Фишинг по e-mail (вирусы-трояны) - как побороть любопытство и не открыть вложения?

[Sapsan932]

14.02.2021 в 14:53, Sapsan932 сказал:

  P.S. Надо будет блог опубликовать а-ля "как выглядит фишинг" со скринами таких (открытых уже) писем

 

23 часа назад, kmscom сказал:

такой блог существует, он ежеквартально публикует отчет https://securelist.ru/category/spam-and-phishing-reports/
примеры писем тоже прилагаются

 

Спасибо за ссылку блог )

Это толстый намёк на жирный обстоятельства, что раз блог с подобной тематикой существует, то людям будет не интересно почитать и посмотреть примеры моих фишинговых писем,  например, таких (на скринах ниже), это самые простенькие, без заморочек, таких, как номеров квитанций, вложений, поддельного оформления сайтов внутри письма и т.п.)

 

[kmscom]

1 минуту назад, Sapsan932 сказал:

Это толстый намёк

я никаких намеков не делал, только констатировал факт, что блог есть

[Sapsan932]

1 час назад, kmscom сказал:

я никаких намеков не делал, только констатировал факт, что блог есть

Тогда спасибо ещё раз ) Блог  интересный, почитал, посмотрел, добавил в закладки

 

Вот тут говорили про внимательность к письмам... Иногда бывает достаточно сложно это определить. Вот (ниже скрины) пример на внимательность - уведомления от Facebook - тоже из моей почты. Вообще не понятно на первый взгляд: фишинг - не фишинг. Просмотр почты, просто делаю сортировку по отправителю, там гора идентичных (на первый взгляд) непрочитанных уведомлений-рекомендаций, как обычно шлёт Facebook - письма стоят рядом. Вот только, если в одном случае наводишь мышкой на Facebook, то выдаёт notification@facebookmail.com, то в другом случае при наведении на соседнее письмо выдаёт notification+kjdkijkiiudi@facebook.mail.com. Если специально не раскрывать имени отправителя, то разницы не заметно. И так через одно письмо. Странно ещё то, что приходящие уведомления от Facebook как от notification@facebookmail.com, так и от notification+kjdkijkiiudi@facebook.mail.com идут в качестве ответа/ответного письма от noreply@facebookmail.com (пятый скрин). Помнится, удивлялся, по какой такой причине меня вдруг неожиданно заблокировали в Facebook

 

 

 

PS:

На самом деле с почтой беда... Видимо, почта была взломана в своё время и даже использовалась кем-то для рассылки фишинга. Но в почте просто какой-то клондайк фишинга на всевозможные тематики. Я никогда и нигде такого не видел. Что с этим делать - непонятно. Почта важная. Удалять её, перенастраивать настройки безопасности, фильтрации...

 

Вишенка на торт сей фишинговой эпопеи - это когда от PayPal якобы пришло письмо. Фишка в том, что, если нажать на PayPal, то я там увижу свой адрес, как в качестве отправителя, так в качестве и получателя. Т.е. мне же фишинг с моего же адреса... Вот это письмо от PayPal (скрин ниже):

 

Наверное, надо было тему не в беседке заводить, а в разделе "кто виноват и что с этим делать" ) Разгребаю теперь...

[Sapfira]

3 часа назад, Sapsan932 сказал:

пример на внимательность - уведомления от Facebook - тоже из моей почты. Вообще не понятно на первый взгляд: фишинг - не фишинг.

Уведомления от соцсетей можно вообще не открывать, даже если они реальные. Всё равно, когда зайдёте на Facebook, там все эти уведомления и увидите.

[Sapsan932]

30 минут назад, Sapfira сказал:

Уведомления от соцсетей можно вообще не открывать, даже если они реальные. Всё равно, когда зайдёте на Facebook, там все эти уведомления и увидите.

Так они и не были открытые ) Не открывал, накопилось, почту чищу, размер ограничен.

Однако, в случае, если тебя по абсолютно неведомой причине заблокировали на Facebook или в другой какой сети, то единственный вариант отписаться от таких уведомлений - это как раз таки открыть такое письмо от соцсетей с тем, что найти там и нажать на ссылку "откажитесь от подписки" (когда регился где-то давно и не помнишь даже пару логин-пароль). Вопрос в том, что ты не можешь знать, это нормальная ссылка на отписку или нет. Но это ладно, при отписке на других ресурсах при оформлении процедуры отписки часто просит ввести твой емейл. Вроде как всё нормально, сайт официальный (сменяющиеся редиректы в адресной строке только настораживают).

