Некоторые механизмы мошенничества в Сети

Atham Mirazizov · 16.04.2008 12:48

Сегодня решил "препарировать" письмо СПАМ с предложением обновить пэйпал аккаунт. Сразу ясно, что прислали его в мошеннических целях, тем более у меня там нет аккаунта.
Итак заголовок месседжа

Цитата:

Received: from mcorep06.live.webc.lyceu.net (213.193.2.228) by mail.cppmp.uz
(192.168.0.6) with Microsoft SMTP Server id 8.1.240.5; Wed, 16 Apr 2008
07:29:07 +0500
Received: from mcorep06.live.webc.lyceu.net (localhost.localdomain
[127.0.0.1]) by localhost (Postfix) with ESMTP id 18AA6DC8FC for
<№№№№№@cppmp.uz>; Wed, 16 Apr 2008 04:18:55 +0200 (CEST)
Received: from eu1317f.lyceu.net (eu1317f.lyceu.net [213.193.2.117]) by
mailcore.webc.lyceu.net (Postfix) with ESMTP id 11575DC8F7 for
<№№№№№@cppmp.uz>; Wed, 16 Apr 2008 04:18:54 +0200 (CEST)
Received: from eu1317f.lyceu.net (localhost.localdomain [127.0.0.1]) by
localhost (Postfix) with ESMTP id 2562BEAA3F for <№№№№№@cppmp.uz>; Wed, 16
Apr 2008 04:18:44 +0200 (CEST)
Received: from eu1347f.lyceu.net (eu1347f.lyceu.net [213.193.2.147]) by
mailcore.webc.lyceu.net (Postfix) with ESMTP id F2769EAA60 for
<№№№№№@cppmp.uz>; Wed, 16 Apr 2008 04:18:43 +0200 (CEST)
Received: by eu1347f.lyceu.net (Postfix, from userid 1435386) id E5C5E25E45;
Wed, 16 Apr 2008 04:18:42 +0200 (CEST)
To: №№№№№@cppmp.uz
Subject: Alert ! Update Your PayPal Account .
X-WEBC-Mail-Request-IP: 41.250.209.175
X-WEBC-Mail-From-Script: http://www.thomas-morus.org/cms/admi...itory/mail.php
From: PayPal Service <Service@pay-palbank.com>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Message-ID: <20080416021842.E5C5E25E45@eu1347f.lyceu.net>
Date: Wed, 16 Apr 2008 04:18:42 +0200
Return-Path: webmaster@thomas-morus.org
X-Auto-Response-Suppress: DR, OOF, AutoReply

Интересный адрес http://www.thomas-morus.org/cms/admi...itory/mail.php переход по которому вывел на страницу массмэйлера. Сама главная
страница сайта редиректит на другой сайт где мы имеем честь увидеть самого thomas morus. Ясно что дядя преклонного возраста ни сном ни духом о том, что его "забытый" сайт оккупирован нехорошими спамерами с хорошей квалификацией.
Просмотр каталога com_remository показал что там есть более интересный файл chatlog.php. Открываем его и ... вуаля мы имеем в руках инструмент полного владения сервером бедного немца. Ясно, что злоумышленники воспользовались уязвимостями Joomla или
разгильдяйством админа, но в результате по полной заюзали ресурс.
В теле спама видно, что мошенники позаботились о реальном представлении сайта пэйпал путём слива имиджа на подложный сайт www.de-lemelerberg.nl. Этот ресурс наверняка тоже "заюзан". Далее его ковырять нет времени.

Цитата:

<http://images.paypal.com/en_US/i/logo/email_logo.gif>
<http://images.paypal.com/images/pixel.gif>
<http://images.paypal.com/images/pixel.gif>
Security Assistance
It has come to our attention that your account information needs to be updated as part of our continuing commitment to protect your account and to reduce the instance of fraud on our website. If you could please take 5-10 minutes out of your online experience and update your personal records you will not run into any future problems with the online service. .
However, failure to update your records until 18 April 2008 your account considered as suspension. Please update your records as soon as this email being sent.
Our system requires further account verification.
Case ID Number: PP-462-805-057
Once you have updated your account records, your session will not be interrupted and will continue as normal. as soon as possible. Allowing your account access to remain limited for an extended period of time may result in further limitations on the use of your account and possible account closure.

