Уязвимости и их устранение. Защита от разных способов взлома.

Мошенническая рассылка о блокировке домена

Александр » 27 ноя 2018, 19:21

Мне (впрочем, думаю и другим пользователям интернета) настолько часто приходят мошеннические письма со всякими угрозами, что я почти не обращаю на них внимания. И пишу про это может 1 раз на 2000 таких писем ;)
Я уже подумал, что может какой-то проект создать типа «Бюллетень безопасности». А как ещё, я варюсь в этой среде, мониторю кучу сайтов, у меня куча всяких аккаунтов, и т. п. (не хочу вдаваться в подробности :D ). Круче меня только специалисты (не знаю, есть ли реально ощутимое количество таких индивидуалов, не пизд-олов ;) ..) и компании занимающиеся информационной безопасностью.
Короче, этот пост решил написать т. к. не очень приятное совпадение произошло (первый раз именно эта) полученная мошенническая рассылка меня разозлила.. т. к. по совпадению не к месту пришла.
Предистория такова:
Я тут немного на хостера наехал своего в соц сетях, действительно немного, по-дружески (по поводу SSL-сертификатов). И на следующий день даже получил ответ, который более чем меня устроил.
Но с утра (до получения ответа) я, по совпадению, получил мошенническое письмо, что домен «tamirov.ru» сегодня будет заблокирован.. Сразу тупая мысль пришла в голову, что в нашем полубандитском государстве меня решили проучить…
В общем, мне на почту пришло письмо как бы от администратора домена RU-CENTER.
Уважаемый администратор домена!
Уведомляем Вас, что период регистрации домена tamirov.ru истек. Вам следует оплатить продление домена в течение одного рабочего дня с момента получения данного уведомления.
Оплатить
Обращаем внимание, что если в указанный срок платеж не будет произведен, делегирование доменного имени будет приостановлено. Домен будет удален из реестра и может быть зарегистрирован иным лицом.

Скан письма вымогателей:
Вымогатели оплаты за продление домена, письмо

В служебных заголовках письма стояло: Return-path: <a0076145@geri.from.sh>
Ссылка на кнопке «Оплатить» вела на какой-то несчастный взломанный сайт
"http://supermarket58.ru/wp-admin/css/colors/form/payment.php?id=0fg57f7k4hduvb3n7ce6x8t4kad73647"
Я не хожу по подобным ссылкам напрямую, проверяю их через прокcи-сервисы, в частности, http ://netrenderer.com показал, что ссылка вела на Yandex.Money (скорее всего).
Скан страницы, на которую вела ссылка вымогателей оплаты продления домена

К тому же, я знаю, что домен недавно продлевал. Оплаты они хотят..
В общем, будьте внимательны.
Александр
 
Сообщения: 397
Зарегистрирован: 20 мар 2014, 17:05

Вернуться в Безопасность