Перейти к содержанию

Фишинг по e-mail (вирусы-трояны) - как побороть любопытство и не открыть вложения?


Sapsan932

Рекомендуемые сообщения

14.02.2021 в 14:53, Sapsan932 сказал:

  P.S. Надо будет блог опубликовать а-ля "как выглядит фишинг" со скринами таких (открытых уже) писем

 

23 часа назад, kmscom сказал:

такой блог существует, он ежеквартально публикует отчет https://securelist.ru/category/spam-and-phishing-reports/
примеры писем тоже прилагаются

 

Спасибо за ссылку блог )

Это толстый намёк на жирный обстоятельства, что раз блог с подобной тематикой существует, то людям будет не интересно почитать и посмотреть примеры моих фишинговых писем,  например, таких (на скринах ниже), это самые простенькие, без заморочек, таких, как номеров квитанций, вложений, поддельного оформления сайтов внутри письма и т.п.)

 

фишинг от Apple 1.jpg

фишинг от Apple 2.jpg

фишинг от Apple 3.jpg

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, kmscom сказал:

я никаких намеков не делал, только констатировал факт, что блог есть

Тогда спасибо ещё раз ) Блог  интересный, почитал, посмотрел, добавил в закладки

 


Вот тут говорили про внимательность к письмам... Иногда бывает достаточно сложно это определить. Вот (ниже скрины) пример на внимательность - уведомления от Facebook - тоже из моей почты. Вообще не понятно на первый взгляд: фишинг - не фишинг. Просмотр почты, просто делаю сортировку по отправителю, там гора идентичных (на первый взгляд) непрочитанных уведомлений-рекомендаций, как обычно шлёт Facebook - письма стоят рядом. Вот только, если в одном случае наводишь мышкой на Facebook, то выдаёт notification@facebookmail.com, то в другом случае при наведении на соседнее письмо выдаёт notification+kjdkijkiiudi@facebook.mail.com. Если специально не раскрывать имени отправителя, то разницы не заметно. И так через одно письмо. Странно ещё то, что приходящие уведомления от Facebook как от notification@facebookmail.com, так и от notification+kjdkijkiiudi@facebook.mail.com идут в качестве ответа/ответного письма от noreply@facebookmail.com (пятый скрин). Помнится, удивлялся, по какой такой причине меня вдруг неожиданно заблокировали в Facebook

 

 

Facebook 1.jpg

Facebook 2.jpg

Facebook 3.jpg

Facebook 4.jpg

Facebook 5.jpg

 

PS:

На самом деле с почтой беда... Видимо, почта была взломана в своё время и даже использовалась кем-то для рассылки фишинга. Но в почте просто какой-то клондайк фишинга на всевозможные тематики. Я никогда и нигде такого не видел. Что с этим делать - непонятно. Почта важная. Удалять её, перенастраивать настройки безопасности, фильтрации...

 

Вишенка на торт сей фишинговой эпопеи - это когда от PayPal якобы пришло письмо. Фишка в том, что, если нажать на PayPal, то я там увижу свой адрес, как в качестве отправителя, так в качестве и получателя. Т.е. мне же фишинг с моего же адреса... Вот это письмо от PayPal (скрин ниже):

 

Наверное, надо было тему не в беседке заводить, а в разделе "кто виноват и что с этим делать" ) Разгребаю теперь...

1.jpg

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, Sapsan932 сказал:

пример на внимательность - уведомления от Facebook - тоже из моей почты. Вообще не понятно на первый взгляд: фишинг - не фишинг.

Уведомления от соцсетей можно вообще не открывать, даже если они реальные. Всё равно, когда зайдёте на Facebook, там все эти уведомления и увидите.

Ссылка на комментарий
Поделиться на другие сайты

30 минут назад, Sapfira сказал:

Уведомления от соцсетей можно вообще не открывать, даже если они реальные. Всё равно, когда зайдёте на Facebook, там все эти уведомления и увидите.

Так они и не были открытые ) Не открывал, накопилось, почту чищу, размер ограничен.

Однако, в случае, если тебя по абсолютно неведомой причине заблокировали на Facebook или в другой какой сети, то единственный вариант отписаться от таких уведомлений - это как раз таки открыть такое письмо от соцсетей с тем, что найти там и нажать на ссылку "откажитесь от подписки" (когда регился где-то давно и не помнишь даже пару логин-пароль). Вопрос в том, что ты не можешь знать, это нормальная ссылка на отписку или нет. Но это ладно, при отписке на других ресурсах при оформлении процедуры отписки часто просит ввести твой емейл. Вроде как всё нормально, сайт официальный (сменяющиеся редиректы в адресной строке только настораживают).

