Atham Mirazizov
16.04.2008, 12:48
Сегодня решил "препарировать" письмо СПАМ с предложением обновить пэйпал аккаунт. Сразу ясно, что прислали его в мошеннических целях, тем более у меня там нет аккаунта.
Итак заголовок месседжа
Received: from mcorep06.live.webc.lyceu.net (213.193.2.228) by mail.cppmp.uz
(192.168.0.6) with Microsoft SMTP Server id 8.1.240.5; Wed, 16 Apr 2008
07:29:07 +0500
Received: from mcorep06.live.webc.lyceu.net (localhost.localdomain
[127.0.0.1]) by localhost (Postfix) with ESMTP id 18AA6DC8FC for
<№№№№№@cppmp.uz>; Wed, 16 Apr 2008 04:18:55 +0200 (CEST)
Received: from eu1317f.lyceu.net (eu1317f.lyceu.net [213.193.2.117]) by
mailcore.webc.lyceu.net (Postfix) with ESMTP id 11575DC8F7 for
<№№№№№@cppmp.uz>; Wed, 16 Apr 2008 04:18:54 +0200 (CEST)
Received: from eu1317f.lyceu.net (localhost.localdomain [127.0.0.1]) by
localhost (Postfix) with ESMTP id 2562BEAA3F for <№№№№№@cppmp.uz>; Wed, 16
Apr 2008 04:18:44 +0200 (CEST)
Received: from eu1347f.lyceu.net (eu1347f.lyceu.net [213.193.2.147]) by
mailcore.webc.lyceu.net (Postfix) with ESMTP id F2769EAA60 for
<№№№№№@cppmp.uz>; Wed, 16 Apr 2008 04:18:43 +0200 (CEST)
Received: by eu1347f.lyceu.net (Postfix, from userid 1435386) id E5C5E25E45;
Wed, 16 Apr 2008 04:18:42 +0200 (CEST)
To: №№№№№@cppmp.uz
Subject: Alert ! Update Your PayPal Account .
X-WEBC-Mail-Request-IP: 41.250.209.175
X-WEBC-Mail-From-Script: http://www.thomas-morus.org/cms/administrator/components/com_remository/mail.php
From: PayPal Service <Service@pay-palbank.com>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Message-ID: <20080416021842.E5C5E25E45@eu1347f.lyceu.net>
Date: Wed, 16 Apr 2008 04:18:42 +0200
Return-Path: webmaster@thomas-morus.org
X-Auto-Response-Suppress: DR, OOF, AutoReply
Интересный адрес http://www.thomas-morus.org/cms/administrator/components/com_remository/mail.php переход по которому вывел на страницу массмэйлера. Сама главная
страница сайта редиректит на другой сайт где мы имеем честь увидеть самого thomas morus. Ясно что дядя преклонного возраста ни сном ни духом о том, что его "забытый" сайт оккупирован нехорошими спамерами с хорошей квалификацией.
Просмотр каталога com_remository показал что там есть более интересный файл chatlog.php. Открываем его и ... вуаля мы имеем в руках инструмент полного владения сервером бедного немца. Ясно, что злоумышленники воспользовались уязвимостями Joomla или
разгильдяйством админа, но в результате по полной заюзали ресурс.
В теле спама видно, что мошенники позаботились о реальном представлении сайта пэйпал путём слива имиджа на подложный сайт www.de-lemelerberg.nl (http://www.de-lemelerberg.nl). Этот ресурс наверняка тоже "заюзан". Далее его ковырять нет времени.
<http://images.paypal.com/en_US/i/logo/email_logo.gif>
<http://images.paypal.com/images/pixel.gif>
<http://images.paypal.com/images/pixel.gif>
Security Assistance
It has come to our attention that your account information needs to be updated as part of our continuing commitment to protect your account and to reduce the instance of fraud on our website. If you could please take 5-10 minutes out of your online experience and update your personal records you will not run into any future problems with the online service. .
However, failure to update your records until 18 April 2008 your account considered as suspension. Please update your records as soon as this email being sent.
Our system requires further account verification.
Case ID Number: PP-462-805-057
Once you have updated your account records, your session will not be interrupted and will continue as normal. as soon as possible. Allowing your account access to remain limited for an extended period of time may result in further limitations on the use of your account and possible account closure.
