Очередные фишинговые письма (или Как уводят пароли от почты на Яндексе)

Пост из разряда «предупрежден — значит вооружен».
Нашел сегодня у себя в почте интересное письмо.

Очередной способо получения кукисов от почты. При нажатии на кнопку отправляется запрос на сниффер по адресу: h_ttp://yadrex.ru/sn/s.рhp (по адресу: h_ttp://yadrex.ru/sn/ панель управления/доступ к логам сниффера) и открывается фрейм со главной страницей Яндекса.

Рассылка проводится через mailgermes.beget.ru (81.222.215.236). На этот же IP привязан домен yadrex.ru.

Может быть мой адрес электронной почты попал в список массовой рассылки «доброжелателей», желающий заполучить ящик для дальнейшей перепродажи (используют для регистрации аккаунтов в различных сервисах, рассылках и т.д.), а возможно и заказали конкретно мой ящик (на некоторых ресурсах так и пестрят объявления о «восстановлении утерянных паролей от почты»), если так, то не понятно зачем.

P.S. Да, хабраюзер умный, он не поведется на такой развод, но есть друзья, жены, родители, дети. Будьте внимательны.

С наступившим 2012! Всем здоровья, радости и счастья!

UP: Код кнопки временно убрал

UP2:
alex32 нашел yadrex.ru/mail/ (под Mail.ru)
LMaster нашел yadrex.ru/gmail/ и yadrex.ru/rambler/ (под Gmail и Rambler)

UP3 madde, Новый адреса: _http://yandex.authorised.ru/, mail.authorised.ru/ etc. Старые домены уже в фишинг листах

+43

1 января 2012, 23:27

nllm 37,5

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

комментарии (57)

+13

LMaster 1 января 2012, 23:34 #

Можно попробовать украсть куки у злоумышленника — на фишинговом сайте есть XSS:
_http://yadrex.ru/error.php?login='"><_script>alert('XSS!');</_script>
(Для того, чтобы обойти парсер хабра пришлось добавить "_").

b0FF1n 2 января 2012, 08:47 # ↑

куков там нет — на сайте basic авторизация.

+24

Sterhel 1 января 2012, 23:50 #

Так давно не видел фишинговых писем, в которых бы не было орфографических или пунктуационных ошибок.

hhrhhr 2 января 2012, 00:56 # ↑

запятые абы как накиданные и «доставить в почту» вас не смущает? ;))

DarthSim 2 января 2012, 02:48 # ↑

Объяснитесь, плз. Просто я там вижу ровно 1 пунктуационную ошибку и никаких «запятых, абы как накиданных». Чего не скажешь о вашем сообщении, кстати.

hhrhhr 2 января 2012, 03:32 # ↑

объясняю. «доставить в почту» настолько разговорно и вульгарно, что совершенно не вяжется с общим сложным стилем сообщения, которое легко могло быть перестроено для полного отсутствия запятых. еще в школе учили, если сомневаешься — переставь части предложения местами, либо разбей его на менее сложные.

а уж восклицательный знак, ну просто акцентирующий наличие «неудобств», совершенно не в тему.

да, в своих коментах я ещё и большие буквы в начале слова не использую.

–2

DarthSim 2 января 2012, 03:49 # ↑

Я про «абы как накиданные запятые» в основном. Если говорить именно о пунктуации и орфографии, не о стилистике, то письмо написано достаточно грамотно.

rwz 2 января 2012, 06:53 # ↑

«Данное сообщение, сгенерировано автоматически.» например

–1

DarthSim 2 января 2012, 06:55 # ↑

Мелкий шрифт даже не заметил. Ну ок, одну «абы как накиданную запятую» нашли, молодцы. Розенталь в восторге =)

MrCrock 2 января 2012, 16:26 # ↑

Нет запятой после «отправленное Вам после 30.12.11».

facedancer 5 января 2012, 15:56 # ↑

«Для того чтобы» — запятая не нужна.

+11

amarao 1 января 2012, 23:57 #

(задумчиво)
А хостер-то тут при чём?

Я (как человек, работающий в хостинговой компании) каждый раз негодуэ — зачем упоминать хостера в столь негативном контексте? Я понимаю, если бы они на abuse не отреагировали или было показано, что они «знают и терпят».

nllm 2 января 2012, 00:00 # ↑

Соглашусь с вами. Убрал информацию о хостере. Абузу написал, посмотрим как отреагируют.

TheMengzor 2 января 2012, 11:10 # ↑

Новый сайт уже не работает — пишут, что за нарушение.

–6

VladMax 2 января 2012, 00:02 #

По-моему фишинг уже очень сильно устарел. Теперь любой школьник знает, как отличить фишинговый сайт от настоящего.

mt_ 2 января 2012, 00:07 # ↑

Извините, не согласен.
Для многих /простых/ людей, yandex@ya.corp.ru (даже если они туда и посмотрят), выглядит вполне респектабельно. И так будет продолжаться ещё долго, потому что простой пользователь очень далёк от этих «тонкостей». Как бы нам, айтишникам, ни хотелось обратного.

LMaster 2 января 2012, 00:08 # ↑

Однако, это очень популярный способ угона почтовых аккаунтов. Почти все злоумышленники, предоставляющие услуги по угону E-Mail пользуются фишингом. Уязвимости в почтовых сервисах сложно искать (особенно, с появлением вознаграждения за уязвимость. Пример: Google платит вроде даже за редиректы. Яндекс недавно проводил конкурс по поиску уязвимостей, так там много XSS нашли).

