Apps Интернет Новости

Примеры фишинговых сообщений электронной почты

Примеры фишинговых сообщений электронной почты
Технозавр

В заглавии неслучайно размещена картинка с котиком. Это один из примеров манипулирования человеческим сознанием, апеллирование к жалости. Методы воздействия злоумышленников, использующих такие приемы, находятся в области практической психологии и относятся к социальной инженерии. Играя на эмоциях, чувствах, страхах и рефлексах людей, злоумышленники получают доступ к интересующей их информации. Все эти методы используются злоумышленниками при создании фишинговых почтовых сообщений.

К сожалению, уровень осведомленности пользователей о современных угрозах довольно низок. При атаке на пользователей электронной почты у злоумышленников обычно две цели: узнать пароль или попытаться заставить скачать некий файл. Не будем рассматривать представленные фишинговые домены и адреса почты, ведь рядовой пользователь не запомнит чем отличается google.com/index.php от google.com.indexphp.cc. Основное, что хочется донести — не надо слепо следовать каким-то указаниям в почте, особенно тем, которые побуждают выполнять некие действия здесь и сейчас, иначе случится что-то плохое.

Gmail: документы

Письмо отправлено с gmail-адреса и сообщает о неких документах. В деловой переписке, особенно при большом потоке писем легко кликнуть на документ, попав на фишинговую страницу:

Фишинговое сообщение

Фишинговое сообщение

Хотя адрес «документов» ведет на neo4-yandex.ru, тем не менее с этого домена происходит редирект на s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097 (в коде страницы установлен сниффер, который логгирует все заходы на страницу — <img height=0 width=0 src=»http://xvxvxvxvxvx.ru/image.php?img=»>).

Фишинговое сообщение

Фишинговое сообщение

Обратите внимание на старый логотип Google на фишинговой странице — многие ли из вас отметили, что он старый? А много ли пользователей помнят или знают о том, что у Google уже новый логотип? Скорее всего, форма была сделана с помощью инструмента Social-Engineer Toolkit, в нем он не обновлен. А может злоумышленники просто не обращают на это никакого внимания и не обновляют свои поделки?

Gmail: недоставленное сообщение

Приходит письмо, о том, что некоторые письма не были доставлены. А если что-то важное потерялось?

Фишинговое сообщение

Фишинговое сообщение

Многие люди по природе мнительны, поэтому клик по ссылке, а там уже известный редирект на: s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097

Gmail: срочно сменить пароль

Пользователь, какие-то нехорошие личности взломали твой пароль!

Фишинговое сообщение

Фишинговое сообщение

Обычные пользователи, скорее всего, пойдут менять пароль, только вот адрес для смены совершенно неподходящий: google.mail.com.ru-id322322.ru/548589203339099000020039939/o/p/l/?id376=YWtzZWthdHlhQGdtYWlsLmNvbXxha3Nla2F0eWE=

Gmail: ваша почта будет заблокирована

Вы сделали что-то неправильно (ведь рядовые пользователи «не разбираются в компьютерах»), теперь надо все исправить, иначе удалят ящик:

Фишинговое сообщение

Фишинговое сообщение

Что тут у нас? Опять старый логотип, но есть и кое-что новое — в URL передается адрес атакуемого ящика, для большей достоверности. Пользователь переходит по ссылке вида: w-google.com/account_c/mailer/0/u/16281666201206/?email=privethabr@gmail.com&fail=1&cGRmJmhsPV3N0BJmhsPXJnbWFpbC5j1VyJmFjdb20mbGV0EVyucGRmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1%27 и попадает на «персональную страничку»:

Фишинговое сообщение

Фишинговое сообщение

Gmail: спам

Вы рассылали спам, теперь Вы не можете отправлять письма. Необходимо подтвердить аккаунт:

Фишинговое сообщение

Фишинговое сообщение

Опять старый логотип. Вектор вроде новый, но ведет, опять же на уже известную нам страничку: s-mail-google.com/u/0/accounts/index.php?id=&/id=d7115e86e7423e7aea202cebf544de21

Gmail: черный список

Вы добавлены в черный список, шутки кончились. Срочно подтвердите что вы не бот-программа:

Фишинговое сообщение

Фишинговое сообщение

По ссылке уже известный адрес: google.mail.com.ru-id322322.ru/?login=YWtzZWthdHlhfGFrc2VrYXR5YUBnbWFpbC5jb20=

Gmail: пора увеличить объем ящика

Почтовый ящик почти заполнен, необходимо увеличить его объем. Надо, так надо:

Фишинговое сообщение

Фишинговое сообщение

Такое внимание к деталям: указан логин жертвы, ссылка «изменить» неактивна, но самое интересное дальше: account-google.ru.com/ServicesLogin/settings/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/

Фишинговое сообщение

Фишинговое сообщение

Указан логин жертвы, интерфейс явно «гугловский», даже видно что место и правда кончилось. Да и домен подобран очень в тему. Но вот логотип опять старый. В общем, это пока явный фаворит фишингостроения.

