Здравствуйте.
Вчера мне стало известно сразу о двух попытках
получить доступ к почтовым ящикам редакторов турниров.
Обе произошли за 2-3 последних дня.
Ниже я опишу схему, по которой действуют злоумышленники,
очень надеюсь, что это описание поможет кому-нибудь
не попасться в аналогичные ловушки.
Кроме того, призываю всех редакторов турниров,
пользующихся электронными адресами на общедоступных
почтовых службах, НЕМЕДЛЕННО поменять свои пароли.
Терминология:
"Заказчик" - человек, заказавший взлом ящика
"Исполнитель" - человек или группа лиц, организовавшая
в Сети "взламывательный" бизнес.
"Объект" - владелец почтового ящика, чей пароль хочет получить
"Заказчик".
В чем суть бизнеса Исполнителя? Он размещает в разнообразных
публичных местах сети (форумы, ЖЖ и т.д.) свою рекламы -
мол, взламываем ящики на крупнейших халявных почтовых службах
(в перечне - mail.ru, rambler.ru, yandex.ru, gmail.com, yahoo.com,
а также сервисы odnoklassniki.ru и vkontakte.ru).
При этом обещается, что владелец ящика (Объект) даже и не узнает
о состоявшемся взломе, поскольку пароль ящика не меняется,
и что оплата за услугу берется только по факту - после
того, как пароль уже получен и Заказчику отправлен скриншот
папки "Входящие" заказанного им "Объекта".
Как и на чем происходит т.н. "взлом"?
Прежде всего, это не взлом, а фишинг - Объект получает
письмо якобы от своей почтовой службы или социальной сети
(по всем параметрам - неотличимое от настоящего, именно поэтому
используется только фиксированный список веб-мейлов и соц.сетей),
в котором он приглашается зайти на "родной" сайт.
(Из саморекламы "Исполнителя": "Применяются методы, основанные на
совместном использовании недоработок современных браузеров,
принципиальных недостатках CGI и ошибках в политике безопасности
почтовых служб.")
Расшифровываю. Причина, объясняющая необходимость такого захода,
для каждой службы своя, и во всех случаях она вполне ВОЗМОЖНА,
т.е. Объект, вероятно, и раньше получал "честные" письма с такими же
предложениями. Это и назывется "ошибки в политике безопасности".
Например, пользователям на Рамблере сообщается, что поступило "письмо,
которое было утеряно при пересылке", а пользователям Мейла.Ру - что им
пришла электронная открытка, которую нужно посмотреть на сайте Открыток.
Ссылка, которую Объект ВИДИТ в таком письме, стопроцентно
правильна - если бы, щелкнув по ней, он реально перешел
на указанный в ней адрес, он бы действительно оказался
на той страничке, где можно получить открытку, увидеть
утерянные письма и т.д. Однако на самом деле
переход идет на поддельный (фишинговый) сайт, внешнее оформление
которого неотличимо от настоящего (да и фигня в адресной
строке браузера тоже практически неотличима, если не вчитываться).
(Это - "недоработки современных браузеров").
А там ему сообщают, что он - увы - не залогинен, поэтому
для входа необходимо ввести логин и пароль. И как только
он это делает, сразу перенаправляется на реальный сайт
("принципиальные недостатки CGI"), где его действительно ждет
какая-то там открытка или письмо. Однако в этот момент "Исполнитель"
уже завладел нужными ему логином и паролем, автоматически
зашел с ними на сайт, автоматически же сделал скриншот,
отправил его "Заказчику" и предложил заплатить за пароль.
Собственно, в этот момент все очень плохо. Если объект
ни о чем не догадался, то заказчик платит за услугу
и получает логин-пароль от ящика Объекта, то есть полный
и практически неконтролируемый Объектом доступ к его почте.
А дальше - сами понимаете.
В двух известных мне случаях "объекты" догадались
быстро, поэтому несанкционированного доступа
к их ящикам не произошло. Скорее всего, "Заказчики"
просто потеряли свои деньги, потому что после того,
как они успели заплатить "Исполнителю", пароль ящика
уже был другим... Но сколько еще было случаев, о которых
владельцы ящика не догадались?
Люди, пожалуйста, будьте бдительны.
Если хотите почитать подробнее, "как это делается",
вот один из разумных сайтов по данной проблематике:
http://igor-belkin.ru/
--
С уважением,
Konstantin mailto:
kostyaknop@...
Offline 
Send Email