Осторожно, фишинг!

[AlexxSun 150]

Поводом к написанию этого сообщения послужило то, что за истекший день от двух моих знакомых, живущих в разных частях континента через программу майл.ру.агент пришла ссылка на страницу, которая, по всей видимости является фишинговой.

httр://www.mеij.ru/foto/mаil/blagоnin/95/212.html

Ссылка одна и та же, сообщения, сопровождающие ссылку - разные: "Привееет, мне нравится, посмотри, удивило что это Россия!" , "Посмотри, пожалуйста фотографиии, ты его знаешь?" ....

По ссылке щелкать бесполезно, копировать её в строку обозревателя - тоже. Я заменил некоторые латинские буквы на кириллические. Попадание на страницу возможно только если её в точности набрать ручками в строке обозревателя.

Считаю своим долгом предупредить об опасности всех доверчивых пользователей, которые случайно могут щелкнуть и перейти на (возможно) вредоносную страницу. Странно, что нет официального заявления от антивирусных компаний о фишинговой атаке на сайт mail.ru , про Одноклассников.ру такое частенько писали. Сообщил об этом же на сайте нашего фанклуба.

Запрос данных в базу Ripe тоже даёт немного:

domain: MEIJ.RU

type: CORPORATE

nserver: ns5.hostingru.net.

nserver: ns6.hostingru.net.

state: REGISTERED, DELEGATED, UNVERIFIED

person: Private person

phone: +7 495 6402812

e-mail: mailto:ndprinasx@mail.ru

registrar: REGRU-REG-RIPN

created: 2009.11.15

paid-till: 2010.11.15

source: TC-RIPN

Видно, что доменное имя зарегистрировано только вчера, как достать вредителя - не очень ясно :search:

Кстати, а как найти организатора фишинговой атаки? Кто может поделиться опытом?

[priv8v 960]

Кстати, а как найти организатора фишинговой атаки? Кто может поделиться опытом?

Начать можно с жалобы хостеру на сайт.

[AlexxSun 150]

Посмотрел данные хостера. По всей видимости писать туда нужно на английском языке. Думаю, что быстро всё это сделать не удасться.

Information related to '94.229.79.16 - 94.229.79.23'

inetnum: 94.229.79.16 - 94.229.79.23

netname: NETLEVEL-IP-9

descr: NETLEVEL IP RANGE 9

country: GB

admin-c: DH1778-RIPE

tech-c: DH1778-RIPE

status: ASSIGNED PA

mnt-by: UKSERVERS-MNT

source: RIPE # Filtered

person: David Howes

address: UK Dedicated Servers Ltd

address: 61 Somers Road Industrial Estate

address: Rugby

address: Warwickshire

address: CV22 7DG

abuse-mailbox: mailto:abuse@ukservers.com

phone: +44 (0)870 067 2522

nic-hdl: DH1778-RIPE

source: RIPE # Filtered

remarks: For Abuse Please Email: mailto:abuse@ukservers.com

% Information related to '94.229.64.0/20AS42831'

route: 94.229.64.0/20

descr: UK Dedicated Servers Limited

origin: AS42831

mnt-by: UKSERVERS-MNT

source: RIPE # Filtered

[broker 30]

Поводом к написанию этого сообщения послужило то, что за истекший день от двух моих знакомых, живущих в разных частях континента через программу майл.ру.агент пришла ссылка на страницу, которая, по всей видимости является фишинговой.

неприятная штука.

Со знакомыми связались? Скорее всего у них украдены пароли от майл.ру

[spamolov 20]

Да давно уже известно,что Mail.ru Agent используется для сбора, mail.ru адресов, достаточно почитать любой спамерский форум.

Его как я уже сказал используют как для спама IM через него же, так и для сбора адресов для дальнейшего почтового спама.

Тут вроде сюрприза нет.

[Snejoker 25]

AlexxSun, спасибо. Добавил в Firewall

[AlexxSun 150]

Можете дополнить, только что отловил новую ссылку. Видимо тот прикрыли адрес. Хостер тот же самый. Кто-то решил заняться сайтом mail.ru всерьёз и надолго.

Я понимаю, что для того чтобы найти этого "кто-то" нужно заявление от пострадавшего в органы, как минимум.

httр://www.mqij.ru/fоtо/mail/spot/alexаndrromаnov/1868.html

[AlexxSun 150]

На этом деле можно поставить крест, при попытке открыть ссылку открывается уведомление хостера о том, что сайт закрыт. Сколько людей постадало от фишинговой атаки - пока не очень ясно.