 

Как насчёт прокомментировать, что мне фишинг пришел с моего же адреса? Что в таких случаях делают?

 

 

К слову, ещё один момент заметил. Фишинга, наверное, касается в меньшей степени, это постольку-поскольку. В этой почте - захожу в емейл по защищённому соединению https (скрин 1). Но спустя какое-то время работы в почте (по разному, может быть минут через 10, например), щит в адресной строке меняется и замочек меняется на желтый треугольник, сообщая, что этот сайт содержит незащищённое соединение, такое, как изображения (скрин 2). Обновляюсь, снова всё в порядке, щит, замок, защищённое соединение. Проходит минут 10 - снова появляется желтый треугольник и не пропадает, пока не обновишься. Странно как то... Не должно так быть.

 

 

1.jpg

2.jpg

3.jpg

Ссылка на комментарий
Поделиться на другие сайты

46 минут назад, Sapsan932 сказал:

единственный вариант отписаться от таких уведомлений - это как раз таки открыть такое письмо от соцсетей с тем, что найти там и нажать на ссылку "откажитесь от подписки" (когда регился где-то давно и не помнишь даже пару логин-пароль). Вопрос в том, что ты не можешь знать, это нормальная ссылка на отписку или нет.

Вроде в некоторых почтах есть функция управления рассылками и возможность отписаться от рассылки не заходя в письмо. Думаю это безопасней.

47 минут назад, Sapsan932 сказал:

Как насчёт прокомментировать, что мне фишинг пришел с моего же адреса?

Отправитель элементарно подменяется. Другое дело, что такое письмо любая нормальная почта сразу в спам должна поместить.

48 минут назад, Sapsan932 сказал:

Проходит минут 10 - снова появляется желтый треугольник и не пропадает, пока не обновишься. Странно как то... Не должно так быть.

Через десять минут загружается что-то дополнительно, может даже просто какая-то реклама в рекламного блоке от почты.

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, regist сказал:

Отправитель элементарно подменяется.

Что имеется ввиду, где именно подменяется? Подмена - маскировка, что письмо якобы от PayPal (как на скрине выше в посте), но наведя на PayPal вижу, что фишинговое письмо пришло мне на почту с моей же почты. Или то, что я вижу, что пришло якобы от меня же - пришло не от меня? Не верить своим глазам?

 

 

А вот ещё момент. Другое письмо. По всем признакам фишинговый мейл (скрины ниже) - пришел якобы от банка UBS (известнейший крупный банк), но на самом деле если навести на отправителя UBS выдаёт непонятный kolst@kpnqwest.it  Примерно свободным переводом переведу с немецкого на русский содержание письма для удобства. Тема письма "изменение пароля". Суть письма: "Уважаемый клиент, обратите внимание, что срок действия пароля доступа к порталу истекает через 1 день. Смена пароля? обязательно для доступа к услугам портала. Как выбрать новый пароль? Посмотрите, это вы найдете в сообщении в формате PDF. Если пароль не будет изменён, то пользователь будет автоматически заблокирован системой". Благодарим за понимание, все права защищены и т.д."  Как мне видится, расчёт на то, что попадут на клиента банка UBS и клиент кликнет на прикреплённый pdf файл. Вот только я скачал этот pdf-файл, а вирусов в нём KTS не обнаружено. Я загрузил pdf файл на онлайн-портал проверки вирусов от Касперского -там тоже ничего не обнаружило . Но я всё же думаю, что в файле pdf - ссылка вирусная (по ней перейти не решился). Файл pdf не открывал, а ссылку увидел посредством включения опции предпросмотра в проводнике "вид - область просмотра". Безопасный файл по версии Kacперского UBS Schweiz.pdf прикрепляю. Посмотрите его пожалуйста...