 

Как насчёт прокомментировать, что мне фишинг пришел с моего же адреса? Что в таких случаях делают?

 

 

К слову, ещё один момент заметил. Фишинга, наверное, касается в меньшей степени, это постольку-поскольку. В этой почте - захожу в емейл по защищённому соединению https (скрин 1). Но спустя какое-то время работы в почте (по разному, может быть минут через 10, например), щит в адресной строке меняется и замочек меняется на желтый треугольник, сообщая, что этот сайт содержит незащищённое соединение, такое, как изображения (скрин 2). Обновляюсь, снова всё в порядке, щит, замок, защищённое соединение. Проходит минут 10 - снова появляется желтый треугольник и не пропадает, пока не обновишься. Странно как то... Не должно так быть.

 

 

[regist]

46 минут назад, Sapsan932 сказал:

единственный вариант отписаться от таких уведомлений - это как раз таки открыть такое письмо от соцсетей с тем, что найти там и нажать на ссылку "откажитесь от подписки" (когда регился где-то давно и не помнишь даже пару логин-пароль). Вопрос в том, что ты не можешь знать, это нормальная ссылка на отписку или нет.

Вроде в некоторых почтах есть функция управления рассылками и возможность отписаться от рассылки не заходя в письмо. Думаю это безопасней.

47 минут назад, Sapsan932 сказал:

Как насчёт прокомментировать, что мне фишинг пришел с моего же адреса?

Отправитель элементарно подменяется. Другое дело, что такое письмо любая нормальная почта сразу в спам должна поместить.

48 минут назад, Sapsan932 сказал:

Проходит минут 10 - снова появляется желтый треугольник и не пропадает, пока не обновишься. Странно как то... Не должно так быть.

Через десять минут загружается что-то дополнительно, может даже просто какая-то реклама в рекламного блоке от почты.

[Sapsan932]

2 часа назад, regist сказал:

Отправитель элементарно подменяется.

Что имеется ввиду, где именно подменяется? Подмена - маскировка, что письмо якобы от PayPal (как на скрине выше в посте), но наведя на PayPal вижу, что фишинговое письмо пришло мне на почту с моей же почты. Или то, что я вижу, что пришло якобы от меня же - пришло не от меня? Не верить своим глазам?

 

 

А вот ещё момент. Другое письмо. По всем признакам фишинговый мейл (скрины ниже) - пришел якобы от банка UBS (известнейший крупный банк), но на самом деле если навести на отправителя UBS выдаёт непонятный kolst@kpnqwest.it  Примерно свободным переводом переведу с немецкого на русский содержание письма для удобства. Тема письма "изменение пароля". Суть письма: "Уважаемый клиент, обратите внимание, что срок действия пароля доступа к порталу истекает через 1 день. Смена пароля? обязательно для доступа к услугам портала. Как выбрать новый пароль? Посмотрите, это вы найдете в сообщении в формате PDF. Если пароль не будет изменён, то пользователь будет автоматически заблокирован системой". Благодарим за понимание, все права защищены и т.д."  Как мне видится, расчёт на то, что попадут на клиента банка UBS и клиент кликнет на прикреплённый pdf файл. Вот только я скачал этот pdf-файл, а вирусов в нём KTS не обнаружено. Я загрузил pdf файл на онлайн-портал проверки вирусов от Касперского -там тоже ничего не обнаружило . Но я всё же думаю, что в файле pdf - ссылка вирусная (по ней перейти не решился). Файл pdf не открывал, а ссылку увидел посредством включения опции предпросмотра в проводнике "вид - область просмотра". Безопасный файл по версии Kacперского UBS Schweiz.pdf прикрепляю. Посмотрите его пожалуйста...

