Сергей Ильин

Фишинговая атака на клиентов Masterhost

В этой теме 1 сообщение

Будучи клиентом хостинг-провайдера и регистратора Masterhost, на днях получил занятное письмо. В нем говорилось о якобы смене администратора для одного из наших доменов.

Здрaвствуйте.

В Панели управления хостингом в разделе Услуги были произведены изменения .

Изменения были сделаны с IP 88.201.54.41 12.08.2013 г.

Подтвердить или отменить произведенные изменения можно в разделе Заявки и распоряжения:

Ваши персональные данные (домен ххххх.ru):

https://cp.masterhost.ru/manager/billmgr?st...e=domaincontact

--

Клиентская служба компании .masterhost

[email protected]

http://masterhost.ru/

(495) 772 9720, (495) 956 9720 - многоканальная линия

(495) 772 9723, (495) 956 9723 - факсимильная линия

from: Службa технической поддержки .masterhost <[email protected]> via cp148.agava.net

to: [email protected]

date: Mon, Aug 12, 2013 at 2:56 PM

mailed-by: cp148.agava.net

Получив такое письмо, я поставил его на список писем, требующих внимания, так как сообщение свидетельствует что кто-то стырил домен или собирается это сделать.

Сегодня перейдя по ссылке я обнаружил сообщение от Chrome, что данный сайт является фишинговым. Пошел посмотреть "на свой страх и риск".

В итоге вместо https://cp.masterhost.ru/manager/billmgr?st...e=domaincontact вы попадаете на _http://jaredsweeten.com/images/stories/data1/index.php?domain=ххххх.ru

phishing_masterhost.PNG

Логин-скрин сделан точно в стиле Masterhost. В итоге злоумышленники получают пароли и логины от консоли управления хостинг-провайдера. А дальше могут получить фактически неограниченный доступ к сайтам своих жертв. Из консоли этого провайдера можно менять записи DNS, заводить новые аккуанты ftp, поднимать новые сайты, ставить редирект и много других интересных вещей.

********************************

Будьте внимательны!

Фишинг легко отличить. Основной ляп: Управление доменами осуществляется не через Masterhost, а через их дочку Mastername. Именно по этому сообщение сразу настораживает. Кроме того, все сообщения от Masterhos подписаны ЭЦП, это фишинговое, естественно, не подписано.

Мастерхост опубликовал сообщение на своем сайте, о проблеме знают уже

13.08.13Внимание мошенники!

Уважаемые клиенты!

12 августа некоторые клиенты нашей компании получили мошенническую рассылку: письма-оповещения «о смене администратора домена» со ссылкой на посторонние ресурсы, замаскированные под панель управления .masterhost. Настоятельно рекомендуем не переходить по ссылке в письме и не вводить никакие пароли. Если вы воспользовались ссылкой и ввели пароль, немедленно смените его через панель управления и обратитесь к специалистам, чтобы проверить сайт на наличие постороннего кода. Представители нашей компании уже предоставили всю необходимую информацию провайдерам, с серверов которых была направлена вредоносная рассылка, для разбирательства.

Письма с информацией о смене администратора домена от компании .masterhost приходят только в том случае, если клиент действительно проводит процедуру смены администратора и оформил необходимые документы.

Для справки: Подобная рассылка, которая маскируется под настоящую, называется «фишинг» и используется злоумышленниками для того, чтобы получить доступ к конфиденциальным данным, аккаунтам, банковским счетам пользователей. Если письмо вызывает подозрение, то лучше связаться с представителями компании и уточнить полученную информацию.

http://masterhost.ru/events/news/2013/#20130813-01

post-4-1376639423_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Ego Dekker
      Декабрь 2019 — дата окончания жизненного цикла ESET NOD32/ESET Smart Security 9.0.
    • demkd
      драйверу не нужно заниматься такой ерундой как сплайсинг, просто запись в реестре не была скрыта, не доделали руткит.
    • Ольга_diplombest
      Высшее образование — сегодня это головная боль. Хотя каждый молодой человек стремиться его получить, как залог хорошей работы и высокой зарплаты в будущем. Но ВУЗы уже перестали быть бесплатными, поэтому получить образование можно только за деньги. Поэтому все чаще портрет современного студента — это работающий человек, который совмещает работу с учебой и еще имеющий семью. К тому же ссесия, написание рефератов. Курсовых работ или защита диплома — это настоящее испытание требующее много времени и сил.Необходимо время на поиск материала диплома,  написание работы, а еще семья и работа —и вот времени не хватает. При этом все успеть, порой физически бывает не возможно. И вот студент думает выхода нет и заваливает ссесию, бросает ВУЗ. Но выход есть, воспользоваться профессиональными преподавателями, аспирантами, докторами наук ... ка сделали уже многие студенты — https://diplombest.ru/сайт для тех, кто ценит время и бережет нервы. Компания работает без предоплаты, что гарантирует получение качественной работы в срок и без рисков для студента, политика скидок позволяет экономить до 50% от стоймости работы, что заслуживает доверия со стороны студентаТогда получение высшего образования будет в радость и через 5 лет ты уже заслуженный специалист.
    • Ольга_diplombest
      Я да не плохие деньги. Я то пользовалась https://diplombest.ru/. роде не плохо
    • santy
      demkd, за счет чего uVS здесь обнаружил руткитный драйвер, загружающий в систему майнер? https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a113919411e9963/detection в этой теме https://forum.drweb.com/index.php?showtopic=329197 антисплайсинг? или просто драйвер не прикрыл свою запись в реестре, хотя и защитил себя частично от обнаружения?