Взлом методом подделки письма от саппорта [на примере Яндекса] [важно!]

Доброго времени суток, дорогие друзья, знакомые, читатели и прочие личности.

Сегодня я вновь хочу поднять весьма стандартную тему, что уже годами, собственно, и я, и всяческие сервисы, и системные администраторы/IT-шники, и все все все, вталдыкивают в головы пользователей годами и молотками.

защита от взлома

Речь пойдет о взломе Ваших аккаунтов методом социальной инженерии, причем самой простой из которых, собственно, является подделка писем от службы поддержки с просьбой перейти по ссылке, например, для восстановления или смены пароля. В этой небольшой заметке я покажу Вам типовой пример такового письма, а так же, в 10500 раз повторю правило, которое должен помнить каждый пользователь с любым уровнем знаний.

Приступим.

Как выглядят поддельные письма от саппорта, как их определить и какие выводы делать?

Типовые поддельные письма выглядят примерно следующим образом:

поддельные письма от яндекса

Текстовка может отличаться как угодно, ссылки, в общем-то тоже. На что тут обращать внимание? Расскажу по стрелочкам и рамочкам:

  • Красная стрелочка и красная рамочка, - во-первых, Яндекс не оказывает поддержку с такового адреса, а, во-вторых, GMail заботливо показывает, что письмо с заголовком отправлено через сторонний сервер и сервер этот, если перейти по его адресу, является ничем иным, как хостингом, что как минимум означает, что письмо явно не от Яндекса, а отправлено кем-либо еще, держащим почтовый сервер на этом хостинге;
  • Черная стрелочка и черная рамочка, - выделение цветом не характерно почти ни для одного саппорта в мире как такового, письмо явно писал дилетант не знакомый с особенностями работы службы поддержки и составлении ими типовых шаблонов писем;
  • Зеленая стрелочка и черная рамочка, - служба поддержки Яндекса подписывается не так. Как именно, собственно, можно узнать написав разок в саппорт самостоятельно, но вообще, подскажу, что там указано много дополнительной информации;
  • Оранжевая стрелочка и оранжевая рамочка, - про почту говорил выше, а что касается упомянутого поддомена support.yandex.ru, то легко проверить, что такового попросту не существует.

Что касается самой ссылки в тексте, то она явно подделана. Нет, если её скопировать мышкой и вставить в адресную строку, то вы попадёте на реальную страницу яндекса, а вот, если кликните, то попадете на подделку. Это проверить очень легко, - достаточно навести мышку на ссылку в браузере и посмотреть куда она ведёт:

поддельные письма от яндекса

Подделка выполнена крайне дешево и даже в адресной потом строке сразу видно подвох:

как распознать страницу-взломщик

Форма авторизации вообще, по-моему уже почти везде выглядит иначе, да и вообще видел я подделки посимпатичнее. Думаю, не надо объяснять, что введя данные в эти два поля, - Вы расстанетесь со своими логином и паролем. Это даже, в общем-то, даже не столько социальная инженерия, сколько банальный Фишинг. Вот что об этом говорит сам Яндекс:

Фишинг — это разновидность интернет-мошенничества, целью которого является получение конфиденциальных данных пользователя (паролей от учетных записей, номера или PIN-кода кредитной карты и т. д.).

Мошенники используют массовые рассылки от имени компаний, сервисов, социальных сетей с уведомлениями о событиях, в связи с которыми пользователь должен предоставить, обновить или подтвердить свои конфиденциальные данные.

Примеры таких событий:

  • Подтверждение учетных данных, проблемы с доставкой или сбой в системе. В письме вас попросят предоставить ваш логин и пароль к данному сервису или сайту. Чаще всего в поле От кого у таких писем указывается Служба поддержки, support или admin. Ни один сотрудник или служба поддержки Яндекса никогда не попросят прислать ваши авторизационные данные.
  • Подтверждение личности или активация почтового ящика. Для этого вас попросят отправить SMS на короткий номер. Стоимость отправки SMS на короткий номер обычно выше стоимости SMS по вашему тарифу — но эта информация может быть не указана вообще либо приведена в той части письма, где ее сложнее всего заметить. В результате сразу после отправки сообщения на короткий номер с вашего телефона списывается некоторая сумма, чаще всего 100‒200 рублей. В ряде случаев может включиться ежедневное списание денежных средств с вашего телефона. Будьте внимательны: Яндекс никогда не просит отправить SMS — он присылает его со своей стороны. Отвечать на это SMS не нужно.
  • Участие в розыгрыше призов. Для этого вам предложат заполнить анкету, в которой, помимо фамилии, имени, отчества и контактных телефонов, нужно указать паспортные данные и номер кредитной карты. Если вы получили письмо о проведении Яндексом розыгрыша призов, свяжитесь с нами по контактам, указанным на странице https://company.yandex.ru/contacts и уточните информацию. Если розыгрыш действительно проводится, убедитесь, что вас не просят заранее оплатить доставку приза или сделать взнос за участие — Яндекс никогда не предлагает оплачивать то, чего вы не заказывали сами.
  • В фишинговом письме также может содержаться ссылка для перехода на поддельную страницу сайта. Если пользователь вводит свои данные на такой странице, мошенники легко получают к ним доступ. При авторизации на Яндексе убедитесь, что адрес сайта имеет вид имя.yandex.ru/раздел. После yandex.ru обязательно должен находиться символ /, а не точка.