UBS Schweiz.pdf

[Sapsan932]

17 часов назад, Sapsan932 сказал:

А вот ещё... Другое письмо. По всем признакам фишинговый мейл ... расчёт на то, что попадут на клиента UBS-банка и клиент кликнет на прикреплённый pdf файл. Вот только я скачал этот pdf-файл, а вирусов в нём KTS не обнаружено. Я загрузил pdf файл на онлайн-портал проверки вирусов от Касперского -там тоже ничего не обнаружило . Но я всё же думаю, что в файле pdf - ссылка вирусная (по ней перейти не решился).Безопасный файл по версии Kacперского UBS Schweiz.pdf прикрепляю. Посмотрите его пожалуйста...

Никто файл не загрузил не посмотрел конечно же ), одна имеющаяся загрузка - это моя же ) Файл pdf открыл, посмотрел, любопытсво удовлетворил, там ссылка внутри файла конечно же не на портал UBS банка (UBS холдинг управляет самым большим кол-вом частного капитала в мире, среди его клиентов половина миллиардеров мира), а какой-то левый абсолютно сайт с незащищённым соединением. Т.е., можем говорить о том, что никакие фильтры в почте и никакие самые лучшие антивирусы тебе не скажут, что во вложенном pdf-файле поддельная ссылка, если ты будешь введён в заблуждение и уверен, что письмо пришло от какой-то компании.

 

__________________

А вот ещё интересный фишинг из почты: сделан весьма топорно, но примечателен тем, что, во-первых, рассылается от имени полиции, а во-вторых - в письме прикреплено сразу два фишинговых файла (zip и docx), в каждом из которых - разные вирусы предназначенные для работы в паре (видимо, чтобы наверняка для пущей эффективности): в файле docx - сидит Trojan-Downloader.WinLNK.Agent.dj, а в файле zip сидит HEUR:Trojan-Spy.OSX.Artodoc.c Ссылка на один: https://threats.kaspersky.com/ru/class/Trojan-Downloader/  и ссылка на второй:  https://threats.kaspersky.com/ru/class/Trojan-Spy/  Письмо выглядит так (скрин ниже):

 

Письмо пришло от кантональной полиции (ну люди ездят, живут во всяких странах подолгу, путешествуют, регистрируются там, оставляют данные, и т.д., поэтому такие письма, например, не удивляют, если человек в данной стране сейчас находится). В письме текст (переведу на русский) типа: "добрый день, вы нарушили правила дорожного движения, фотофиксация и подробная информация о штрафе прилагается". Учитывая, что для Европы такое сообщение от полиции на емейл с автофиксацией такое же обыденное дело, как очередная высылка квитанции от страховой, то расчёт на то, что поведутся не вникая откроют желая посмотреть, где нарушил, что за такой штраф полиция прислала. В интересном мире мы живём )) 

[regist]

2 часа назад, Sapsan932 сказал:

Файл pdf открыл, посмотрел, любопытсво удовлетворил, там ссылка внутри файла конечно же не на портал UBS банка (UBS холдинг управляет самым большим кол-вом частного капитала в мире, среди его клиентов половина миллиардеров мира), а какой-то левый абсолютно сайт с незащищённым соединением.

По ссылке уже ошибка 404. Так что если бы даже и перешли бы проблемы не было бы. А сам сайт на турецком, что явно не сходится с содержанием письма на немецком.
А pdf создали с помощью онлайн сервиса по конвертации HTML в PDF.

 

[Sapsan932]

А вот ещё одно фишинговое письмо из почты (скрин ниже). Тема письма "интернет-магазины". Текст - примерно такой (если на русский перевести):

"Страхование онлайн-покупок Номер файла: 094780065 Привет, Ваша последняя покупка была оплачена дважды. Мы пытались связаться с вашим банком для возврата средств, но, к сожалению, безуспешно. Для немедленной регуляризации выполните следующие действия: фишинговая ссылочка. После получения вашего запроса вы получите возмещение в течение 48 часов. С уважением, Обслуживание клиентов"

 

Вопрос: почему, как вообще получается, что "получатель" - какой-то другой е-мейл, но письмо, тем не менее, пришло на адрес мне? Если подмена, то как это, если получатель - емейл Вася, а приходит на Емейл Пети. А мой адрес тут каким боком? Или я не вижу свой адре полчателя, потому, что в скрытую копию отправителем поставлен, или передресация с чьей-то  другой почты. Конечно, в Black List такое кидаю и в папочку спам для обучения. Но любопытен сам механизм )