[AlexxSun 150]

На этом деле можно поставить крест

Поторопился, видимо я неисправимый оптимист

Name: mqii.ru

IP: 212.95.53.166

Domain: mqii.ru

domain: MQII.RU

type: CORPORATE

nserver: ns3.cyber-empire.com.

nserver: ns4.cyber-empire.com.

state: REGISTERED, DELEGATED, UNVERIFIED

person: Private person

phone: +7 495 6402812

e-mail: mailto:ndprinasx@mail.ru

registrar: REGRU-REG-RIPN

created: 2009.12.01

paid-till: 2010.12.01

source: TCI

Почерк (да и почтовый ящик) везде один и тот же

[AlexxSun 150]

Он похоже нарегистрировал себе сайтов целую пачку. Странно, что один человек может безнаказанно терроризировать пользователей социальной сети почти месяц, а администрация этого ресурса вообще никак не реагирует на происходящее

httр://b.mqjl.ru/fоts/mail/viki-007/index.html

Name: mqjl.ru

IP: 94.229.79.20

Domain: mqjl.ru

domain: MQJL.RU

type: CORPORATE

nserver: ns5.hostingru.net.

nserver: ns6.hostingru.net.

state: REGISTERED, DELEGATED, UNVERIFIED

person: Private person

phone: +7 495 6402812

e-mail: mailto:ndprinasx@mail.ru

registrar: REGRU-REG-RIPN

created: 2009.12.01

paid-till: 2010.12.01

source: TCI

Кстати, вредитель эволюционирует - при попытке открыть ту ссылку, что я привёл выше перебрасывает на другой адрес

httр://mqii.ru/fоto/mail/leeena_91/index.html

Этот адрес из предыдущего сообщения.

Кстати, попытался открыть ссылку из первого моего сообщения Оперой - программа нецензурно выругалась в адрес сайта и предложила дальше не ходить. Интересно, почему KIS никак не реагирует на эти фишинговые ссылки? 15 минут назад отослал в вирлаб через форму хелпдеска две ссылки из этого сообщения, буду ждать результата

[AlexxSun 150]

Добавили довольно таки оперативно Это радует!

[Winsent 10]

Интересно, а кто-нибудь сообщал о подобных фишинг сайтах через ie8 smartscreen и добавляли ли и как скоро.

Парочку сайтов через данную форму отправлял им. Скоро третий месяц пойдет, никакого реагирования, на сайты как заходило так и заходит с включенным smartscreen

[alexgr 556]

три года назад я впервые нарвался на подобную атаку, через сайт - mail-ru.com. Поищу регистрационные данные. Но содержимое, краски и дизайн были один-в один

[AlexxSun 150]

Несколько раз натыкался на ссылки на этот так называемый "сервис бесплатных стикеров от Mail.ru", всё не доходили руки проверить, что это за ...

Проверил, всё та же тема:

domain: MAIL-STICKER.RU

type: CORPORATE

nserver: ns1.slavhost.com.

nserver: ns2.slavhost.com.

nserver: ns3.ruskyhost.net.

nserver: ns4.ruskyhost.net.

state: REGISTERED, DELEGATED, UNVERIFIED

person: Stepanov A Pepyakaaaa

phone: +7 988 5451264

e-mail: mailto:iragor2007@rambler.ru

registrar: REGRU-REG-RIPN

created: 2009.12.05

paid-till: 2010.12.05

source: TCI

Тот же лохотрон, только очень разукрашенный. Ссылку в вирлаб отправил, обещали добавить.

[Пуск 0]

а что в нем опасного?

[Zilla 340]

Та так ничего, просто маскируется под маил.ру, введёшь туда пароль и мыло для маил.ру и они перейдут в 3-и руки..

[Motley 30]

Ещё немного о фишинге: после того, как установил Оперу 10.54, попытка перейти по любой ссылке, например, на Яндекс, приводит к переадресации на страницу от Мегафона! Чем это вызвано и как исправить? Происходит это только при первой попытке, а при последующих нужная страница загружается нормально, без переадресации. Оперу качал с официального сайта и уже переустанавливал, но не помогло.

[Killer 55]

Оперу качал с официального сайта и уже переустанавливал, но не помогло.

И не поможет, если используется dll-инжект и динамический перехват соединения. Нужно систему чистить.

А оперу обновлять пора до версии 10.60. Система у вас какая? Если 32-х битная, то используйте RkUnhooker или Kernel Detective для очистки. Или что то подобное.

[Motley 30]

А оперу обновлять пора до версии 10.60.

Так это же бетка, а я к ним как- то не очень... Kernel Detective... ок, попробуем.