Примеры фишинга из личного почтового ящика

[Сергей Ильин 1538]

На днях мне неслыханно "повезло", на мой ящик пришло несколько реальных фишинговых писем. Письма ориентированы на клиентов Branch Banking & Trust. Видимо атака была сделана в лоб, так как я не являюсь их клиентом, но все же получил письма.

Интервал между письмами - сутки, выглядит как настойчивое напоминание, что нужно сходить по ссылке и ввести данные эккаунта.

Вот скриншоты писем смотри ниже. Если кликнуть по ссылкам, то попадаешь страничку в дизайне банка, где тебя просят ввести ID и пароли.

[Mike 125]

особенностью фишинга является то, что к вам никогда не обращаются по фамилии: например господин реев,

а всегда или уважаемые дамы и господа, уважаемый клиент.....

и что подобные письма почти всегда оказываются отфильтрованными в "спам–мусорку"

[Mike 125]

На днях мне неслыханно "повезло", на мой ящик пришло несколько реальных фишинговых писем. Письма ориентированы на клиентов Branch Banking & Trust. Видимо атака была сделана в лоб, так как я не являюсь их клиентом, но все же получил письма.

Интервал между письмами - сутки, выглядит как настойчивое напоминание, что нужно сходить по ссылке и ввести данные эккаунта.

Вот скриншоты писем смотри ниже. Если кликнуть по ссылкам, то попадаешь страничку в дизайне банка, где тебя просят ввести ID и пароли.

тоже от них:

http://online.bbt.com.onlineservlet_id011656.idname.hk/cbus/

http://online.bbt.com.onlineservlet_id8582872.k44jd.hk/cbus/

а вот это уже немецкие фишеры:

[Maxim 0]

а хедера от таких писем для интереса можно?

[Сергей Ильин 1538]

Mike, по крупняку работают, имена банков, как говорится, на слуху :-)

Хорошая подборка, спасибо за скрины.

Добавлено спустя 25 секунд:

а хедера от таких писем для интереса можно?

Можно, завтра выложу хедера.

[_Stout 131]

особенностью фишинга является то, что к вам никогда не обращаются по фамилии: например господин реев,

а всегда или уважаемые дамы и господа, уважаемый клиент.....

и что подобные письма почти всегда оказываются отфильтрованными в "спам–мусорку"

Пол-года назад мы детектили фишинг с обращением по имени. Кроме имени был приложен еще и адрес проживания. Такое бывает правда крайне редко.

[Mike 125]

особенностью фишинга является то, что к вам никогда не обращаются по фамилии: например господин реев,

а всегда или уважаемые дамы и господа, уважаемый клиент.....

и что подобные письма почти всегда оказываются отфильтрованными в "спам–мусорку"

Пол-года назад мы детектили фишинг с обращением по имени.

Кроме имени был приложен еще и адрес проживания. Такое бывает правда крайне редко.

ну я привык к фишингу от ботов.

а имя и адрес – на ботов не похоже...

если можешь, дай линк...

[Сергей Ильин 1538]

В атаче хедер одного из фишинговых писем.

header.txt

header.txt

[Maxim 0]

понятно почему это допозло до мастерхоста.

там qmail. нормальные mta такие бы помои до контент фильтрации бы даже не пустили.

mail# dig MX bbt.com; <<>> DiG 9.3.3 <<>> MX bbt.com;; global options:  printcmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32246;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 7, ADDITIONAL: 1;; QUESTION SECTION:;bbt.com.                       IN      MX;; ANSWER SECTION:bbt.com.                3600    IN      MX      5 nomail.bbt.com.;; AUTHORITY SECTION:bbt.com.                86400   IN      NS      a4.nstld.com.bbt.com.                86400   IN      NS      f4.nstld.com.bbt.com.                86400   IN      NS      g4.nstld.com.bbt.com.                86400   IN      NS      h4.nstld.com.bbt.com.                86400   IN      NS      j4.nstld.com.bbt.com.                86400   IN      NS      k4.nstld.com.bbt.com.                86400   IN      NS      l4.nstld.com.;; ADDITIONAL SECTION:nomail.bbt.com.         3600    IN      A       127.0.0.1;; Query time: 245 msec;; SERVER: 127.0.0.1#53(127.0.0.1);; WHEN: Wed Apr  4 23:03:24 2007;; MSG SIZE  rcvd: 189

[Сергей Ильин 1538]

Пришел еще один экземпляр фишинга.