Gmail: рабочие моменты

Способ сомнительный для рядовых пользователей, письмо с какой-то заявкой или реквизитами:

Фишинговое сообщение

Фишинговое сообщение

Фишинговое сообщение

Фишинговое сообщение

Ссылка перенаправляет на домен account-google.ru.com/ServicesLogin/files/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1<mpl=default<mplcache=2&emr=1

Фишинговое сообщение

Фишинговое сообщение

Первая форма, на которой стоит новый логотип.

Mail.ru: рабочие моменты

Похож на способ указанный выше, прислали какие-то документы, вариаций может быть довольно много:

Фишинговое сообщение

Фишинговое сообщение

Фишинговое сообщение

Фишинговое сообщение

Фишинговое сообщение

Фишинговое сообщение

Клик по ссылке и пользователю предлагают ввести пароль. Так как логин уже подставлен — большинство рядовых пользователей введет свой пароль «на автомате»:

Фишинговое сообщение

Фишинговое сообщение

Mail.ru: сообщение не доставлено

Вам не пришло важное письмо, но наш сервис уведомил Вас об этом, включая какие-то непонятные заголовки сообщения для пущей достоверности:

Фишинговое сообщение

Фишинговое сообщение

А там уже знакомая нам форма:

Фишинговое сообщение

Фишинговое сообщение

Mail.ru: увеличить объем ящика

Еще один лидер хит-парада правдоподобности:

Фишинговое сообщение

Фишинговое сообщение

При переходе попадаем на форму увеличения объема ящика:

Фишинговое сообщение

Фишинговое сообщение

Еще один тип такого письма:

Фишинговое сообщение

Фишинговое сообщение

По ссылке видим форму:

Фишинговое сообщение

Фишинговое сообщение

Похож на способ указанный выше, но фишинговый домен уже не работает:

Фишинговое сообщение

Фишинговое сообщение

Ссылка не работает: cew-mail.ru/mailcapacity/index.php?email=privethabr@mail.ru&fail=0&GPXZJmV5cWVzEuccGRmyPXZWVzc2FnZScPXZJmV5cEyMTQ0MDAwuccWVzGRmyWVzPXZGRmyPXZWVzc2FnZS8xMzY0MTEMDAwMWVzDU4NS8

Mail.ru: уведомление о безопасности

Вашу почту кто-то взломал, срочно бегите менять пароль:

Фишинговое сообщение

Фишинговое сообщение

Фишинговая ссылка перенаправляет на pechatay-prosto.ru/js/?Login=privethabr@mail.ru (уже не работает).

Яндекс: уведомление о безопасности

Не подтвердите аккаунт — заблокируем почту:

Фишинговое сообщение

Фишинговое сообщение

По ссылке форма с уже подставленным именем учетной записи:

Фишинговое сообщение

Фишинговое сообщение

Яндекс: реактивация почтового ящика

Опять необходимо выполнить какие-то действия:

Фишинговое сообщение

Фишинговое сообщение

Добавлено много «правдоподобных» деталей:

Фишинговое сообщение

Фишинговое сообщение

Рассылка вредоносных файлов/криптолокеров

Пользуясь текущей экономической обстановкой и страхами людей злоумышленники рассылают письма, имитирующие уведомления от платежных систем и органов судебной или исполнительной власти:

Письмо, содержащее инструкции для «подтверждения» доменного имени от Роскомнадзора (на самом деле пользователь установит на свой сайт шелл):

Сообщение с инструкцией по установке шелла

Сообщение с инструкцией по установке шелла

Письмо из арбитражного суда, содержащее ссылку на криптолокер:

Сообщение со ссылкой на криптолокер

Сообщение со ссылкой на криптолокер

Письмо из Сбербанка о выданном кредите (со ссылкой на криптолокер):

Сообщение со ссылкой на криптолокер

Сообщение со ссылкой на криптолокер

Правила безопасности

  • Письмо, побуждающее вас к каким-то немедленным действиям должно вас насторожить: проверьте от кого оно пришло, домен и ссылку. Если сомневаетесь — спросите специалистов.
  • Если вам что-то навязывают или присылают то, к чему вы не имеете отношения — лучше удалить это письмо.
  • Не переходите по подозрительным ссылкам в письме, даже если они пришли в сообщениях от ваших знакомых или с каких-то официальных адресов.
  • Письма от судебных инстанций или органов: не поленитесь, найдите телефон этого ведомства и позвоните. Просто так никто судебные решения или уведомления о просроченных кредитах не высылает. Да и в 99% случаев вы получите уведомление по обычной почте.
  • Используйте двухфакторную авторизацию: большинство почтовых сервисов в настоящее время поддерживает эту технологию.

Источник: Хабрахабр