статьи
заметки

Взлом методом подделки письма от саппорта

Доброго времени суток, дорогие друзья, знакомые, читатели и прочие личности.

Сегодня я вновь хочу поднять весьма стандартную тему, что уже годами, собственно, и я, и всяческие сервисы, и системные администраторы/IT-шники, и все все все, вталдыкивают в головы пользователей годами и молотками.

защита от взлома

Речь пойдет о взломе Ваших аккаунтов методом социальной инженерии, причем самой простой из которых, собственно, является подделка писем от службы поддержки с просьбой перейти по ссылке, например, для восстановления или смены пароля. В этой небольшой заметке я покажу Вам типовой пример такового письма, а так же, в 10500 раз повторю правило, которое должен помнить каждый пользователь с любым уровнем знаний.

Приступим.

Как выглядят поддельные письма от саппорта, как их определить и какие выводы делать?

Типовые поддельные письма выглядят примерно следующим образом:

поддельные письма от яндекса

Текстовка может отличаться как угодно, ссылки, в общем-то тоже. На что тут обращать внимание? Расскажу по стрелочкам и рамочкам:

  • Красная стрелочка и красная рамочка, - во-первых, Яндекс не оказывает поддержку с такового адреса, а, во-вторых, GMail заботливо показывает, что письмо с заголовком отправлено через сторонний сервер и сервер этот, если перейти по его адресу, является ничем иным, как хостингом, что как минимум означает, что письмо явно не от Яндекса, а отправлено кем-либо еще, держащим почтовый сервер на этом хостинге;
  • Черная стрелочка и черная рамочка, - выделение цветом не характерно почти ни для одного саппорта в мире как такового, письмо явно писал дилетант не знакомый с особенностями работы службы поддержки и составлении ими типовых шаблонов писем;
  • Зеленая стрелочка и черная рамочка, - служба поддержки Яндекса подписывается не так. Как именно, собственно, можно узнать написав разок в саппорт самостоятельно, но вообще, подскажу, что там указано много дополнительной информации;
  • Оранжевая стрелочка и оранжевая рамочка, - про почту говорил выше, а что касается упомянутого поддомена support.yandex.ru, то легко проверить, что такового попросту не существует.

Что касается самой ссылки в тексте, то она явно подделана. Нет, если её скопировать мышкой и вставить в адресную строку, то вы попадёте на реальную страницу яндекса, а вот, если кликните, то попадете на подделку. Это проверить очень легко, - достаточно навести мышку на ссылку в браузере и посмотреть куда она ведёт:

поддельные письма от яндекса

Подделка выполнена крайне дешево и даже в адресной потом строке сразу видно подвох:

как распознать страницу-взломщик

Форма авторизации вообще, по-моему уже почти везде выглядит иначе, да и вообще видел я подделки посимпатичнее. Думаю, не надо объяснять, что введя данные в эти два поля, - Вы расстанетесь со своими логином и паролем. Это даже, в общем-то, даже не столько социальная инженерия, сколько банальный Фишинг. Вот что об этом :

Фишинг — это разновидность интернет-мошенничества, целью которого является получение конфиденциальных данных пользователя (паролей от учетных записей, номера или PIN-кода кредитной карты и т. д.).

Мошенники используют массовые рассылки от имени компаний, сервисов, социальных сетей с уведомлениями о событиях, в связи с которыми пользователь должен предоставить, обновить или подтвердить свои конфиденциальные данные.

Примеры таких событий:

  • Подтверждение учетных данных, проблемы с доставкой или сбой в системе. В письме вас попросят предоставить ваш логин и пароль к данному сервису или сайту. Чаще всего в поле От кого у таких писем указывается Служба поддержки, support или admin. Ни один сотрудник или служба поддержки Яндекса никогда не попросят прислать ваши авторизационные данные.
  • Подтверждение личности или активация почтового ящика. Для этого вас попросят отправить SMS на короткий номер. Стоимость отправки SMS на короткий номер обычно выше стоимости SMS по вашему тарифу — но эта информация может быть не указана вообще либо приведена в той части письма, где ее сложнее всего заметить. В результате сразу после отправки сообщения на короткий номер с вашего телефона списывается некоторая сумма, чаще всего 100‒200 рублей. В ряде случаев может включиться ежедневное списание денежных средств с вашего телефона. Будьте внимательны: Яндекс никогда не просит отправить SMS — он присылает его со своей стороны. Отвечать на это SMS не нужно.
  • Участие в розыгрыше призов. Для этого вам предложат заполнить анкету, в которой, помимо фамилии, имени, отчества и контактных телефонов, нужно указать паспортные данные и номер кредитной карты. Если вы получили письмо о проведении Яндексом розыгрыша призов, свяжитесь с нами по контактам, указанным на странице и уточните информацию. Если розыгрыш действительно проводится, убедитесь, что вас не просят заранее оплатить доставку приза или сделать взнос за участие — Яндекс никогда не предлагает оплачивать то, чего вы не заказывали сами.
  • В фишинговом письме также может содержаться ссылка для перехода на поддельную страницу сайта. Если пользователь вводит свои данные на такой странице, мошенники легко получают к ним доступ. При авторизации на Яндексе убедитесь, что адрес сайта имеет вид имя.yandex.ru/раздел. После yandex.ru обязательно должен находиться символ /, а не точка.