от UBS пришло.jpg

Письмо внутри.jpg

Письмо внутри-реал адрес.png

UBS Schweiz.pdf

Ссылка на комментарий
Поделиться на другие сайты

17 часов назад, Sapsan932 сказал:

А вот ещё... Другое письмо. По всем признакам фишинговый мейл ... расчёт на то, что попадут на клиента UBS-банка и клиент кликнет на прикреплённый pdf файл. Вот только я скачал этот pdf-файл, а вирусов в нём KTS не обнаружено. Я загрузил pdf файл на онлайн-портал проверки вирусов от Касперского -там тоже ничего не обнаружило . Но я всё же думаю, что в файле pdf - ссылка вирусная (по ней перейти не решился).Безопасный файл по версии Kacперского UBS Schweiz.pdf прикрепляю. Посмотрите его пожалуйста...

Никто файл не загрузил не посмотрел конечно же ), одна имеющаяся загрузка - это моя же ) Файл pdf открыл, посмотрел, любопытсво удовлетворил, там ссылка внутри файла конечно же не на портал UBS банка (UBS холдинг управляет самым большим кол-вом частного капитала в мире, среди его клиентов половина миллиардеров мира), а какой-то левый абсолютно сайт с незащищённым соединением. Т.е., можем говорить о том, что никакие фильтры в почте и никакие самые лучшие антивирусы тебе не скажут, что во вложенном pdf-файле поддельная ссылка, если ты будешь введён в заблуждение и уверен, что письмо пришло от какой-то компании.

 

__________________

А вот ещё интересный фишинг из почты: сделан весьма топорно, но примечателен тем, что, во-первых, рассылается от имени полиции, а во-вторых - в письме прикреплено сразу два фишинговых файла (zip и docx), в каждом из которых - разные вирусы предназначенные для работы в паре (видимо, чтобы наверняка для пущей эффективности): в файле docx - сидит Trojan-Downloader.WinLNK.Agent.dj, а в файле zip сидит HEUR:Trojan-Spy.OSX.Artodoc.c Ссылка на один: https://threats.kaspersky.com/ru/class/Trojan-Downloader/  и ссылка на второй:  https://threats.kaspersky.com/ru/class/Trojan-Spy/  Письмо выглядит так (скрин ниже):

 

Письмо пришло от кантональной полиции (ну люди ездят, живут во всяких странах подолгу, путешествуют, регистрируются там, оставляют данные, и т.д., поэтому такие письма, например, не удивляют, если человек в данной стране сейчас находится). В письме текст (переведу на русский) типа: "добрый день, вы нарушили правила дорожного движения, фотофиксация и подробная информация о штрафе прилагается". Учитывая, что для Европы такое сообщение от полиции на емейл с автофиксацией такое же обыденное дело, как очередная высылка квитанции от страховой, то расчёт на то, что поведутся не вникая откроют желая посмотреть, где нарушил, что за такой штраф полиция прислала. В интересном мире мы живём )) 

письмо пришло.jpg

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, Sapsan932 сказал:

Файл pdf открыл, посмотрел, любопытсво удовлетворил, там ссылка внутри файла конечно же не на портал UBS банка (UBS холдинг управляет самым большим кол-вом частного капитала в мире, среди его клиентов половина миллиардеров мира), а какой-то левый абсолютно сайт с незащищённым соединением.

По ссылке уже ошибка 404. Так что если бы даже и перешли бы проблемы не было бы. А сам сайт на турецком, что явно не сходится с содержанием письма на немецком.
А pdf создали с помощью онлайн сервиса по конвертации HTML в PDF.

 

Ссылка на комментарий
Поделиться на другие сайты

А вот ещё одно фишинговое письмо из почты (скрин ниже). Тема письма "интернет-магазины". Текст - примерно такой (если на русский перевести):

"Страхование онлайн-покупок Номер файла: 094780065 Привет, Ваша последняя покупка была оплачена дважды. Мы пытались связаться с вашим банком для возврата средств, но, к сожалению, безуспешно. Для немедленной регуляризации выполните следующие действия: фишинговая ссылочка. После получения вашего запроса вы получите возмещение в течение 48 часов. С уважением, Обслуживание клиентов"

 

Вопрос: почему, как вообще получается, что "получатель" - какой-то другой е-мейл, но письмо, тем не менее, пришло на адрес мне? Если подмена, то как это, если получатель - емейл Вася, а приходит на Емейл Пети. А мой адрес тут каким боком? Или я не вижу свой адре полчателя, потому, что в скрытую копию отправителем поставлен, или передресация с чьей-то  другой почты. Конечно, в Black List такое кидаю и в папочку спам для обучения. Но любопытен сам механизм )

Скрин письма.jpg

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kmscom
      От kmscom
      Часто изучаете отзывы перед покупкой товара на маркетплейсах? Представьте: вы заглядываете почитать, что люди пишут в комментариях про какой-нибудь смартфон, а там предлагают купить его на другом сайте с хорошей скидкой. И ссылка. Любопытно?
      Вот и @dkhilobokстало интересно. В новом видео — о том, как она чуть не отдала все свои деньги мошенникам, и о том, как антивирус спасает от фишинговых сайтов.
       