[Maxim 0]

а хедера иожно?

[Кирилл Керценбаум 671]

Вот кажется прогресс целиком и полностью докатился до нас, вот такое вот письмо я получил и очень тяжело надо сказать в него не поверить:

Уважаемый пользователь!

Ваш почтовый аккаунт был дезактивирован по причине атаки на почтовый сервер pop.mail.ru.

Просим Вас в течение трех дней активировать его по адресу: http://win.mail.ru/cgi-bin/activate, иначе он будет удален из системы, а логин аккаунта будет заблокирован для новых регистраций. Также, если Вы не хотите его активировать, но оставить свободным свой логин, лучше перейдите по этой ссылке: http://win.mail.ru/cgi-bin/delete Приносим извинения за принесенные неудобства! Компания Mail.Ru

А на самом деле ссылка http://win.mail.ru/cgi-bin/activate отправляет на http://mail-ru.webhost.ru/?activate, где мы можем наблюдать качественно подделанный интерфейс mail.ru

[vaber 350]

Да, отлично сделано. Реально сложно догадаться, что это обман.

[Сергей Ильин 1538]

А на самом деле ссылка http://win.mail.ru/cgi-bin/activate отправляет на http://mail-ru.webhost.ru/?activate, где мы можем наблюдать качественно подделанный интерфейс mail.ru

Грамотно сделано, думаю многие пользователи повелись на такую рассылку, тем более тут не номер эккаунта просят, а всего лишь имя и пароль к ящику почты.

Кстати, а какой смысл злоумышленникам получать доступ к почтовым ящикам на публичных серверах? Сомнительная выгода, продать можно едива ли, а спам рассылать можно и со свежезарегистрированного.

[Сергей Ильин 1538]

Вот еще один экземпляр фишинга свалился мне

На этот раз жертвами атаки должны были стать клиенты 53-rd Bank USA Commercial Banking.

Заголовок письма:

53-rd Bank USA Commercial Banking: Secure Update Process -- Id: 8796

[Alex_Goodwin 81]

Microsoft Customer Support <support@passport.msn.com>

Reset your Windows Live ID password

Hello *******@mail.ru:You recently asked to reset your Windows Live ID password by e-mail. Follow the instructions below to reset your password, or to cancel your password reset request.TO RESET YOUR PASSWORD:1. Select and copy the following Internet address.https://accountservices.msn.com/EmailPage.srf?emailid=3cecd8a3e656ed16&ed=Bztv30LP7t73CFaaHR2h/3axLlJovg8T0PWEfNAsG%2BFlQHoR266o5VBeiIxpe1R5LFvorZY%3D&lc=1033&urlnum=02. Open a browser, paste the link in the address bar, then press Enter or Return on your keyboard.IF YOU DID NOT REQUEST TO RESET YOUR PASSWORD:1. Select and copy the following Internet address.https://accountservices.msn.com/EmailPage.srf?emailid=3cecd8a3e656ed16&ed=Bztv30LP7t73CFaaHR2h/3axLlJovg8T0PWEfNAsG%2BFlQHoR266o5VBeiIxpe1R5LFvorZY%3D&lc=1033&urlnum=12. Open a browser, paste the link in the address bar, then press Enter or Return on your keyboard.Thank you,Windows Live ID Customer SupportNOTE:Please do not reply to this message, which was sent from an unmonitored e-mail address. Mail sent to this address cannot be answered.