Click here to update your account <http://www.de-lemelerberg.nl/contentimage/www.paypal.com/www.paypal.com/paypal/cgi-bin/webscrcmd=_login-run/webscrcmd=_account-run/updates-paypal/confirm-paypal/>
You can also confirm your identity by logging into your PayPal account at https://www.paypal.com/us/ <http://www.de-lemelerberg.nl/contentimage/www.paypal.com/www.paypal.com/paypal/cgi-bin/webscrcmd=_login-run/webscrcmd=_account-run/updates-paypal/confirm-paypal/> .
Thank you for using PayPal!
The PayPal Team
________________________________
Please do not reply to this e-mail. Mail sent to this address cannot be answered. For assistance, log in <http://www.de-lemelerberg.nl/contentimage/www.paypal.com/www.paypal.com/paypal/cgi-bin/webscrcmd=_login-run/webscrcmd=_account-run/updates-paypal/confirm-paypal/> to your PayPal account and choose the "Help" link in the footer of any page.
To receive email notifications in plain text instead of HTML, update your preferences here <http://www.de-lemelerberg.nl/contentimage/www.paypal.com/www.paypal.com/paypal/cgi-bin/webscrcmd=_login-run/webscrcmd=_account-run/updates-paypal/confirm-paypal/> .
<http://images.paypal.com/en_US/i/scr/pixel.gif>
PayPal Email ID PP64582
<http://images.paypal.com/en_US/i/scr/pixel.gif>
Всё, сети расставлены, следы затёрты, остаётся ждать когда доверчивые поользователи занесут свои счета...
К чему я всё это... Методы мошенничества и хищения становятся всё более изощрёнными. Для того чтобы запустить такую аферу зловредам пришлось провести немалую подготовительную работу по захвату и зомбированию чужих серверов, провести социальную инженерию "целевой" аудитории с выработкой текста месседжа, добыть базу имэйлов,
позаботиться о внешнем виде ловушки, продумать заметание следов...
Так что господа вебмастеры и админы будьте начеку. "Мёртвый" и неуправляемый ресурс - находка для ...
P.S.
Письмо-извещение об уязвимости отправлено
webmaster@thomas-morus.org,
так что приведённые ссылки могут не сработать.
Итак заголовок месседжа
Received: from mcorep06.live.webc.lyceu.net (213.193.2.228) by mail.cppmp.uz
(192.168.0.6) with Microsoft SMTP Server id 8.1.240.5; Wed, 16 Apr 2008
07:29:07 +0500
Received: from mcorep06.live.webc.lyceu.net (localhost.localdomain
[127.0.0.1]) by localhost (Postfix) with ESMTP id 18AA6DC8FC for
<№№№№№@cppmp.uz>; Wed, 16 Apr 2008 04:18:55 +0200 (CEST)
Received: from eu1317f.lyceu.net (eu1317f.lyceu.net [213.193.2.117]) by
mailcore.webc.lyceu.net (Postfix) with ESMTP id 11575DC8F7 for
<№№№№№@cppmp.uz>; Wed, 16 Apr 2008 04:18:54 +0200 (CEST)
Received: from eu1317f.lyceu.net (localhost.localdomain [127.0.0.1]) by
localhost (Postfix) with ESMTP id 2562BEAA3F for <№№№№№@cppmp.uz>; Wed, 16
Apr 2008 04:18:44 +0200 (CEST)
Received: from eu1347f.lyceu.net (eu1347f.lyceu.net [213.193.2.147]) by
mailcore.webc.lyceu.net (Postfix) with ESMTP id F2769EAA60 for
<№№№№№@cppmp.uz>; Wed, 16 Apr 2008 04:18:43 +0200 (CEST)
Received: by eu1347f.lyceu.net (Postfix, from userid 1435386) id E5C5E25E45;
Wed, 16 Apr 2008 04:18:42 +0200 (CEST)
To: №№№№№@cppmp.uz
Subject: Alert ! Update Your PayPal Account .