В общем-то, как любят говорить, одним Яндексом сыт не будешь и совершенно точно так же (и очень часто) подделывают службы поддержки практически любых сервисов, сайтов, систем электронных платежей, социальных сетей и всего на свете, что есть в интернете. Уровень подделки может быть разным. Некоторые, особо умные, даже могут покинуть Вам какой-нибудь файлик, подменяющий DNS так, что Вы и в адресной строке будете видеть правильную ссылочку.. А вот введеные данные пойдут не в те руки. Как не попасться? Есть золотое правило:

Службе тех.поддержки, фин.поддержки, и любой другой поддержки не нужны Ваши пароли ни в каком виде. Любые восстановления паролей, запросы на пароли и прочее прочее, могут выполняться только Вами, т.е, если Вы делали запрос по кнопке "Забыли пароль?" и тут же получили письмо. Или лично сами писали в службу поддержки и получили ответ на Ваш запрос. Все остальные письма о необходимости что-то где-то ввести, заполнить форму, залогиниться (а то вы будете удалены/заблокированы/оштрафованы/прочее), указать для проверки (уточнения/обновления/улучшения/прочее) и тому подобные, следует игнорировать и никуда не жать.

Зарубите себе это на носу. Сие относится к ЛЮБОМУ вашему аккаунту. Уж тем более, не ходите по ссылкам из незнакомых Вам писем, не качайте файлы из этих самых незнакомых Вас писем и не указывайте никаких своих данных в обратных сообщениях (если вообще идея ответить на не знакомое письмо придет Вам в голову).

На сим, пожалуй, всё. Как еще это донести даже не представляю.. Разве что горьким опытом.

Послесловие

Вот такие вот пироги. На самом деле мне сложно поверить, что кто-то еще ведется на подобные сообщения, но практика приходящих от Вас писем в обратной связи, знакомых пользователей, а так же опыт коллег, показывает, что проблема имеет место быть.

Как и всегда, если есть какие-то вопросы, мысли, дополнения и прочее, то добро пожаловать в комментарии к этой записи.

Оценить —

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(3 голоса, в среднем: 5 из 5)

Подписаться —

RSS Email Facebook Twitter G+ YouTube
Темы:  ,

Комментарии к статье

  1. Неуловимый_Джо

    Плез смотреть почту и нашел такое письмо:
    "Письмо info@holmaster.ru «Продвижение веб-сайта с оплатой по факту.» не может быть доставлено
    Причина: ошибка при передаче письма"
    Я такого не писал. Это что?

  2. Максим

    Спасибо за новую прошивку настройки бдительности и внимания!..

    • Sonikelf

      Всегда пожалуйста, всегда рады

  3. Сергей

    Спасибо за предупреждение.

  4. andrey

    спасибо огромное предупрежден значит вооружен

  5. idclip

    Спасибо большое за статью. Простыми словами о сложном для понимания. +1.

    • Sonikelf

      Стараемся. Быстро, просто и доступно :)

  6. den_corp

    Спасибо, очень актуальная и полезная статейка!

    • Sonikelf

      Пожалуйста. В хозяйстве пригодится.

  7. slon

    Спасибо,Андрей.Нужная статья.

  8. Евгений Владимирович

    Раньше часто получал такие письма, спасибо, это очень полезно!

  9. Михаил

    Да, полезная информация многим. Часто вижу, как кого-то из друзей ВКонтакте взламывают(узнают пароль). Вероятно, таким банальнейшим способом.

    • Sonikelf

      Это вообще один из самых популярных способов.

  10. iona43

    Сегодня ко мне пришло подобное письмо, удалил за 5 минут как прочитать эту статью.
    Адрес очень напоминает службу поддержки - дальше разбираться не стал
    Сонику спасибо

  11. любовь

    что делать если попался на эту уловку?

    • Sonikelf

      Менять пароли и сканироваться на вирусы :( Только в обратном порядке.

  12. любовь

    какой программой ,по вашему, лучше просканировать или где про это можно почитать ?

* - комментарии могут появляться не сразу (или попасть в спам)