Автор Тема: Снова начали встречаться поддельные сайты Одноклассников  (Прочитано 6590 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн seiri-itaru

  • Команда Зея.org
  • *****
  • Сообщений: 3702
Очередной развод для завсегдатаев сайта odnoklassniki.ru. Уже встречаюсь второй раз за неделю на работе. Всё нижесказанное справедливо для пользователей Windows:
 
С точки зрения пользователя, процесс выглядит так:
1. Пользователь заходит на сайт одноклассников.
2. Страница загружается и вылезает сообщение: ваш аккаут заблокирован из-за того, что с него идёт много спам-сообщений. Перейдите на такую-то страницу для разблокировки.
3. Пользователь в панике. Вы бы видели... Естественно, он идёт по ссылке.
4. Пользователя просят ввести номер мобильника.
5. На номер приходит СМСка - введите на сайте такой-то код.
6. Пользователь его вводит, а ему в ответ приходит вторая СМСка - отправьте такой-то код на такой-то номер.
7. СМСка обнуляет баланс, а доступ к аккаунту не разблокируется.

А теперь это же самое, но только с точки зрения знающего пользователя:

На компьютере запускается программа, которая изменяет файл c:\Windows\system32\drivers\etc\hosts и дописывает в него новое соответствие IP-адреса и доменного имени сайта одноклассников. Этот файл проверяется в первую очередь всеми программами, а только потом запрос на выяснение адреса идёт на DNS-сервер. Например, эта программа перенаправляет пользователя на фальшивый сайт одноклассников.

1. Пользователь заходит на сайт одноклассников.

Открывается фальшивый сайт одноклассников, но выглядит он точно также как настоящий.

2. Страница загружается и вылезает сообщение: ваш аккаут заблокирован из-за того, что с него идёт много спам-сообщений. Перейдите на такую-то страницу для разблокировки.
3. Пользователь в панике. Вы бы видели... Естественно, он идёт по ссылке.

Открывается фальшивая форма восстановления пароля.

4. Пользователя просят ввести номер мобильника.

Всё как на настоящем сайте одноклассников.

5. На номер приходит СМСка - введите на сайте такой-то код.
6. Пользователь его вводит, а ему в ответ приходит вторая СМСка - отправьте такой-то код на такой-то короткий номер.

Видимо плата за СМСку выставлена максимальной и всё что есть на счёте уходит в неизвестном направлении.

7. СМСка обнуляет баланс, а доступ к аккаунту не разблокируется.

И не должен разблокироваться - сайт-то ведь подставной.


Что делать и как определить подлинность сайта?
1. Если вылезло сообщение о блокировке аккаунта, не спешите его восстанавливать - нужно сперва удостовериться, что сайт, на который вы попали - настоящий.
Если есть второй компьютер - попробуйте выйти с него. Если получилось и учётная запись не заблокирована, значит первый компьютер подвергся атаке.

2. Для проверки открываем блокнот и в нём открываем файл c:\Windows\system32\drivers\etc\hosts
В нём должен быть примерно такой текст:
---
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
#      102.54.94.97     rhino.acme.com          # исходный сервер
#       38.25.63.10     x.acme.com              # узел клиента x

127.0.0.1       localhost
----
Самое важно здесь - это строки не пустые и не начинающиеся с # - только они играют роль.
Таким образом, рабочей здесь будет строка

127.0.0.1       localhost
Если помимо этой строки, есть ещё какие-либо строки - то их надо удалить. Возможно они и являются средством перенаправления на фальшивый сайт. Пример строки, когда компьютер подвергся атаке:

157.23.45.36 odnoklassniki.ru
- такой или подобной строки, где фигурирует odnoklassniki.ru не должно быть. Их надо удалить, затем перезагрузить компьютер, снова проверить наличие этих строк. Если они снова появились - чистите компьютер от троянов или вирусов. Если строки не появились, значит проблема решена.