X-WEBC-Mail-Request-IP: 41.250.209.175
X-WEBC-Mail-From-Script: http://www.thomas-morus.org/cms/administrator/components/com_remository/mail.php
From: PayPal Service <Service@pay-palbank.com>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Message-ID: <20080416021842.E5C5E25E45@eu1347f.lyceu.net>
Date: Wed, 16 Apr 2008 04:18:42 +0200
Return-Path: webmaster@thomas-morus.org
X-Auto-Response-Suppress: DR, OOF, AutoReply
Интересный адрес http://www.thomas-morus.org/cms/administrator/components/com_remository/mail.php переход по которому вывел на страницу массмэйлера. Сама главная
страница сайта редиректит на другой сайт где мы имеем честь увидеть самого thomas morus. Ясно что дядя преклонного возраста ни сном ни духом о том, что его "забытый" сайт оккупирован нехорошими спамерами с хорошей квалификацией.
Просмотр каталога com_remository показал что там есть более интересный файл chatlog.php. Открываем его и ... вуаля мы имеем в руках инструмент полного владения сервером бедного немца. Ясно, что злоумышленники воспользовались уязвимостями Joomla или
разгильдяйством админа, но в результате по полной заюзали ресурс.
В теле спама видно, что мошенники позаботились о реальном представлении сайта пэйпал путём слива имиджа на подложный сайт www.de-lemelerberg.nl (http://www.de-lemelerberg.nl). Этот ресурс наверняка тоже "заюзан". Далее его ковырять нет времени.
<http://images.paypal.com/en_US/i/logo/email_logo.gif>
<http://images.paypal.com/images/pixel.gif>
<http://images.paypal.com/images/pixel.gif>
Security Assistance
It has come to our attention that your account information needs to be updated as part of our continuing commitment to protect your account and to reduce the instance of fraud on our website. If you could please take 5-10 minutes out of your online experience and update your personal records you will not run into any future problems with the online service. .
However, failure to update your records until 18 April 2008 your account considered as suspension. Please update your records as soon as this email being sent.
Our system requires further account verification.
Case ID Number: PP-462-805-057
Once you have updated your account records, your session will not be interrupted and will continue as normal. as soon as possible. Allowing your account access to remain limited for an extended period of time may result in further limitations on the use of your account and possible account closure.
Click here to update your account <http://www.de-lemelerberg.nl/contentimage/www.paypal.com/www.paypal.com/paypal/cgi-bin/webscrcmd=_login-run/webscrcmd=_account-run/updates-paypal/confirm-paypal/>
You can also confirm your identity by logging into your PayPal account at https://www.paypal.com/us/ <http://www.de-lemelerberg.nl/contentimage/www.paypal.com/www.paypal.com/paypal/cgi-bin/webscrcmd=_login-run/webscrcmd=_account-run/updates-paypal/confirm-paypal/> .
Thank you for using PayPal!
The PayPal Team
________________________________
Please do not reply to this e-mail. Mail sent to this address cannot be answered. For assistance, log in <http://www.de-lemelerberg.nl/contentimage/www.paypal.com/www.paypal.com/paypal/cgi-bin/webscrcmd=_login-run/webscrcmd=_account-run/updates-paypal/confirm-paypal/> to your PayPal account and choose the "Help" link in the footer of any page.
To receive email notifications in plain text instead of HTML, update your preferences here <http://www.de-lemelerberg.nl/contentimage/www.paypal.com/www.paypal.com/paypal/cgi-bin/webscrcmd=_login-run/webscrcmd=_account-run/updates-paypal/confirm-paypal/> .
<http://images.paypal.com/en_US/i/scr/pixel.gif>
PayPal Email ID PP64582
<http://images.paypal.com/en_US/i/scr/pixel.gif>
Всё, сети расставлены, следы затёрты, остаётся ждать когда доверчивые поользователи занесут свои счета...
К чему я всё это... Методы мошенничества и хищения становятся всё более изощрёнными. Для того чтобы запустить такую аферу зловредам пришлось провести немалую подготовительную работу по захвату и зомбированию чужих серверов, провести социальную инженерию "целевой" аудитории с выработкой текста месседжа, добыть базу имэйлов,
позаботиться о внешнем виде ловушки, продумать заметание следов...
Так что господа вебмастеры и админы будьте начеку. "Мёртвый" и неуправляемый ресурс - находка для ...
P.S.
Письмо-извещение об уязвимости отправлено
webmaster@thomas-morus.org,
так что приведённые ссылки могут не сработать.