В общем-то, как любят говорить, одним Яндексом сыт не будешь и совершенно точно так же (и очень часто) подделывают службы поддержки практически любых сервисов, сайтов, систем электронных платежей, социальных сетей и всего на свете, что есть в интернете. Уровень подделки может быть разным. Некоторые, особо умные, даже могут покинуть Вам какой-нибудь файлик, подменяющий DNS так, что Вы и в адресной строке будете видеть правильную ссылочку.. А вот введеные данные пойдут не в те руки. Как не попасться? Есть золотое правило:

Службе тех.поддержки, фин.поддержки, и любой другой поддержки не нужны Ваши пароли ни в каком виде. Любые восстановления паролей, запросы на пароли и прочее прочее, могут выполняться только Вами, т.е, если Вы делали запрос по кнопке "Забыли пароль?" и тут же получили письмо. Или лично сами писали в службу поддержки и получили ответ на Ваш запрос. Все остальные письма о необходимости что-то где-то ввести, заполнить форму, залогиниться (а то вы будете удалены/заблокированы/оштрафованы/прочее), указать для проверки (уточнения/обновления/улучшения/прочее) и тому подобные, следует игнорировать и никуда не жать.

Зарубите себе это на носу. Сие относится к ЛЮБОМУ вашему аккаунту. Уж тем более, не ходите по ссылкам из незнакомых Вам писем, не качайте файлы из этих самых незнакомых Вас писем и не указывайте никаких своих данных в обратных сообщениях (если вообще идея ответить на не знакомое письмо придет Вам в голову).

На сим, пожалуй, всё. Как еще это донести даже не представляю.. Разве что горьким опытом.

к содержанию ↑

Послесловие

Вот такие вот пироги. На самом деле мне сложно поверить, что кто-то еще ведется на подобные сообщения, но практика приходящих от Вас писем в , знакомых пользователей, а так же опыт коллег, показывает, что проблема имеет место быть.

Как и всегда, если есть какие-то вопросы, мысли, дополнения и прочее, то добро пожаловать в комментарии к этой записи.

Оценить

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(6 голосов, в среднем: 5 из 5)
  1. Reply
    Неуловимый_Джо

    Плез смотреть почту и нашел такое письмо:
    "Письмо info@holmaster.ru «Продвижение веб-сайта с оплатой по факту.» не может быть доставлено
    Причина: ошибка при передаче письма"
    Я такого не писал. Это что?

    • Reply
      Sonikelf

      Спуфинг возможно.

  2. Reply
    Максим

    Спасибо за новую прошивку настройки бдительности и внимания!..

    • Reply
      Sonikelf

      Всегда пожалуйста, всегда рады

  3. Reply
    Сергей

    Спасибо за предупреждение.

    • Reply
      Sonikelf

      Будьте в курсе ;)

  4. Reply
    andrey

    спасибо огромное предупрежден значит вооружен

    • Reply
      Sonikelf

      Факт. Всегда пожалуйста.

  5. Reply
    idclip

    Спасибо большое за статью. Простыми словами о сложном для понимания. +1.

    • Reply
      Sonikelf

      Стараемся. Быстро, просто и доступно :)

  6. Reply
    den_corp

    Спасибо, очень актуальная и полезная статейка!

    • Reply
      Sonikelf

      Пожалуйста. В хозяйстве пригодится.

  7. Reply
    slon

    Спасибо,Андрей.Нужная статья.

  8. Reply
    Евгений Владимирович

    Раньше часто получал такие письма, спасибо, это очень полезно!

  9. Reply
    Михаил

    Да, полезная информация многим. Часто вижу, как кого-то из друзей ВКонтакте взламывают(узнают пароль). Вероятно, таким банальнейшим способом.

    • Reply
      Sonikelf

      Это вообще один из самых популярных способов.

  10. Reply
    iona43

    Сегодня ко мне пришло подобное письмо, удалил за 5 минут как прочитать эту статью.
    Адрес очень напоминает службу поддержки - дальше разбираться не стал
    Сонику спасибо

  11. Reply
    любовь

    что делать если попался на эту уловку?

    • Reply
      Sonikelf

      Менять пароли и сканироваться на вирусы :( Только в обратном порядке.

  12. Reply
    любовь

    какой программой ,по вашему, лучше просканировать или где про это можно почитать ?

 

* - комментарии могут появляться не сразу, попасть в спам или быть удалены за несоответствие правилам