Взлом методом подделки письма от саппорта

Доброго времени суток, дорогие друзья, знакомые, читатели и прочие личности.

Сегодня я вновь хочу поднять весьма стандартную тему, что уже годами, собственно, и я, и всяческие сервисы, и системные администраторы/IT-шники, и все все все, вталдыкивают в головы пользователей годами и молотками.

Речь пойдет о взломе Ваших аккаунтов методом социальной инженерии, причем самой простой из которых, собственно, является подделка писем от службы поддержки с просьбой перейти по ссылке, например, для восстановления или смены пароля. В этой небольшой заметке я покажу Вам типовой пример такового письма, а так же, в 10500 раз повторю правило, которое должен помнить каждый пользователь с любым уровнем знаний.

Приступим.

Как выглядят поддельные письма от саппорта, как их определить и какие выводы делать?

Типовые поддельные письма выглядят примерно следующим образом:

Текстовка может отличаться как угодно, ссылки, в общем-то тоже. На что тут обращать внимание? Расскажу по стрелочкам и рамочкам:

• Красная стрелочка и красная рамочка, - во-первых, Яндекс не оказывает поддержку с такового адреса, а, во-вторых, GMail заботливо показывает, что письмо с заголовком отправлено через сторонний сервер и сервер этот, если перейти по его адресу, является ничем иным, как хостингом, что как минимум означает, что письмо явно не от Яндекса, а отправлено кем-либо еще, держащим почтовый сервер на этом хостинге;
• Черная стрелочка и черная рамочка, - выделение цветом не характерно почти ни для одного саппорта в мире как такового, письмо явно писал дилетант не знакомый с особенностями работы службы поддержки и составлении ими типовых шаблонов писем;
• Зеленая стрелочка и черная рамочка, - служба поддержки Яндекса подписывается не так. Как именно, собственно, можно узнать написав разок в саппорт самостоятельно, но вообще, подскажу, что там указано много дополнительной информации;
• Оранжевая стрелочка и оранжевая рамочка, - про почту говорил выше, а что касается упомянутого поддомена support.yandex.ru, то легко проверить, что такового попросту не существует.

Что касается самой ссылки в тексте, то она явно подделана. Нет, если её скопировать мышкой и вставить в адресную строку, то вы попадёте на реальную страницу яндекса, а вот, если кликните, то попадете на подделку. Это проверить очень легко, - достаточно навести мышку на ссылку в браузере и посмотреть куда она ведёт:

Подделка выполнена крайне дешево и даже в адресной потом строке сразу видно подвох:

Форма авторизации вообще, по-моему уже почти везде выглядит иначе, да и вообще видел я подделки посимпатичнее. Думаю, не надо объяснять, что введя данные в эти два поля, - Вы расстанетесь со своими логином и паролем. Это даже, в общем-то, даже не столько социальная инженерия, сколько банальный Фишинг. Вот что об этом говорит сам Яндекс:

Фишинг — это разновидность интернет-мошенничества, целью которого является получение конфиденциальных данных пользователя (паролей от учетных записей, номера или PIN-кода кредитной карты и т. д.).

Мошенники используют массовые рассылки от имени компаний, сервисов, социальных сетей с уведомлениями о событиях, в связи с которыми пользователь должен предоставить, обновить или подтвердить свои конфиденциальные данные.

Примеры таких событий:

• Подтверждение учетных данных, проблемы с доставкой или сбой в системе. В письме вас попросят предоставить ваш логин и пароль к данному сервису или сайту. Чаще всего в поле От кого у таких писем указывается Служба поддержки, support или admin. Ни один сотрудник или служба поддержки Яндекса никогда не попросят прислать ваши авторизационные данные.
• Подтверждение личности или активация почтового ящика. Для этого вас попросят отправить SMS на короткий номер. Стоимость отправки SMS на короткий номер обычно выше стоимости SMS по вашему тарифу — но эта информация может быть не указана вообще либо приведена в той части письма, где ее сложнее всего заметить. В результате сразу после отправки сообщения на короткий номер с вашего телефона списывается некоторая сумма, чаще всего 100‒200 рублей. В ряде случаев может включиться ежедневное списание денежных средств с вашего телефона. Будьте внимательны: Яндекс никогда не просит отправить SMS — он присылает его со своей стороны. Отвечать на это SMS не нужно.
• Участие в розыгрыше призов. Для этого вам предложат заполнить анкету, в которой, помимо фамилии, имени, отчества и контактных телефонов, нужно указать паспортные данные и номер кредитной карты. Если вы получили письмо о проведении Яндексом розыгрыша призов, свяжитесь с нами по контактам, указанным на странице https://company.yandex.ru/contacts и уточните информацию. Если розыгрыш действительно проводится, убедитесь, что вас не просят заранее оплатить доставку приза или сделать взнос за участие — Яндекс никогда не предлагает оплачивать то, чего вы не заказывали сами.
• В фишинговом письме также может содержаться ссылка для перехода на поддельную страницу сайта. Если пользователь вводит свои данные на такой странице, мошенники легко получают к ним доступ. При авторизации на Яндексе убедитесь, что адрес сайта имеет вид имя.yandex.ru/раздел. После yandex.ru обязательно должен находиться символ /, а не точка.

В общем-то, как любят говорить, одним Яндексом сыт не будешь и совершенно точно так же (и очень часто) подделывают службы поддержки практически любых сервисов, сайтов, систем электронных платежей, социальных сетей и всего на свете, что есть в интернете. Уровень подделки может быть разным. Некоторые, особо умные, даже могут покинуть Вам какой-нибудь файлик, подменяющий DNS так, что Вы и в адресной строке будете видеть правильную ссылочку.. А вот введеные данные пойдут не в те руки. Как не попасться? Есть золотое правило:

Службе тех.поддержки, фин.поддержки, и любой другой поддержки не нужны Ваши пароли ни в каком виде. Любые восстановления паролей, запросы на пароли и прочее прочее, могут выполняться только Вами, т.е, если Вы делали запрос по кнопке "Забыли пароль?" и тут же получили письмо. Или лично сами писали в службу поддержки и получили ответ на Ваш запрос. Все остальные письма о необходимости что-то где-то ввести, заполнить форму, залогиниться (а то вы будете удалены/заблокированы/оштрафованы/прочее), указать для проверки (уточнения/обновления/улучшения/прочее) и тому подобные, следует игнорировать и никуда не жать.

Зарубите себе это на носу. Сие относится к ЛЮБОМУ вашему аккаунту. Уж тем более, не ходите по ссылкам из незнакомых Вам писем, не качайте файлы из этих самых незнакомых Вас писем и не указывайте никаких своих данных в обратных сообщениях (если вообще идея ответить на не знакомое письмо придет Вам в голову).

На сим, пожалуй, всё. Как еще это донести даже не представляю.. Разве что горьким опытом.

Послесловие

Вот такие вот пироги. На самом деле мне сложно поверить, что кто-то еще ведется на подобные сообщения, но практика приходящих от Вас писем в обратной связи, знакомых пользователей, а так же опыт коллег, показывает, что проблема имеет место быть.

Как и всегда, если есть какие-то вопросы, мысли, дополнения и прочее, то добро пожаловать в комментарии к этой записи.