Перейти к содержанию
Сергей Ильин

Примеры фишинга из личного почтового ящика

Recommended Posts

Сергей Ильин

На днях мне неслыханно "повезло", на мой ящик пришло несколько реальных фишинговых писем. Письма ориентированы на клиентов Branch Banking & Trust. Видимо атака была сделана в лоб, так как я не являюсь их клиентом, но все же получил письма.

Интервал между письмами - сутки, выглядит как настойчивое напоминание, что нужно сходить по ссылке и ввести данные эккаунта. :)

Вот скриншоты писем смотри ниже. Если кликнуть по ссылкам, то попадаешь страничку в дизайне банка, где тебя просят ввести ID и пароли.

physhing.gif

physhing1.gif

physhing2.gif

post-4-1175612577.gif

post-1-1175612577.gif

post-1-1175612578.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

особенностью фишинга является то, что к вам никогда не обращаются по фамилии: например господин реев,

а всегда или уважаемые дамы и господа, уважаемый клиент.....

и что подобные письма почти всегда оказываются отфильтрованными в "спам–мусорку"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
На днях мне неслыханно "повезло", на мой ящик пришло несколько реальных фишинговых писем. Письма ориентированы на клиентов Branch Banking & Trust. Видимо атака была сделана в лоб, так как я не являюсь их клиентом, но все же получил письма.

Интервал между письмами - сутки, выглядит как настойчивое напоминание, что нужно сходить по ссылке и ввести данные эккаунта. :)

Вот скриншоты писем смотри ниже. Если кликнуть по ссылкам, то попадаешь страничку в дизайне банка, где тебя просят ввести ID и пароли.

тоже от них:

http://online.bbt.com.onlineservlet_id011656.idname.hk/cbus/

http://online.bbt.com.onlineservlet_id8582872.k44jd.hk/cbus/

а вот это уже немецкие фишеры:

ShowLetter1.gif

ShowLetter2.gif

ShowLetter3.gif

post-97-1175620292.gif

post-1-1175620292.gif

post-1-1175620293.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim

а хедера от таких писем для интереса можно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Mike, по крупняку работают, имена банков, как говорится, на слуху :-)

Хорошая подборка, спасибо за скрины.

Добавлено спустя 25 секунд:

а хедера от таких писем для интереса можно?

Можно, завтра выложу хедера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
особенностью фишинга является то, что к вам никогда не обращаются по фамилии: например господин реев,

а всегда или уважаемые дамы и господа, уважаемый клиент.....

и что подобные письма почти всегда оказываются отфильтрованными в "спам–мусорку"

Пол-года назад мы детектили фишинг с обращением по имени. Кроме имени был приложен еще и адрес проживания. Такое бывает правда крайне редко.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
особенностью фишинга является то, что к вам никогда не обращаются по фамилии: например господин реев,

а всегда или уважаемые дамы и господа, уважаемый клиент.....

и что подобные письма почти всегда оказываются отфильтрованными в "спам–мусорку"

Пол-года назад мы детектили фишинг с обращением по имени.

Кроме имени был приложен еще и адрес проживания. Такое бывает правда крайне редко.

ну я привык к фишингу от ботов.

а имя и адрес – на ботов не похоже...

если можешь, дай линк...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В атаче хедер одного из фишинговых писем.

header.txt

header.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim

понятно почему это допозло до мастерхоста.

там qmail. нормальные mta такие бы помои до контент фильтрации бы даже не пустили.

mail# dig MX bbt.com; <<>> DiG 9.3.3 <<>> MX bbt.com;; global options:  printcmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32246;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 7, ADDITIONAL: 1;; QUESTION SECTION:;bbt.com.                       IN      MX;; ANSWER SECTION:bbt.com.                3600    IN      MX      5 nomail.bbt.com.;; AUTHORITY SECTION:bbt.com.                86400   IN      NS      a4.nstld.com.bbt.com.                86400   IN      NS      f4.nstld.com.bbt.com.                86400   IN      NS      g4.nstld.com.bbt.com.                86400   IN      NS      h4.nstld.com.bbt.com.                86400   IN      NS      j4.nstld.com.bbt.com.                86400   IN      NS      k4.nstld.com.bbt.com.                86400   IN      NS      l4.nstld.com.;; ADDITIONAL SECTION:nomail.bbt.com.         3600    IN      A       127.0.0.1;; Query time: 245 msec;; SERVER: 127.0.0.1#53(127.0.0.1);; WHEN: Wed Apr  4 23:03:24 2007;; MSG SIZE  rcvd: 189

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Пришел еще один экземпляр фишинга.

physhing3.gif

post-4-1175757057.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim

а хедера иожно? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Вот кажется прогресс целиком и полностью докатился до нас, вот такое вот письмо я получил и очень тяжело надо сказать в него не поверить:

Уважаемый пользователь!

