnoklassniki.ru//mi?l=o...[i]тут_мой_ID[/i]

Если указанная выше ссылка не открывается, скопируйте ее в буфер обмена,
вставьте в адресную строку браузера и нажмите ввод.

Вы получили это письмо, потому что зарегистрированы на сайте odnoklassniki.ru
Вы можете настроить отправку уведомлений о новых сообщениях
в разделе "Моя страница" > "Мои настройки"

--
С уважением,
Служба поддержки odnoklassniki.ru

--------------------------------------------------------------

Общайся с одноклассниками на мобильном телефоне.

Зайди с телефона на wap.odnoklassniki.ru!


А теперь код этого письма:
Цитировать
From - Thu May 15 17:41:53 2008
X-Account-Key: account2
X-UIDL: 1130605175.13683
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
Return-Path: <bezotveta@odnoklassniki.ru>
Received: from mail015.odnoklassniki.ru (mail015.odnoklassniki.ru [81.177.141.153])
   by имя_домена (8.13.4/8.13.4/Debian-3sarge3) with ESMTP id m4F1Csjj017373
   for <vovkamail@домен>; Thu, 15 May 2008 11:12:55 +1000
Received: from srv59 (unknown [81.177.141.228])
   by mail015.odnoklassniki.ru (Postfix) with ESMTP id 4F62E16E024
   for <vovkamail@домен>; Thu, 15 May 2008 05:12:40 +0400 (GMT-4)
Date: Thu, 15 May 2008 05:12:40 +0400 (GMT+04:00)
From: "Odnoklassniki.ru" <bezotveta@odnoklassniki.ru>
To: vovkamail@домен
Message-ID: <658650840....@mail12.odnoklassniki.ru>
Subject:.....
тут видимый текст письма

Первое, что должно броситься в глаза - это ссылки на страницы личного кабинета:
Сравните:
http://www.odnoklassniks.info//mi?l=iMXVnqbxLMHhRx_WPXdttbtqhHYpj - подделка.
http://www.odnoklassniki.ru//mi?l=o...тут_мой_ID - оригинал.
Так если Вы пойдёте по ссылке не на www.odnoklassniki.ru, а на www.odnoklassniks.info !!!
Разница даже в буковке - значительна!

Второе - В тексте письма, меня приветствуют фразами:
Здравствуйте, vovkamail! - подделка.
Здравствуйте, Вовка! - оригинал.
Так если реальный сайт обращается по имени, а не по названию электронного почтового ящика - (до знака @).

Третье Рассматриваем исходный код письма ( Ctrl+U для Mozilla Thunderbird ) - смотрим строки c Received: , так если пытаемся определить откуда пришло письмо:
Received: from [89.16.17.183] (port=52894 helo=89.16.17.183) - подделка.
Received: from mail015.odnoklassniki.ru (mail015.odnoklassniki.ru [81.177.141.153]) - оригинал.
Понятно, что оригинал odnoklassniki.ru рассылает сообщения со своего же сайта, но никак ни с какого-то неизвестного!

p.s. На сайте odnoklassniki.ru красуется надпись:
Цитировать
Нас 18 миллионов!
И это не предел!

Так если, почти каждый обладатель "выхода в интернет" и, соответственно, электронного ящика в рунете - зарегистрирован на сайте odnoklassniki.ru.
Даже если фишерский сайт просуществовал всего час, то "насобирать" паролей можно было ооочнь многа!!!

Будьте внимательны!!!

Личный адрес в исходных кодах сообщений изменён на vovkamail@домен .
Реальные ссылки на подставные сайты помещены в тэгах CODE (Код:)
« Последнее редактирование: 03 Июнь 2008, 22:32:55 от seiri-itaru »
"Я не такси. Я - перевозящее".    Дэвид Керс "Совершенное сияние недвижимости".

Оффлайн seiri-itaru

  • Команда Зея.org
  • *****
  • Сообщений: 3702
Re: Снова о фишиге - odnoklassniki.ru
« Ответ #1 : 03 Июнь 2008, 19:01:46 »
Вот что ответила служба поддержки сайта odnoklassniki.ru:
Цитировать
Вас приветствует Служба поддержки Odnoklassniki.ru!

Совершенно верно, фишинг. Однако, повлиять на почтовую рассылку мы, к
сожалению, не можем.