Ещё признак подделки:
Обычно вандалы не утруждают себя делать полную копию сайта, поэтому можно ещё попробовать зайти на страницы сайта:
  • Мобильная версия
  • Реклама
  • Разработчикам
  • Помощь
  • Регламент
  • Новости
  • Вакансии
  • О компании
- на них должна быть информация. Если её нет или открывается непонятно что - это один из признаков подделки.

Ещё признак:
Сайт одноклассников никогда не просит прислать СМСку на какой-то номер!

Советы по предупреждению таких случаев
1. Не работайте в операционке от имени пользователя с правами Администратора. Лучше создайте пользователя с ограниченными правами (опытный пользователь)  и работайте от его имени.
2. Переходите на Linux - тем самым вы поднимите свою квалификацию и одновременно защитите свои данные от вмешательства извне.
3. После восстановления пароля, обязательно смените его, а тем боле если вы попались на удочку в первый раз - при попытке восстановления пароля на фальшивом сайте, ваш пароль могут использовать для входа под вашим именем.
"Я не такси. Я - перевозящее".    Дэвид Керс "Совершенное сияние недвижимости".

Оффлайн Gestalt Perception

  • Ветеран
  • *****
  • Сообщений: 518
  • Пол: Мужской
... Я мало что понимаю в этих "компьютерно-программных штучках", но из любопытства открыл файл c:\Windows\system32\drivers\etc\hosts с помощью блокнота...

После чего возникло несколько вопросов:

1. Почему файл hosts не содержит в себе ни одного символа и весит 0 КБ?

2. Почему он не содержит хотя-бы строку "localhost"

3. Хорошо это или плохо?

4. Если плохо, то что делать?
"Человек стремится к знанию, и как только в нем угасает жажда знания, он перестает быть человеком." (Фритьоф Нансен. Исследователь)

Оффлайн seiri-itaru

  • Команда Зея.org
  • *****
  • Сообщений: 3702
... Я мало что понимаю в этих "компьютерно-программных штучках", но из любопытства открыл файл c:\Windows\system32\drivers\etc\hosts с помощью блокнота...

После чего возникло несколько вопросов:

1. Почему файл hosts не содержит в себе ни одного символа и весит 0 КБ?
Он "весит" 0 КБ потому как пустой. Файл не обязательно должен быть чем-то наполнен.

2. Почему он не содержит хотя-бы строку "localhost"
Либо её там небыло вообще, либо была, но какая-то программа её удалила. Cтандартный файл WinXP приведён выше.
3. Хорошо это или плохо?
Это ни хорошо, ни плохо. Запись, касательная localhost должна быть для соблюдения стандарта сетевой работы и некоторые сетевые приложения без этой записи не работают.

4. Если плохо, то что делать?
Можно добавить в файл host строку:
127.0.0.1       localhostЕсли окажется, что файл защищён от записи, то возможно потребуется зайти в операционку под Администратором и выполнить действия.
Если все сетевые программы работают нормально, можно запись не добавлять.
"Я не такси. Я - перевозящее".    Дэвид Керс "Совершенное сияние недвижимости".

Оффлайн stil

  • Старожил
  • ****
  • Сообщений: 361
  • Пол: Мужской
 У себя нашёл  строку 127.0.0.1 activate.adobe.com
 Нужна или нет?
Санкция:
Бараку Обаме, Мари Харф и Джен Псаки я запрещаю просматривать мой профиль.

Оффлайн seiri-itaru

  • Команда Зея.org
  • *****
  • Сообщений: 3702
У себя нашёл  строку 127.0.0.1 activate.adobe.com
 Нужна или нет?
Эта строка появляется после применения "лекарства", чтобы Adob`овские программы не могли активироваться. Если такие программы установлены - строка нужна, если нет - значит не нужна.
"Я не такси. Я - перевозящее".    Дэвид Керс "Совершенное сияние недвижимости".