Ваш почтовый аккаунт был дезактивирован по причине атаки на почтовый сервер pop.mail.ru.

Просим Вас в течение трех дней активировать его по адресу: http://win.mail.ru/cgi-bin/activate, иначе он будет удален из системы, а логин аккаунта будет заблокирован для новых регистраций. Также, если Вы не хотите его активировать, но оставить свободным свой логин, лучше перейдите по этой ссылке: http://win.mail.ru/cgi-bin/delete Приносим извинения за принесенные неудобства! Компания Mail.Ru

А на самом деле ссылка http://win.mail.ru/cgi-bin/activate отправляет на http://mail-ru.webhost.ru/?activate, где мы можем наблюдать качественно подделанный интерфейс mail.ru

MailRu.GIF

post-44-1175881666.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Да, отлично сделано. Реально сложно догадаться, что это обман.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А на самом деле ссылка http://win.mail.ru/cgi-bin/activate отправляет на http://mail-ru.webhost.ru/?activate, где мы можем наблюдать качественно подделанный интерфейс mail.ru

Грамотно сделано, думаю многие пользователи повелись на такую рассылку, тем более тут не номер эккаунта просят, а всего лишь имя и пароль к ящику почты.

Кстати, а какой смысл злоумышленникам получать доступ к почтовым ящикам на публичных серверах? Сомнительная выгода, продать можно едива ли, а спам рассылать можно и со свежезарегистрированного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот еще один экземпляр фишинга свалился мне :)

На этот раз жертвами атаки должны были стать клиенты 53-rd Bank USA Commercial Banking.

Заголовок письма:

53-rd Bank USA Commercial Banking: Secure Update Process -- Id: 8796

physhing4.gif

post-4-1177341023.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Microsoft Customer Support <support@passport.msn.com>

Reset your Windows Live ID password

Hello *******@mail.ru:You recently asked to reset your Windows Live ID password by e-mail. Follow the instructions below to reset your password, or to cancel your password reset request.TO RESET YOUR PASSWORD:1. Select and copy the following Internet address.https://accountservices.msn.com/EmailPage.srf?emailid=3cecd8a3e656ed16&ed=Bztv30LP7t73CFaaHR2h/3axLlJovg8T0PWEfNAsG%2BFlQHoR266o5VBeiIxpe1R5LFvorZY%3D&lc=1033&urlnum=02. Open a browser, paste the link in the address bar, then press Enter or Return on your keyboard.IF YOU DID NOT REQUEST TO RESET YOUR PASSWORD:1. Select and copy the following Internet address.https://accountservices.msn.com/EmailPage.srf?emailid=3cecd8a3e656ed16&ed=Bztv30LP7t73CFaaHR2h/3axLlJovg8T0PWEfNAsG%2BFlQHoR266o5VBeiIxpe1R5LFvorZY%3D&lc=1033&urlnum=12. Open a browser, paste the link in the address bar, then press Enter or Return on your keyboard.Thank you,Windows Live ID Customer SupportNOTE:Please do not reply to this message, which was sent from an unmonitored e-mail address. Mail sent to this address cannot be answered.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Еще примеры фишинга, что-то зачистили они мне его слать ... настырные такие :-)

phishing_2.gif

phishing_1.gif

post-4-1180382802.gif

post-1-1180382802.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Салакин

Вот сегодня пришло:

Альфа-Банк <http://alfabank.ru/>

О банке

25.09.2007

Уважаемый пользователь системы "Альфа-Клиент On-Line"!

В связи с имеющейся в распоряжении ОАО "АЛЬФА - БАНК" информацией о росте преступности в сфере компьютерной информации, имеющей целью хищение денежных средств со счетов клиентов российских банков, убедительно просим Вас, в целях обеспечения безопасности денежных средств Вашей организации, не откладывать получение Электронного ключа. Ключ вы можете получить по адресу https://ibank.alfabank.ru <http://onuka.co.kr/AsaMall/index_alfa.html>

Напоминаем Вам, что в случае неполучения Электронного ключа до 30.09.2007 г., с 01.10.2007 г. доступ таких пользователей в систему "Альфа-Клиент On-line" будет приостановлен.

Внимание! В период с 25.09.2007 г по 30.09.2007 Электронный ключ вы можете получить абсолютно бесплатно. ОАО "Альфа-банк" делает все для удобства и безопасности своих клиентов. Подробности на сайте https://ibank.alfabank.ru <http://onuka.co.kr/AsaMall/index_alfa.html>

Генеральная лицензия ЦБ РФ 1326 от 29 января 1998 г.