[Сергей Ильин 1538]

Еще примеры фишинга, что-то зачистили они мне его слать ... настырные такие :-)

[Сергей Салакин 5]

Вот сегодня пришло:

Альфа-Банк <http://alfabank.ru/>

О банке

25.09.2007

Уважаемый пользователь системы "Альфа-Клиент On-Line"!

В связи с имеющейся в распоряжении ОАО "АЛЬФА - БАНК" информацией о росте преступности в сфере компьютерной информации, имеющей целью хищение денежных средств со счетов клиентов российских банков, убедительно просим Вас, в целях обеспечения безопасности денежных средств Вашей организации, не откладывать получение Электронного ключа. Ключ вы можете получить по адресу https://ibank.alfabank.ru <http://onuka.co.kr/AsaMall/index_alfa.html>

Напоминаем Вам, что в случае неполучения Электронного ключа до 30.09.2007 г., с 01.10.2007 г. доступ таких пользователей в систему "Альфа-Клиент On-line" будет приостановлен.

Внимание! В период с 25.09.2007 г по 30.09.2007 Электронный ключ вы можете получить абсолютно бесплатно. ОАО "Альфа-банк" делает все для удобства и безопасности своих клиентов. Подробности на сайте https://ibank.alfabank.ru <http://onuka.co.kr/AsaMall/index_alfa.html>

Генеральная лицензия ЦБ РФ 1326 от 29 января 1998 г.

Альфа-Банк является частью консорциума "Альфа-Групп <http://www.alfagroup.ru/> "

© 2001-2007 Альфа-Банк

[SuperBrat 6]

Ego1st, тут такие ссылки в закрытом разделе обсуждают.

[vaber 350]

Там сначала грузится скрипт - kaja2002.net/AsaStat/foto2.** - он перенапрвляет браузер на тот линк, что выше, с эксплоитом. В случае эксплуатации уязвимости загружается и выполняется троян-загрузчик, со средствами борьбы с антивирусом Касперского - в итоге загружается еще один троян, который дропает в темп свою библиотеку и регистрирует как BHO, запуская скрыто IE.

[Сергей Ильин 1538]

Ну вот и к клиентам Альфа-Банка фишинг постучался, что собственно прогнозировалось. У этого банка интернет-доступ появился одним из первых и они метят в технологические лидеры.

[ice-berg 30]

Я их клиент. Там достаточно все хорошо продумано.

Виртуальная клавиатура, мобильный контроль...

К примеру, пока не вышлешь пароль на "привязанный к контракту мобильный телефон", никакие операции с оплатой сделать не получится.

[Сергей Ильин 1538]

Я их клиент. Там достаточно все хорошо продумано.

Я тоже был их клиентом. :-) Все продумано, вопрос только в сертификации всего этого, например, у ФСБ.

[ice-berg 30]

Там сначала грузится скрипт - kaja2002.net/AsaStat/foto2.** - он перенапрвляет браузер на тот линк, что выше, с эксплоитом. В случае эксплуатации уязвимости загружается и выполняется троян-загрузчик, со средствами борьбы с антивирусом Касперского - в итоге загружается еще один троян, который дропает в темп свою библиотеку и регистрирует как BHO, запуская скрыто IE.

Малоли кто успел заразиться, описание что удалить - ниже.

При открытии ссылки в письме, загружается ooqp.exe в корень диска С, и приводится на исполнение.

Извлекается библиотека в C:Documents and Settings*пользователь*Local SettingsTemp - qwer.dll

реестр:

HKEY_CLASSES_ROOTCLSID{C666CF63-767F-4831-94AC-E683D962C63C}InprocServer32

C:DOCUME~1*пользователь*LOCALS~1Tempqwer.dll

[Сергей Ильин 1538]

Вот еще такой интересный фишинг пришел мне.

Ссылку выложу в закрытый раздел сайта для изучения.