Перейти к содержанию

Фишинг по e-mail (вирусы-трояны) - как побороть любопытство и не открыть вложения?


Sapsan932

Рекомендуемые сообщения

14.02.2021 в 14:53, Sapsan932 сказал:

  P.S. Надо будет блог опубликовать а-ля "как выглядит фишинг" со скринами таких (открытых уже) писем

 

23 часа назад, kmscom сказал:

такой блог существует, он ежеквартально публикует отчет https://securelist.ru/category/spam-and-phishing-reports/
примеры писем тоже прилагаются

 

Спасибо за ссылку блог )

Это толстый намёк на жирный обстоятельства, что раз блог с подобной тематикой существует, то людям будет не интересно почитать и посмотреть примеры моих фишинговых писем,  например, таких (на скринах ниже), это самые простенькие, без заморочек, таких, как номеров квитанций, вложений, поддельного оформления сайтов внутри письма и т.п.)

 

фишинг от Apple 1.jpg

фишинг от Apple 2.jpg

фишинг от Apple 3.jpg

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, kmscom сказал:

я никаких намеков не делал, только констатировал факт, что блог есть

Тогда спасибо ещё раз ) Блог  интересный, почитал, посмотрел, добавил в закладки

 


Вот тут говорили про внимательность к письмам... Иногда бывает достаточно сложно это определить. Вот (ниже скрины) пример на внимательность - уведомления от Facebook - тоже из моей почты. Вообще не понятно на первый взгляд: фишинг - не фишинг. Просмотр почты, просто делаю сортировку по отправителю, там гора идентичных (на первый взгляд) непрочитанных уведомлений-рекомендаций, как обычно шлёт Facebook - письма стоят рядом. Вот только, если в одном случае наводишь мышкой на Facebook, то выдаёт notification@facebookmail.com, то в другом случае при наведении на соседнее письмо выдаёт notification+kjdkijkiiudi@facebook.mail.com. Если специально не раскрывать имени отправителя, то разницы не заметно. И так через одно письмо. Странно ещё то, что приходящие уведомления от Facebook как от notification@facebookmail.com, так и от notification+kjdkijkiiudi@facebook.mail.com идут в качестве ответа/ответного письма от noreply@facebookmail.com (пятый скрин). Помнится, удивлялся, по какой такой причине меня вдруг неожиданно заблокировали в Facebook

 

 

Facebook 1.jpg

Facebook 2.jpg

Facebook 3.jpg

Facebook 4.jpg

Facebook 5.jpg

 

PS:

На самом деле с почтой беда... Видимо, почта была взломана в своё время и даже использовалась кем-то для рассылки фишинга. Но в почте просто какой-то клондайк фишинга на всевозможные тематики. Я никогда и нигде такого не видел. Что с этим делать - непонятно. Почта важная. Удалять её, перенастраивать настройки безопасности, фильтрации...

 

Вишенка на торт сей фишинговой эпопеи - это когда от PayPal якобы пришло письмо. Фишка в том, что, если нажать на PayPal, то я там увижу свой адрес, как в качестве отправителя, так в качестве и получателя. Т.е. мне же фишинг с моего же адреса... Вот это письмо от PayPal (скрин ниже):

 

Наверное, надо было тему не в беседке заводить, а в разделе "кто виноват и что с этим делать" ) Разгребаю теперь...

1.jpg

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, Sapsan932 сказал:

пример на внимательность - уведомления от Facebook - тоже из моей почты. Вообще не понятно на первый взгляд: фишинг - не фишинг.

Уведомления от соцсетей можно вообще не открывать, даже если они реальные. Всё равно, когда зайдёте на Facebook, там все эти уведомления и увидите.

Ссылка на комментарий
Поделиться на другие сайты

30 минут назад, Sapfira сказал:

Уведомления от соцсетей можно вообще не открывать, даже если они реальные. Всё равно, когда зайдёте на Facebook, там все эти уведомления и увидите.

Так они и не были открытые ) Не открывал, накопилось, почту чищу, размер ограничен.