Альфа-Банк является частью консорциума "Альфа-Групп <http://www.alfagroup.ru/> "

© 2001-2007 Альфа-Банк

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Ego1st, тут такие ссылки в закрытом разделе обсуждают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Там сначала грузится скрипт - kaja2002.net/AsaStat/foto2.** - он перенапрвляет браузер на тот линк, что выше, с эксплоитом. В случае эксплуатации уязвимости загружается и выполняется троян-загрузчик, со средствами борьбы с антивирусом Касперского - в итоге загружается еще один троян, который дропает в темп свою библиотеку и регистрирует как BHO, запуская скрыто IE.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Ну вот и к клиентам Альфа-Банка фишинг постучался, что собственно прогнозировалось. У этого банка интернет-доступ появился одним из первых и они метят в технологические лидеры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ice-berg

Я их клиент. Там достаточно все хорошо продумано.

Виртуальная клавиатура, мобильный контроль...

К примеру, пока не вышлешь пароль на "привязанный к контракту мобильный телефон", никакие операции с оплатой сделать не получится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Я их клиент. Там достаточно все хорошо продумано.

Я тоже был их клиентом. :-) Все продумано, вопрос только в сертификации всего этого, например, у ФСБ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ice-berg
Там сначала грузится скрипт - kaja2002.net/AsaStat/foto2.** - он перенапрвляет браузер на тот линк, что выше, с эксплоитом. В случае эксплуатации уязвимости загружается и выполняется троян-загрузчик, со средствами борьбы с антивирусом Касперского - в итоге загружается еще один троян, который дропает в темп свою библиотеку и регистрирует как BHO, запуская скрыто IE.

Малоли кто успел заразиться, описание что удалить - ниже.

При открытии ссылки в письме, загружается ooqp.exe в корень диска С, и приводится на исполнение.

Извлекается библиотека в C:Documents and Settings*пользователь*Local SettingsTemp - qwer.dll

реестр:

HKEY_CLASSES_ROOTCLSID{C666CF63-767F-4831-94AC-E683D962C63C}InprocServer32

C:DOCUME~1*пользователь*LOCALS~1Tempqwer.dll

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот еще такой интересный фишинг пришел мне.

Ссылку выложу в закрытый раздел сайта для изучения.

physhing5.gif

post-4-1190880586.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ramonsmaps
      Over the years of independence, the institute has trained more than 13000 physicians (including 800 clinical interns, 1116 masters, 200 postgraduates and 20 doctoral students) in various directions.

      870 staff work at the institute at present,[when?] including 525 professorial-teaching staff in 55 departments, 34 of them are Doctors of science and 132 candidates of science. 4 staff members of the professorial-teaching staff of the institute are Honoured Workers of Science of the Republic of Uzbekistan, 3 – are members of New-York and 2 – members of Russian Academy of Pedagogical Science.

      The institute has been training medical staff on the following faculties and directions: Therapeutic, Pediatric, Dentistry, Professional Education, Preventive Medicine, Pharmacy, High Nursing Affair and Physicians’ Advanced Training. At present[when?] 3110 students have been studying at the institute (1331 at the Therapeutic faculty, 1009 at the Pediatric, 358 at the Dentistry, 175 students at the Professional Education Direction, 49 at the faculty of Pharmacy, 71 at the Direction of Preventive Medicine, 117 ones study at the Direction of High Nursing Affair).

      Today graduates of the institute are trained in the following directions of master's degree: obstetrics and gynecology, therapy (with its directions), otorhinolaryngology, cardiology, ophthalmology, infectious diseases (with its directions), dermatovenereology, neurology, general oncology, morphology, surgery (with its directions), instrumental and functional diagnostic methods (with its directions), neurosurgery, public health and public health services (with its directions), urology, narcology, traumatology and orthopedics, forensic medical examination, pediatrics (with its directions), pediatric surgery, pediatric anesthesiology and intensive care, children's cardiology and rheumatology, pediatric neurology, neonatology, sports medicine.

      The clinic of the institute numbers 700 seats and equipped with modern diagnostic and treating instrumentations: MRT, MSCT, Scanning USI, Laparoscopic Center and others.

      There are all opportunities to carry out sophisticated educational process and research work at the institute.

      Source:
      https://adti.uz/magistratura/
      medical institutes of uzbekistan

      Tags:
      medical institutes of uzbekistan
      regional scientific medical library
      electronic library of a medical student
      electronic medical library official website
    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
×