       
    • KL FC Bot
      От KL FC Bot
      Мошенники в Интернете постоянно пытаются обмануть не только неподготовленных пользователей, но и сотрудников компаний. Да, бизнес обмануть обычно сложнее, чем бабушку, но и денег за одну успешно провернутую на нем схему злоумышленники зарабатывают больше. Поэтому попытки поймать бизнес на удочку продолжаются.
      Трюков существует множество, но среднестатистический мошенник ленив. Поэтому в большинстве случаев он пробует вариации на тему одних и тех же уловок. Мы решили собрать здесь самые распространенные схемы.
      Виды наживки
      Злоумышленникам важно, чтобы вы не просто прочитали его письмо, но и как-то отреагировали на него. Перешли по ссылке, открыли вложенный документ, оплатили счет. Для того чтобы вы это сделали, ему надо завладеть вашим вниманием.
      Привет от налоговой
      Вам приходит письмо о том, что вы не уплатили такой-то налог в полном объеме, вам начислены пени, и если вы с этим не согласны, надо скачать приложенную к письму форму, заполнить и отправить. В форме, разумеется, обнаруживается макрос — и как только вы его включаете (а пользователь уже привык автоматически кликать «согласен» в большинстве появляющихся окон), он незамедлительно скачивает из сети какой-нибудь вредонос и запускает его.
      Налоговой боятся многие компании, но свой страх надо знать в лицо: разбираться в том, как могут выглядеть письма от налоговой в вашем регионе, знать, будет она вообще писать по электронной почте или сразу позвонит.
      Уведомление о непрошедших платежах
      Заплатили налоги и рассчитались со всеми контрагентами? Это хорошо, но вот пишут, что платеж не прошел. Дальше может быть что угодно — от просьбы оплатить выставленный якобы повторно счет до требования сходить на какой-нибудь сомнительный сайт.
      От посещения сомнительных сайтов могут уберечь здравый смысл и антивирус, а вот от повторной оплаты счета — только здравый смысл.
      Предложение от таинственного контрагента
      «Здравствуйте, я представляю организацию «Дрова и Корыта», мы хотели бы поставлять для вашей компании нашу продукцию, прайс-лист во вложении, очень жду вашего ответа». Во вложении действительно есть какой-то файл. И хорошо еще, если это опять текст с макросом, а не замаскированный под документ исполняемый файл. Письма от условных «Дров и Корыт» обычно рассылают массово, рассчитывая попасть хотя бы в какую-то организацию.
      Уведомление от службы безопасности
      Этот способ обмана действует в основном для компаний с офисами в разных городах. Зачастую сотрудники региональных отделений плохо представляют себе, как выглядят и чем занимаются коллеги из головного офиса. Получив письмо, скажем, от имени «главного безопасника» с требованием установить некий сертификат, многие безропотно пойдут это требование исполнять, не посмотрев, что на самом деле письмо отправлено с «левого» почтового адреса. Сертификат установлен? Вы на крючке.
      К чему приводит попадание на крючок
      С фишинговыми сайтами все, как правило, понятно — они служат для того, чтобы похитить у вас учетные данные. А вот вредоносы в письмах попадаются разные. Но чаще всего вы столкнетесь с каким-нибудь представителем из следующего списка.
      Крыса в компьютере
      Один из самых любимых инструментов киберпреступников — программа для удаленного доступа к компьютеру (Remote Access Tool, сокращенно RAT). С ее помощью злоумышленники попадают в сеть предприятия, а там они могут делать что угодно. Например, установить дополнительные вредоносы. Украсть важные документы. Или, скажем, найти компьютер человека, отвечающего за финансы, и перехватить данные для доступа к платежной системе. Ну а дальше просто перевести деньги компании на свой счет.
      Шифровальщик
      Шифровальщики, как можно догадаться по их названию, шифруют файлы — так, что с последними нельзя работать. Документ не прочитать, презентацию не показать. Бывают еще такие шифровальщики, которые распространяются по локальной сети — то есть попадает зловред на один компьютер, а данные в результате зашифрованы на всех машинах, до которых он смог дотянуться. За возврат данных злоумышленники требуют выкуп. Например, не так давно жертвой шифровальщика стала администрация города Балтимор, в результате чего часть городских служб просто не работала. Чтобы вернуть все как было, злоумышленники требовали более 100 тысяч долларов.
      Шпионаж
      Также организациям любят подсовывать шпионов — зловредов, которые собирают конфиденциальную информацию. Шпионский троян тихо сидит на компьютере, записывая логины, пароли и адреса, коллекционируя переписку и пересылаемые файлы. Для высокотехнологичных компаний основная опасность в том, что какое-то ноу-хау и планы узнают конкуренты, а прочим организациям шпионы грозят в первую очередь тем, что злоумышленники получат доступ к управлению деньгами и украдут их. Впрочем, такое может случиться и с большими компаниями — например, у Центрального банка Бангладеш так украли 81 миллион долларов.
      Чтобы не попадаться на уловки злоумышленников, надо:
      Быть внимательным. Знать законы, в юрисдикции которых вы работаете, и понимать методы госструктур и регуляторов. Разбираться в том, какие типы файлов опаснее других. Не брезговать антивирусом, желательно с хорошей защитой против фишинга и спама . View the full article
    • Сергей Александрович
      От Сергей Александрович
      Добрый день,столкнулся с проблемой,не могу пройти модерацию.