Однако, в случае, если тебя по абсолютно неведомой причине заблокировали на Facebook или в другой какой сети, то единственный вариант отписаться от таких уведомлений - это как раз таки открыть такое письмо от соцсетей с тем, что найти там и нажать на ссылку "откажитесь от подписки" (когда регился где-то давно и не помнишь даже пару логин-пароль). Вопрос в том, что ты не можешь знать, это нормальная ссылка на отписку или нет. Но это ладно, при отписке на других ресурсах при оформлении процедуры отписки часто просит ввести твой емейл. Вроде как всё нормально, сайт официальный (сменяющиеся редиректы в адресной строке только настораживают).

 

Как насчёт прокомментировать, что мне фишинг пришел с моего же адреса? Что в таких случаях делают?

 

 

К слову, ещё один момент заметил. Фишинга, наверное, касается в меньшей степени, это постольку-поскольку. В этой почте - захожу в емейл по защищённому соединению https (скрин 1). Но спустя какое-то время работы в почте (по разному, может быть минут через 10, например), щит в адресной строке меняется и замочек меняется на желтый треугольник, сообщая, что этот сайт содержит незащищённое соединение, такое, как изображения (скрин 2). Обновляюсь, снова всё в порядке, щит, замок, защищённое соединение. Проходит минут 10 - снова появляется желтый треугольник и не пропадает, пока не обновишься. Странно как то... Не должно так быть.

 

 

1.jpg

2.jpg

3.jpg

Ссылка на комментарий
Поделиться на другие сайты

46 минут назад, Sapsan932 сказал:

единственный вариант отписаться от таких уведомлений - это как раз таки открыть такое письмо от соцсетей с тем, что найти там и нажать на ссылку "откажитесь от подписки" (когда регился где-то давно и не помнишь даже пару логин-пароль). Вопрос в том, что ты не можешь знать, это нормальная ссылка на отписку или нет.

Вроде в некоторых почтах есть функция управления рассылками и возможность отписаться от рассылки не заходя в письмо. Думаю это безопасней.

47 минут назад, Sapsan932 сказал:

Как насчёт прокомментировать, что мне фишинг пришел с моего же адреса?

Отправитель элементарно подменяется. Другое дело, что такое письмо любая нормальная почта сразу в спам должна поместить.

48 минут назад, Sapsan932 сказал:

Проходит минут 10 - снова появляется желтый треугольник и не пропадает, пока не обновишься. Странно как то... Не должно так быть.

Через десять минут загружается что-то дополнительно, может даже просто какая-то реклама в рекламного блоке от почты.

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, regist сказал:

Отправитель элементарно подменяется.

Что имеется ввиду, где именно подменяется? Подмена - маскировка, что письмо якобы от PayPal (как на скрине выше в посте), но наведя на PayPal вижу, что фишинговое письмо пришло мне на почту с моей же почты. Или то, что я вижу, что пришло якобы от меня же - пришло не от меня? Не верить своим глазам?

 

 

А вот ещё момент. Другое письмо. По всем признакам фишинговый мейл (скрины ниже) - пришел якобы от банка UBS (известнейший крупный банк), но на самом деле если навести на отправителя UBS выдаёт непонятный kolst@kpnqwest.it  Примерно свободным переводом переведу с немецкого на русский содержание письма для удобства. Тема письма "изменение пароля". Суть письма: "Уважаемый клиент, обратите внимание, что срок действия пароля доступа к порталу истекает через 1 день. Смена пароля? обязательно для доступа к услугам портала. Как выбрать новый пароль? Посмотрите, это вы найдете в сообщении в формате PDF. Если пароль не будет изменён, то пользователь будет автоматически заблокирован системой". Благодарим за понимание, все права защищены и т.д."  Как мне видится, расчёт на то, что попадут на клиента банка UBS и клиент кликнет на прикреплённый pdf файл. Вот только я скачал этот pdf-файл, а вирусов в нём KTS не обнаружено. Я загрузил pdf файл на онлайн-портал проверки вирусов от Касперского -там тоже ничего не обнаружило . Но я всё же думаю, что в файле pdf - ссылка вирусная (по ней перейти не решился). Файл pdf не открывал, а ссылку увидел посредством включения опции предпросмотра в проводнике "вид - область просмотра". Безопасный файл по версии Kacперского UBS Schweiz.pdf прикрепляю. Посмотрите его пожалуйста...