--
Обращаем Ваше внимание: Если требуется продолжение переписки по данной заявке,
не меняйте поле "тема" в ответе.

С уважением,
Служба поддержки  Odnoklassniki.ru

Это печально... :-[
"Я не такси. Я - перевозящее".    Дэвид Керс "Совершенное сияние недвижимости".

Оффлайн seiri-itaru

  • Команда Зея.org
  • *****
  • Сообщений: 3702
Вдогонку: Снова о фишинге - odnoklassniki.ru
« Ответ #2 : 03 Июнь 2008, 23:07:37 »
По сообщениям лент новостей.


Ложная служба поддержки "Одноклассников.ру" рассылает спам
03.06.2008

   В Рунете была обнаружена массовая рассылка спам-писем, якобы от службы поддержки "Одноклассников.ру". Как сообщили специалисты из "Лаборатории Касперского", в письмах говорится о том, что получателю пришло письмо от одного из пользователей социальной сети, которое можно просмотреть, перейдя по предлагаемой ссылке (odnoklassniks.info/***).
   Также в письме пишется "вы получили это письмо, потому что зарегистрированы на odnoklassniki.ru; вы можете настроить отправку уведомлений о новых сообщениях в разделе "Моя страница", "Мои настройки"". Интересно, что в настоящих письмах от службы поддержи социальной сети всегда добавляется фраза "Если Вы считаете, что данное сообщение послано Вам ошибочно, просто проигнорируйте его, и все данные будут автоматически удалены". Однако, в спам-письмах этого нет.
   Как передает "РБК", в "Лаборатории Касперского" отмечают, что при переходе по указанной ссылке ПК обращается в серверу, размещенному в Малайзии, но дальше запрос обращается к настоящему сайту "Одноклассники.ру". Причем не было обнаружено распространения троянов или других вредоносных программ.
   Однако компания "Доктор Веб", которая также зафиксировала эту спам-рассылку, отмечает, что при переходе по указанной ссылке, пользователь скачивает троян, который определяется антивирусом Dr.Web как Trojan.DownLoader.62860. Причем, в компании также отмечают, что сайт odnoklassniks.info был перегружен запросами пользователей и был не доступен.

Источник: itsec.ru
со ссылкой на CNews
« Последнее редактирование: 03 Июнь 2008, 23:12:59 от seiri-itaru »
"Я не такси. Я - перевозящее".    Дэвид Керс "Совершенное сияние недвижимости".

Оффлайн Serж

  • Ветеран
  • *****
  • Сообщений: 824
  • Пол: Мужской
  • Городской иммигрант
Re: Снова о фишинге - odnoklassniki.ru
« Ответ #3 : 04 Июнь 2008, 20:32:01 »
Во-во, как раз приходило что-то вроде того, с этих одноклассниксов....но я тама не регился и все эти спам-письма В ТОПКУ!

Оффлайн tester-vovka

  • Новичок
  • *
  • Сообщений: 1
  • Пол: Мужской
Re: Снова о фишинге - odnoklassniki.ru
« Ответ #4 : 05 Июнь 2008, 23:10:50 »
Сегодня был свидетелем как чистили комп от троянов с "псевдо-одноклассников". Работали через Internet Explorer 6.
Это подпись

Оффлайн seiri-itaru

  • Команда Зея.org
  • *****
  • Сообщений: 3702
Re: Снова о фишинге - odnoklassniki.ru
« Ответ #5 : 25 Июль 2008, 18:36:14 »
   Фишеры не дремлют. Новые спам-сообщения и новые ссылки:
http://www.odnoklassnlkl.com//mi?l=OSzhKiiIzXvwYH_sEDOOJudDisjuo
http://www.odnoklassnlkl.com//mi?l=VaLsLLwjlIdfHK_zkYjMPlrpThQgd

   Обратите внимание на то, что в ссылке .www.odnoklassnlkl.com вместо "i" стоит "l" и домен вместо ".ru" - ".com" : .www.odnoklassnlkl.com

Будьте внимательны!
« Последнее редактирование: 25 Июль 2008, 18:39:58 от seiri-itaru »
"Я не такси. Я - перевозящее".    Дэвид Керс "Совершенное сияние недвижимости".