Click here to update your account <http://www.de-lemelerberg.nl/content...onfirm-paypal/>

You can also confirm your identity by logging into your PayPal account at https://www.paypal.com/us/ <http://www.de-lemelerberg.nl/content...onfirm-paypal/> .
Thank you for using PayPal!
The PayPal Team
________________________________
Please do not reply to this e-mail. Mail sent to this address cannot be answered. For assistance, log in <http://www.de-lemelerberg.nl/content...onfirm-paypal/> to your PayPal account and choose the "Help" link in the footer of any page.
To receive email notifications in plain text instead of HTML, update your preferences here <http://www.de-lemelerberg.nl/content...onfirm-paypal/> .
<http://images.paypal.com/en_US/i/scr/pixel.gif>
PayPal Email ID PP64582

<http://images.paypal.com/en_US/i/scr/pixel.gif>

Всё, сети расставлены, следы затёрты, остаётся ждать когда доверчивые поользователи занесут свои счета...
К чему я всё это... Методы мошенничества и хищения становятся всё более изощрёнными. Для того чтобы запустить такую аферу зловредам пришлось провести немалую подготовительную работу по захвату и зомбированию чужих серверов, провести социальную инженерию "целевой" аудитории с выработкой текста месседжа, добыть базу имэйлов,
позаботиться о внешнем виде ловушки, продумать заметание следов...
Так что господа вебмастеры и админы будьте начеку. "Мёртвый" и неуправляемый ресурс - находка для ...
P.S.
Письмо-извещение об уязвимости отправлено
webmaster@thomas-morus.org,
так что приведённые ссылки могут не сработать.

Atham Mirazizov · 16.04.2008 12:57

Цитата:

Сообщение от Atham Mirazizov

так что приведённые ссылки могут не сработать.

Пока работают.

Atham Mirazizov · 18.04.2008 13:45

Цитата:

Сообщение от Atham Mirazizov

Цитата:

Сообщение от Atham Mirazizov

так что приведённые ссылки могут не сработать.

Пока работают.

Проснулся админ наконец.

German Stimban · 23.04.2008 17:56

Недавно по Icq прокатилась волна рассылки троянов. Сообщения приходят от пользователей, находящихся не в сети, рассылаются по контактному листу.

Код:

Привет, смотри!!! :)
hттp://avoscotes.net/component/top20/
( hттp://avoscotes.net/component/top20/chief.zip )
Классная вещь! :-)

Оперативно выяснено, что в момент отправки сообщений, пользователи, с которых идёт троян находятся вдалеке от компьютеров, значит отправка идёт не с них. А если учесть то, что один из "отправителей" - активный пользователь Linux, можно предположить что зараза сидит где-нибудь в интернет кафе, собирает пароли, а затем бот просто рассылает от его имени (сделать такого бота - очень просто). Также можно предположить, что идёт охота за красивыми номерами.
По ссылке располагается подложный сайт (fishki.net, aprikol.ru), единственное отличие - ссылка на zip-файл, который расположен на самом сервере. В архиве находится 2 файла, один из них текстовый, с "описанием ролика", второй имеет расширение scr (Скринсейвер Windows), хотя Linux заявляет, что это программа и размер 407 кб. Попытка запустить его через wine не увенчалась успехом - на рабочем столе создался "скрытый и системный файл", сетевая активность и иные процессы не наблюдались. Если можно, счастливые пользователи Windows, проверьте - что делает эта программа?
Сам сайт avoscotes.net расположен во Франции и просто поломан.

Знаете ли Вы, что ...
	...до того как открыть новую тему, стоит использовать поиск: такая тема уже может существовать.
	<< Предыдущий совет - Случайный совет - Следующий совет >>