T.E.S.T.C.O.P.Y. • Просмотр темы - Как угоняют почту

Как угоняют почту

Болтологический форум.
Пожелание к форуму, сообщения об ошибках, любые темы и т.п.
Правила форума
Просьба ознакомиться с Правилами форума.
Также большая просьба, картинки выкладывать или в Галерею, или прикрепляйте их к своим сообщениям.
Ссылки в темах на сторонние фотохостинги (кроме вконтакте) заблокированы.

Прилепить пост

Сообщение kvg » Ср июн 29, 2011 8:02 pm

Добрый день!
Вот и до меня докатилась волна угоны почты, если в кратце, то происходит это так. (Сразу скажу у них этот номер не прошел:)
Приходит на почту письмо от, якобы, почтовой службы:

Изображение

И если вы нажмете на ссылку в этом письме, и далее произведете ввод в форму, то отдадите данные своего аккаунта злоумышленникам.

Распознать моненников очень просто, достаточно посмотреть заголовок пришедшего письма (эта функция встроена в почтовик):

Код: выделить все
Return-Path: <mailspy.ru@gmail.com>
Received: from [10.8.2.22] (HELO mx22.rambler.ru)
  by mail69.rambler.ru (rmaild SMTP 1.2.41)
  with ESMTP id 184098647 for xxx@rambler.ru; Tue, 28 Jun 2011 22:11:52 +0400
Received: from mail-ww0-f47.google.com (mail-ww0-f47.google.com [74.125.82.47])
   by mx22.rambler.ru (Postfix) with ESMTP id EF8EA2CCF4AA
   for <xxx@rambler.ru>; Tue, 28 Jun 2011 22:11:51 +0400 (MSD)
Received: by wwf27 with SMTP id 27o446275wwf.28
        for <xxx@rambler.ru>; Tue, 28 Jun 2011 11:11:51 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=gamma;
        h=mime-version:sender:date:x-google-sender-auth:message-id:subject
         :from:to:content-type;
        bh=Om7AU36qJYX5ie8zrZ+iKV2rWstc74fclIgUtUlgeA=;
        b=B72t9K0KlWPlfFX11CK1G5LseBina1AGh/MbUl5TPxAyD7FTUPi9dYtNjvPEy34M
         griOTZOWxdP61/Hm/KNJcNDwnayP/4/grTz2lxzHRQ83QyrAKxTgctc73GG421wbM
         HOR/WImy3Jg75ZvXyiNKv8Ly/LMUBPFecEc=
MIME-Version: 1.0
Received: by 10.227.39.14 with SMTP id d14mr7217886wbe.33.1309284709220; Tue,
 28 Jun 2011 11:11:49 -0700 (PDT)
Sender: mailspy.ru@gmail.com
Received: by 10.227.62.204 with HTTP; Tue, 28 Jun 2011 11:11:49 -0700 (PDT)
Date: Tue, 28 Jun 2011 14:11:49 -0400
X-Google-Sender-Auth: y6wEtBRBbtCalq_lNlW3smMWAE
Message-ID: <BANLkTik-CkRHU1HU9rSYqd_7q+bZa0h_uw@mail.gmail.com>
Subject: =?KOI8-R?B?4sxvy8nSz9fLwSDV3sXUzs/KINrB0MnTySAtIGVy?=
   =?KOI8-R?B?MTA3QHJhbWJsZXIucnU=?=
From: Rambler Mail <mail-support-id@rambler.ru>
To: xxx@rambler.ru
Content-Type: multipart/alternative; boundary=002215b02ed600c37e04a6c99a2a


То есть уже по заголовку видно, что фигурирует какой-то mailspy.ru@gmail.com, то есть к рамблеру это письмо не имеет никакого отношения.

А если взять и скопировать текс письма и сделать запрос в Гугль, то увидим много интересного

Вот на такую простую уловку, думаю, и попались Мишель и Банзай...

За это сообщение автора kvg поблагодарили: 2
KOT, standart
Рейтинг: 5.41%
 
Аватар пользователя
kvg   
Администратор сайта и форума

Прилепить пост

Сообщение kvg » Ср июн 29, 2011 8:09 pm

И кстати, если пробить это адрес через Гугль, то увидим Что стоить эта услуга 1500-4000 руб у хакеров, ну надо же! Не поскупились:))

Добавлено спустя 3 минуты 44 секунды:
И все-таки, товарищи, будьте бдительны!
Аватар пользователя
kvg   
Администратор сайта и форума

Прилепить пост

Сообщение lekm » Ср июн 29, 2011 8:14 pm

Все это имеет цену http://webhack.ucoz.net/publ/vzlom_pochty/2
upd. опоздал :-)
Пчелам никто не рассказывал где мед брать.
Аватар пользователя
lekm   
Не от мира сего

Прилепить пост

Сообщение КЭПула » Ср июн 29, 2011 10:14 pm

у меня гдето есть прога для подмены мыла, проверенно роботает!

Да тут и есть немного СИ, только ребята ленивые, мой знакомый и не такое умеет! :-)

Вот раньше канало такое: http://www.securitylab.ru/analytics/274302.php

:-)
Ну чё там у хахлов ?
Аватар пользователя
КЭПула   
КЭП-BSD

Прилепить пост

Сообщение salek » Чт июн 30, 2011 4:41 am

полезная информация!!!!!! у меня было пару раз нечто подобное, я в спам отмечал, показалось подозрительное всё это
Аватар пользователя
salek   
  • Не в сети

Прилепить пост

Сообщение Leshka5 » Чт июн 30, 2011 7:03 am

Я и говорю почта должна быть на подконтрольном сервере (напр. корпоративная почта), все письма выкачивать клиентом. И все...
Аватар пользователя
Leshka5   
Собрал картридж правильно

Прилепить пост

Сообщение kvg » Сб июл 02, 2011 11:57 pm

Не поленился и отправил запрос на рамблер, пришел ответ:
Здравствуйте Константин,

Обратите внимание! Рамблер никогда и ни при каких обстоятельствах не рассылает писем с
предложением сменить пароль, подтверждений смены пароля и ссылок на активацию учетной
записи. Если вы получили такое письмо, немедленно напишите нам об этом и, по возможности,
перешлите нам само письмо с указанием адреса отправителя. Также обращаем ваше внимание, что сотрудники Рамблера пользуются адресами в домене @rambler-co.ru


Не поленился еще раз и переслал им это подметное письмо:)
Аватар пользователя
kvg   
Администратор сайта и форума


Вернуться в Изба-флудильня

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 42

вверх
вниз
x

#{title}

#{text}