от UBS пришло.jpg

Письмо внутри.jpg

Письмо внутри-реал адрес.png

UBS Schweiz.pdf

Ссылка на комментарий
Поделиться на другие сайты

17 часов назад, Sapsan932 сказал:

А вот ещё... Другое письмо. По всем признакам фишинговый мейл ... расчёт на то, что попадут на клиента UBS-банка и клиент кликнет на прикреплённый pdf файл. Вот только я скачал этот pdf-файл, а вирусов в нём KTS не обнаружено. Я загрузил pdf файл на онлайн-портал проверки вирусов от Касперского -там тоже ничего не обнаружило . Но я всё же думаю, что в файле pdf - ссылка вирусная (по ней перейти не решился).Безопасный файл по версии Kacперского UBS Schweiz.pdf прикрепляю. Посмотрите его пожалуйста...

Никто файл не загрузил не посмотрел конечно же ), одна имеющаяся загрузка - это моя же ) Файл pdf открыл, посмотрел, любопытсво удовлетворил, там ссылка внутри файла конечно же не на портал UBS банка (UBS холдинг управляет самым большим кол-вом частного капитала в мире, среди его клиентов половина миллиардеров мира), а какой-то левый абсолютно сайт с незащищённым соединением. Т.е., можем говорить о том, что никакие фильтры в почте и никакие самые лучшие антивирусы тебе не скажут, что во вложенном pdf-файле поддельная ссылка, если ты будешь введён в заблуждение и уверен, что письмо пришло от какой-то компании.

 

__________________

А вот ещё интересный фишинг из почты: сделан весьма топорно, но примечателен тем, что, во-первых, рассылается от имени полиции, а во-вторых - в письме прикреплено сразу два фишинговых файла (zip и docx), в каждом из которых - разные вирусы предназначенные для работы в паре (видимо, чтобы наверняка для пущей эффективности): в файле docx - сидит Trojan-Downloader.WinLNK.Agent.dj, а в файле zip сидит HEUR:Trojan-Spy.OSX.Artodoc.c Ссылка на один: https://threats.kaspersky.com/ru/class/Trojan-Downloader/  и ссылка на второй:  https://threats.kaspersky.com/ru/class/Trojan-Spy/  Письмо выглядит так (скрин ниже):

 

Письмо пришло от кантональной полиции (ну люди ездят, живут во всяких странах подолгу, путешествуют, регистрируются там, оставляют данные, и т.д., поэтому такие письма, например, не удивляют, если человек в данной стране сейчас находится). В письме текст (переведу на русский) типа: "добрый день, вы нарушили правила дорожного движения, фотофиксация и подробная информация о штрафе прилагается". Учитывая, что для Европы такое сообщение от полиции на емейл с автофиксацией такое же обыденное дело, как очередная высылка квитанции от страховой, то расчёт на то, что поведутся не вникая откроют желая посмотреть, где нарушил, что за такой штраф полиция прислала. В интересном мире мы живём )) 

письмо пришло.jpg

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, Sapsan932 сказал:

Файл pdf открыл, посмотрел, любопытсво удовлетворил, там ссылка внутри файла конечно же не на портал UBS банка (UBS холдинг управляет самым большим кол-вом частного капитала в мире, среди его клиентов половина миллиардеров мира), а какой-то левый абсолютно сайт с незащищённым соединением.

По ссылке уже ошибка 404. Так что если бы даже и перешли бы проблемы не было бы. А сам сайт на турецком, что явно не сходится с содержанием письма на немецком.
А pdf создали с помощью онлайн сервиса по конвертации HTML в PDF.

 

Ссылка на комментарий
Поделиться на другие сайты

А вот ещё одно фишинговое письмо из почты (скрин ниже). Тема письма "интернет-магазины". Текст - примерно такой (если на русский перевести):

"Страхование онлайн-покупок Номер файла: 094780065 Привет, Ваша последняя покупка была оплачена дважды. Мы пытались связаться с вашим банком для возврата средств, но, к сожалению, безуспешно. Для немедленной регуляризации выполните следующие действия: фишинговая ссылочка. После получения вашего запроса вы получите возмещение в течение 48 часов. С уважением, Обслуживание клиентов"

 

