T.E.S.T.C.O.P.Y.

Добрый день!
Вот и до меня докатилась волна угоны почты, если в кратце, то происходит это так. (Сразу скажу у них этот номер не прошел:)
Приходит на почту письмо от, якобы, почтовой службы:



И если вы нажмете на ссылку в этом письме, и далее произведете ввод в форму, то отдадите данные своего аккаунта злоумышленникам.

Распознать моненников очень просто, достаточно посмотреть заголовок пришедшего письма (эта функция встроена в почтовик):

Код: выделить все

Return-Path: <mailspy.ru@gmail.com>
Received: from [10.8.2.22] (HELO mx22.rambler.ru)
  by mail69.rambler.ru (rmaild SMTP 1.2.41)
  with ESMTP id 184098647 for xxx@rambler.ru; Tue, 28 Jun 2011 22:11:52 +0400
Received: from mail-ww0-f47.google.com (mail-ww0-f47.google.com [74.125.82.47])
   by mx22.rambler.ru (Postfix) with ESMTP id EF8EA2CCF4AA
   for <xxx@rambler.ru>; Tue, 28 Jun 2011 22:11:51 +0400 (MSD)
Received: by wwf27 with SMTP id 27o446275wwf.28
        for <xxx@rambler.ru>; Tue, 28 Jun 2011 11:11:51 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=gamma;
        h=mime-version:sender:date:x-google-sender-auth:message-id:subject
         :from:to:content-type;
        bh=Om7AU36qJYX5ie8zrZ+iKV2rWstc74fclIgUtUlgeA=;
        b=B72t9K0KlWPlfFX11CK1G5LseBina1AGh/MbUl5TPxAyD7FTUPi9dYtNjvPEy34M
         griOTZOWxdP61/Hm/KNJcNDwnayP/4/grTz2lxzHRQ83QyrAKxTgctc73GG421wbM
         HOR/WImy3Jg75ZvXyiNKv8Ly/LMUBPFecEc=
MIME-Version: 1.0
Received: by 10.227.39.14 with SMTP id d14mr7217886wbe.33.1309284709220; Tue,
 28 Jun 2011 11:11:49 -0700 (PDT)
Sender: mailspy.ru@gmail.com
Received: by 10.227.62.204 with HTTP; Tue, 28 Jun 2011 11:11:49 -0700 (PDT)
Date: Tue, 28 Jun 2011 14:11:49 -0400
X-Google-Sender-Auth: y6wEtBRBbtCalq_lNlW3smMWAE
Message-ID: <BANLkTik-CkRHU1HU9rSYqd_7q+bZa0h_uw@mail.gmail.com>
Subject: =?KOI8-R?B?4sxvy8nSz9fLwSDV3sXUzs/KINrB0MnTySAtIGVy?=
   =?KOI8-R?B?MTA3QHJhbWJsZXIucnU=?=
From: Rambler Mail <mail-support-id@rambler.ru>
To: xxx@rambler.ru
Content-Type: multipart/alternative; boundary=002215b02ed600c37e04a6c99a2a

То есть уже по заголовку видно, что фигурирует какой-то mailspy.ru@gmail.com, то есть к рамблеру это письмо не имеет никакого отношения.

А если взять и скопировать текс письма и сделать запрос в Гугль, то увидим много интересного

Вот на такую простую уловку, думаю, и попались Мишель и Банзай...

И кстати, если пробить это адрес через Гугль, то увидим Что стоить эта услуга 1500-4000 руб у хакеров, ну надо же! Не поскупились:))

Добавлено спустя 3 минуты 44 секунды:
И все-таки, товарищи, будьте бдительны!

Все это имеет цену http://webhack.ucoz.net/publ/vzlom_pochty/2
upd. опоздал

у меня гдето есть прога для подмены мыла, проверенно роботает!

Да тут и есть немного СИ, только ребята ленивые, мой знакомый и не такое умеет!

Вот раньше канало такое: http://www.securitylab.ru/analytics/274302.php

полезная информация!!!!!! у меня было пару раз нечто подобное, я в спам отмечал, показалось подозрительное всё это

Я и говорю почта должна быть на подконтрольном сервере (напр. корпоративная почта), все письма выкачивать клиентом. И все...

Не поленился и отправил запрос на рамблер, пришел ответ:


Не поленился еще раз и переслал им это подметное письмо:)