Перейти к содержанию
Сергей Ильин

Фишинговая атака на клиентов Masterhost

Recommended Posts

Сергей Ильин

Будучи клиентом хостинг-провайдера и регистратора Masterhost, на днях получил занятное письмо. В нем говорилось о якобы смене администратора для одного из наших доменов.

Здрaвствуйте.

В Панели управления хостингом в разделе Услуги были произведены изменения .

Изменения были сделаны с IP 88.201.54.41 12.08.2013 г.

Подтвердить или отменить произведенные изменения можно в разделе Заявки и распоряжения:

Ваши персональные данные (домен ххххх.ru):

https://cp.masterhost.ru/manager/billmgr?st...e=domaincontact

--

Клиентская служба компании .masterhost

[email protected]

http://masterhost.ru/

(495) 772 9720, (495) 956 9720 - многоканальная линия

(495) 772 9723, (495) 956 9723 - факсимильная линия

from: Службa технической поддержки .masterhost <[email protected]> via cp148.agava.net

to: [email protected]

date: Mon, Aug 12, 2013 at 2:56 PM

mailed-by: cp148.agava.net

Получив такое письмо, я поставил его на список писем, требующих внимания, так как сообщение свидетельствует что кто-то стырил домен или собирается это сделать.

Сегодня перейдя по ссылке я обнаружил сообщение от Chrome, что данный сайт является фишинговым. Пошел посмотреть "на свой страх и риск".

В итоге вместо https://cp.masterhost.ru/manager/billmgr?st...e=domaincontact вы попадаете на _http://jaredsweeten.com/images/stories/data1/index.php?domain=ххххх.ru

phishing_masterhost.PNG

Логин-скрин сделан точно в стиле Masterhost. В итоге злоумышленники получают пароли и логины от консоли управления хостинг-провайдера. А дальше могут получить фактически неограниченный доступ к сайтам своих жертв. Из консоли этого провайдера можно менять записи DNS, заводить новые аккуанты ftp, поднимать новые сайты, ставить редирект и много других интересных вещей.

********************************

Будьте внимательны!

Фишинг легко отличить. Основной ляп: Управление доменами осуществляется не через Masterhost, а через их дочку Mastername. Именно по этому сообщение сразу настораживает. Кроме того, все сообщения от Masterhos подписаны ЭЦП, это фишинговое, естественно, не подписано.

Мастерхост опубликовал сообщение на своем сайте, о проблеме знают уже

13.08.13Внимание мошенники!

Уважаемые клиенты!

12 августа некоторые клиенты нашей компании получили мошенническую рассылку: письма-оповещения «о смене администратора домена» со ссылкой на посторонние ресурсы, замаскированные под панель управления .masterhost. Настоятельно рекомендуем не переходить по ссылке в письме и не вводить никакие пароли. Если вы воспользовались ссылкой и ввели пароль, немедленно смените его через панель управления и обратитесь к специалистам, чтобы проверить сайт на наличие постороннего кода. Представители нашей компании уже предоставили всю необходимую информацию провайдерам, с серверов которых была направлена вредоносная рассылка, для разбирательства.

Письма с информацией о смене администратора домена от компании .masterhost приходят только в том случае, если клиент действительно проводит процедуру смены администратора и оформил необходимые документы.

Для справки: Подобная рассылка, которая маскируется под настоящую, называется «фишинг» и используется злоумышленниками для того, чтобы получить доступ к конфиденциальным данным, аккаунтам, банковским счетам пользователей. Если письмо вызывает подозрение, то лучше связаться с представителями компании и уточнить полученную информацию.

http://masterhost.ru/events/news/2013/#20130813-01

post-4-1376639423_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Demkd Мне кажется ЭТО тоже стоит посмотреть. C:\USERS\ADMIN\APPDATA\LOCAL\PACKAGE CACHE\{C187DB08-7705-4616-834B-87B3087AE698}V3.0.7.830\INSTALLER V.T.:  MicrosoftTrojan:Win32/Zpevdo.A    
    • demkd
    • SQx
      Отправил вам ссылку в лс.
    • demkd
      пора слазить с XP, конкретно этот файл имеет подпись на базе SHA256
        это возможно, но причина не в SHA1, в чем хз и вряд ли получится найти. хорошо бы увидеть образ из этой темы, скачать я его не могу, на этом форуме своя атмосфера
    • ГришаСмернов
      Sveta, а ранее Вы уже раскручивали свой сайт, сайта старый или новый? Ну конечно самостоятельно заниматься продвижением своего сайта не так уж и просто, тем более не имя никакого опыта ранее. Я знаю проверенный сервис, который занимается разработкой сайтов , обратитесь к ним за помощью. Seo - мастера у них с опытом, свою работу выполняют качественно и быстро (3 - 4 дня в зависимости от сложности) Зайдите на сайт, который я Вам скинул, здесь есть более подробная информация об их услугах.
×