Вопрос: почему, как вообще получается, что "получатель" - какой-то другой е-мейл, но письмо, тем не менее, пришло на адрес мне? Если подмена, то как это, если получатель - емейл Вася, а приходит на Емейл Пети. А мой адрес тут каким боком? Или я не вижу свой адре полчателя, потому, что в скрытую копию отправителем поставлен, или передресация с чьей-то  другой почты. Конечно, в Black List такое кидаю и в папочку спам для обучения. Но любопытен сам механизм )

Скрин письма.jpg

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Tetis
      От Tetis
      Здравствуйте. Винда 10,  антивирус 360 Total Security, каким то образом у меня появился браузер 360 от этого китайского антивируса, примерно 10 дней назад. 14.10.24  появилась программа WPS office. Появились сами. Решил удалить WPS office, но их небыло в списках программ. Удалил с Revo Uninstaller. Перестал работать microsoft office, файлы не открывались. Я скачал 3 варианта microsoft office 2013 в интернете, все пробовал установить, получилось только с 1. Также скачивал прогру для подбора ключа, в итоге подобрал, но потом он слетел. Офис заработал. Комп стал медленее работать, постоянно на максимум вентилятор, греется, жесткий диск крутит . Включил сегодня антивирус, обнаружил вирус updater.exe infected with Trojan.Siggen29.46190, он его удаляет, а вирус постоянно снова появляется в папке C:\ProgramData\Google\Chrome\updater.exe , появляются окна что троян, нажимаю удалить... и так бескнечно, каждые 5 сек. появляется окно антивируса с трояном, я нажимаю удалить.  Dr.Web CureIt ничего не находит, скачал Eset Online Scanner и указал проверку диска С, он нашел вирусы, сейчас процесс проверки пока пишу. CollectionLog-2024.10.20-21.33.zip Что делать, подскажите пожалуйста.
       
    • pokrac
      От pokrac
      Давал ребенкоу поиграть в компьютер, что то скачивал, по итогу ночью открываю компьютер, а у меня все файлы с префиксом Lock. ничего не открывается, ну и смена обоев, с тг аккаунтом для решения вопроса
    • Magisky
      От Magisky
      Когда подцепил вирус я скачал kaspersky total security, запустил полную проверку и обнаружил 1500+ вирусов, затем я увидел, что каждые 5 минут мне приходит уведомление и пишет что хрому запрещен доступ к камере (я запретил доступ ко всем программам), затем игре запрещен доступ, затем программе для общения которая закрыта. Я переустановил windows и после перезагрузки я вижу 5+- окон которые открылись и закрылись быстро, я снова скачиваю kaspersky, также приходят уведомления о доступе к камере, но проблема еще в том, что kaspersky разрешает доступ к микрофону, и это нельзя запретить. Прошу помочь. Логи ниже:
       
    • ILFR82812
      От ILFR82812
      Похоже что вирус попал из саморазахривирующегося архива, точно сказать не могу. Не открывался KVRT, я его переименовал и он открылся и сразу закрылся, в безопасном режиме тоже не запускается.
    • Barbaris
      От Barbaris
      Кратко говоря, после установки игры одновременно с ним установился и майнер (это я понял, когда в интернете покопался и нашел аналогичные решенные случаи у Вас на сайте). После разных методик и через безопасный режим удалось через Dr.Web удалить троян. Потом скачав Av block удалил Джона. Но после каждой перезагрузки он появляется, видимо, заново, потому что всегда Av block что-то находит и просит перезагрузиться, а Dr.Web больше не находит. Прикрепил отчет от утилиты Kaspersky Get System Info. Так же приложу результаты AutoLogger. Еще файлы из AV_block_remove. И так же отчеты от  Farbar Recovery Scan Tool. И на всякий случай из SecurityCheck.
      GSI6_USER-PC_Professional_12_21_2022_02_38_51.zip
      https://drive.google.com/drive/folders/1in6tdHANmlc_V8FnUW17BP-nmNgBuHT1?usp=share_link - autologger
      https://drive.google.com/drive/folders/1XpZUO9iCxYIzhpJpiTOYoFE-BInea3bR?usp=share_link - av block
      FRST.txt Addition.txt
      SecurityCheck.txt
×
×
  • Создать...