Публикую для обычных людей, которые будут гуглить фразы из фишингово письма, чтобы избавить их от сомнений, что у них пытаются украсть пароли. Хабравчанам, думаю, пост тоже может быть не безынтересен, т.к. мошенники использовали несколько оригинальных идей.
На почту приходит письмо:
Чтобы «скачать» файл предлагают авторизоваться на Яндекс, Mail, Google или Rambler. Форма авторизации открывается в окошке, без перехода куда-либо. Для неискушенного юзера вполне подойдет.
На самом деле форма является фишинговой и располагается на том же сайте, ни к одному из поисковиков обращения не идет. Для укрепления доверия предлагают так же альтернативу: зарегистрироваться на keeperfile.ru. Сама регистрация ничем не заканчивается, а вот пароль, который наивная жертва введет при «регистрации» вполне может совпадать с паролем от почты.
Способ чем-то напоминает «нигерийские письма», но как видно денег от нас не просят, просят «привлечь общественность». Тема актуальная (если кто-то не вкурсе, в Туркменистане случилась беда). Кроме того, сайт где как бы хранятся фотографии выглядит достаточно прилично, а форма «авторизации» немного напоминает распространенную авторизацию через Open ID.
Если копать глубже, то увидим, что домен мошенников зарегистрирован недавно (created: 2011.06.20), использует свои ns-сервера. Кроме того на сайте не доделана часть страниц, а баннеры не нажимаются.
Ну и еще одна ошибка мошенников: название Ихтык намирусил и имя Ималбек Янисиев взяты из головы. Гугл и Яндекс по ним ничего не находят. Теперь будут, Хабр индексируется быстро. Надеюсь, что часть юзеров благодаря этой статье не попадется на удочку.
Upd: Как подсказывают в комментариях, несколько СМИ попались на фишинг и опубликовали это письмо. Из найденных — regnum, reporterru.com, mpst.anho.org, findnews.ru, а так же несколько журналов в ЖЖ. Причем один из постов ЖЖ попал в besttoday.
Мне письмо пришло на личный ящик, на который зарегистрирован один небольшой новостной сайт. Видимо, для рассылки спама собиралась из whois почта владельцев новостных ресурсов.
Upd 2: С момента публикации получил несколько минусов в карму. Ни один недовольный не отписался, но могу предположить, что кто-то не верит, что это фишинг.
Это фото, находящееся в архиве:
А вот фото из какого-то французского блога (запись от 17 ноября 2009):
Для поиска похожих изображений я воспользовался замечательным поиском по изображениям от Гугла.
Кстати, никто из тех, кто опубликовал фэйковые фото не отписались (я посылал им письма со ссылкой на эту статью).
На почту приходит письмо:
Здравствуйте!
Я фотокорр молодежной правозащитной группы «Ихтык намирусил» (Наше Дело) Ималбек Янисиев.
Вчера, во второй половине дня в г.Абадан начался пожар на складе боеприпасов, расположенном практически в городской черте. Весь вечер и всю ночь рвутся снаряды. Власти пытаются эвакуировать людей и приступить к тушению пожара и разминированию близлежащей территории, но, пока безуспешно.
К месту происшествия не подпускают людей, у которых все имущество осталось в опасной близости от горящего склада. Прибыли отряды ОМОНА. Разгоняют мародеров. У всех, кто находится рядом, отбирают мобильные телефоны, фото- и видеокамеры. Журналистам запрещают снимать. В регионе введена информационная блокада. Отключен Интернет. Отключены сотовые и городские телефоны. Связь только через спутник.
Одновременно с этим идут выборочные аресты гражданского населения. Как нам стало известно, арестовывают в первую очередь представителей оппозиционных партий, организаций и движений. Активно работают спецслужбы.
По нашим не проверенным данным пожар на складе это провокация властей. Повод разобраться с нами, с оппозицией, с людьми, которые хотят свободы, демократических перемен.
Не знаю сколько еще смогу выходить на связь.
В приложении несколько фотографий с места происшествия.
http://keeperfile.ru/files/getfile/?hsh=4e17185e50618&trk=4e172160eabfa (на момент публикации вирусов нет)
Коллеги, подключите общественность.
Чтобы «скачать» файл предлагают авторизоваться на Яндекс, Mail, Google или Rambler. Форма авторизации открывается в окошке, без перехода куда-либо. Для неискушенного юзера вполне подойдет.
На самом деле форма является фишинговой и располагается на том же сайте, ни к одному из поисковиков обращения не идет. Для укрепления доверия предлагают так же альтернативу: зарегистрироваться на keeperfile.ru. Сама регистрация ничем не заканчивается, а вот пароль, который наивная жертва введет при «регистрации» вполне может совпадать с паролем от почты.
Способ чем-то напоминает «нигерийские письма», но как видно денег от нас не просят, просят «привлечь общественность». Тема актуальная (если кто-то не вкурсе, в Туркменистане случилась беда). Кроме того, сайт где как бы хранятся фотографии выглядит достаточно прилично, а форма «авторизации» немного напоминает распространенную авторизацию через Open ID.
Если копать глубже, то увидим, что домен мошенников зарегистрирован недавно (created: 2011.06.20), использует свои ns-сервера. Кроме того на сайте не доделана часть страниц, а баннеры не нажимаются.
Ну и еще одна ошибка мошенников: название Ихтык намирусил и имя Ималбек Янисиев взяты из головы. Гугл и Яндекс по ним ничего не находят. Теперь будут, Хабр индексируется быстро. Надеюсь, что часть юзеров благодаря этой статье не попадется на удочку.
Upd: Как подсказывают в комментариях, несколько СМИ попались на фишинг и опубликовали это письмо. Из найденных — regnum, reporterru.com, mpst.anho.org, findnews.ru, а так же несколько журналов в ЖЖ. Причем один из постов ЖЖ попал в besttoday.
Мне письмо пришло на личный ящик, на который зарегистрирован один небольшой новостной сайт. Видимо, для рассылки спама собиралась из whois почта владельцев новостных ресурсов.
Upd 2: С момента публикации получил несколько минусов в карму. Ни один недовольный не отписался, но могу предположить, что кто-то не верит, что это фишинг.
Это фото, находящееся в архиве:
А вот фото из какого-то французского блога (запись от 17 ноября 2009):
Для поиска похожих изображений я воспользовался замечательным поиском по изображениям от Гугла.
Кстати, никто из тех, кто опубликовал фэйковые фото не отписались (я посылал им письма со ссылкой на эту статью).