      ДОСТУП ЗАПРЕЩЕН

      Запрашиваемый URL-адрес не может быть предоставлен

       

      URL-адрес:

      https://smartphonelife.ru

      Заблокирован Веб-Антивирусом

      Причина: фишинговый адрес

      Нажмите здесь, если считаете, что веб-страница заблокирована ошибочно.

      Как можно удалить сайт из базы фишшинга?


    • iphonedotcom
      От iphonedotcom
      1. Заходим на сайт loxotrons.ru
      2. Проверяем сайт конкурента. Если его нет в базе, отправляем на проверку.
      3. Если проходит проверку успешно с отрицательным результатом, пишем админу (его электронный адрес внизу сайта в удобном месте), это единственный контакт с администрацией сайта. Просим админа за небольшую плату придумать небылицу про сайт конкурента (например, что сайт скорее всего обман, отзывов нет, по адресу возможно никого нет и т.п.). 
      4. Заходим на https://virusdesk.kaspersky.ru, проверяем сайт конкурента. Проверка пишет, что ссылка безопасна на основании репутационных данных Kaspersky VirusDesk. Жмем кнопку -  не согласиться с результатом, где оставляем свой email.
      5. В течение 24 часов получаем на почту ответ, что сайт безопасен и если у вас есть дополнительные вопросы, пришлите их в ответном письме.
      6. Отвечаем в письме, что сайт мошенник. Приводим в пример ссылку на сайт, где купили у админа отзыв на компанию конкурента.
      7. Профит. После обновления баз касперского сайт конкурента помечается как фишинговая ссылка. Любая попытка зайти на сайт будет блокироваться, если у вас установлен антивирус касперского. 
       
      Вот такими нехитрыми манипуляциями несколько моих сайтов попали в базы касперского.
      Что удивительно, поддержка свято верит надписям на заборе в интернете и помечает сайты как фишинговые, даже не информируя и не проверяя владельца.
       
      Владельцы малого бизнеса, будьте осторожны и проверяйте ваши сайты касперским.
      В нынешнее непростое время, когда сайты налево и направо может блокировать Роскомнадзор, даже казалось бы дружелюбный сосед, сидящий у вас в трее, может сделать вам непростую "подлянку".
       

      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Уничтожение вирусов"
    • Алексей Тишкин
      От Алексей Тишкин
      geeks-3d.ru
      Этот сайт имитирует сайт разработчика FurMark. При установке FurMark с этого сайта дополнительно устанавливается программа майнер в папку WAF в корне диска C.
      Не нашел как отправить информацию о включении сайта в список опасных, поэтому написал сюда.
       

      Сообщение от модератора "Mark D. Pearlstone" Тема перемещена из раздела "Уничтожение вирусов"
×
×
  • Создать...