Stmf 2 января 2012, 00:18 # ↑

Не поверите, огромное количество пользователей ПК не знают, что такое адресная строка. И считают интернетом страничку яндекса, которая открывается стартовой в браузере. А еще я на днях любопытства ради скачал программку lamescan и обнаружил, что огромное количество людей не спасет даже чудо.

Carzil 2 января 2012, 00:21 # ↑

Есть ещё люди, которые не понимают различия между сайтом и десктопной программой.

LMaster 2 января 2012, 00:04 #

«Очередной способо получения кукисов от почты. При нажатии на кнопку отправляется запрос на сниффер по адресу: h_ttp://yadrex.ru/sn/s.рhp»

Если передаются куки — значит используется XSS уязвимость. Но, судя по остальному тексту, это просто редирект на фейк (фишинговый сайт).

nllm 2 января 2012, 00:17 # ↑

Опубликовал код кнопки

–4

antivir 2 января 2012, 00:04 #

Панель управления запрашивает имя/пароль. Как вы узнали, что это панель управления?
Firefox опознает сайт как фишинговый.

+35

mt_ 2 января 2012, 00:05 #

Вот. А потому что веб-формы в онлайн-почте — это в принципе дыра в безопасности.
В письме нужно вырезать весь скрипт и формы. Увы. Иначе вот такое никогда не кончится.
А ссылки надо «переписывать» через внутренний редирект, который «обнуляет» куки.

mt_ 2 января 2012, 00:16 # ↑

Просьба минисующих прокомментировать свою точку зрения. Спасибо.

akhmelev 8 января 2012, 03:33 # ↑

> минисующих

супер ))

zenant 3 января 2012, 20:21 # ↑

Бестолку. Кто мешает просто URL в письмо поместить с тем же эффектом?

mt_ 3 января 2012, 22:14 # ↑

Вы невнимательно читали:

ссылки надо «переписывать» через внутренний редирект, который «обнуляет» куки

crizis 10 января 2012, 12:50 # ↑

1. сторонний домен итак не получит доступа к информации из cookie для другого домена (браузерное ограничение)
2. после «обнуления» cookie пользователю снова нужно авторизовываться на изначальном сайте, что неудобно

Так что, обнулять cookie совсем нет никакой нужды (пункт 1), а вернее, это совсем глупо (пункт 2).

mt_ 10 января 2012, 14:33 # ↑

Вы правы, а я ошибся.
Конечно, в этом случае во весь рост встаёт проблема нормализации URL (а она вовсе не тривиальна, как вы понимаете) — но, пожалуй, это меньшее из зол.

k0t_igrun 10 января 2012, 12:08 # ↑

Что такое редирект, обнуляющий куки? Вы имели ввиду рефферер?

mt_ 10 января 2012, 14:34 # ↑

Да, вроде того.
Но выше хабраюзер crizis показал, что я был не прав, и в таком редиректе нет смысла. С чем, подумав, я и согласился.

mkoreshkov 2 января 2012, 00:10 #

Лог доставил. /sn/log.php

alex32 2 января 2012, 00:21 #

Хм…
yadrex.ru/mail/

LMaster 2 января 2012, 00:29 #

Хм2…
yadrex.ru/gmail/
yadrex.ru/rambler/

BeLove 2 января 2012, 00:31 #

И не ужели скрипт из текста письма отрабатывается? (проверьте кто-нибудь в пределах своего аккаунта)
Если да, то это уже не фишинг, а XSS на Яндексе и это совсем другая песня.
Будет интересно, если это действительно ненайденная XSS в рамках конкурса на ZeroNights.

ZagOleg 2 января 2012, 00:49 #

Спасибо за информацию. Кто предупрежден, тот вооружен.

Mairon 2 января 2012, 00:52 #

Оповестил специалистов из Netcraft. Они уже прислали ответ о внесении yadrex'а в список фишинговых. И проставил рейтинги в Web of Trust.

kupnet 2 января 2012, 11:12 # ↑

«Этот сайт был замечен в мошенничестве. Обмен критичными или конфиденциальными данными с этим сайтом сопряжен с риском кражи личных данных и/или финансового мошенничества.»
ну вот :)

egorinsk 2 января 2012, 00:54 #

Судя по нестандартным аттрибутам formaction и formtarget, видимо используется уязвимость в скриптах Яндекса, которые их обрабатывают? Очень интересный вид атаки, первый раз с таким сталкиваюсь. Ведь сейчас многие JS-фреймворки все больше и больше используют аттрибуты типа data-* для определения поведения элемента, и это открывает новые векторы атаки на приложения.

pento 2 января 2012, 01:06 #

Непосредственно в Яндекс сообщили о найденной проблеме или сразу побежали писать на Хабр?

nllm 2 января 2012, 01:20 # ↑

Да

nllm 2 января 2012, 01:30 # ↑

Обозначил как спам, отписал в поддержку, опубликовал на хабре, отправил письмо хостеру.

–9

BeLove 2 января 2012, 01:50 # ↑

Сначала дожидаются ответа от самого сервиса (в данном случае — Яндекс) и обычно не менее недели.
Если это все же действительно XSS (про которую вы так и ничего не сказали/не проверили, без этой информации топик «ни о чем») — то можете посыпать голову пеплом.

–11

BeLove 2 января 2012, 01:56 # ↑

+ сейчас праздники. Я имел ввиду 7 рабочих дней.
Достал меня самопиар пользователей с XSS/CSRF на популярных ресурсах.
Где, блин, этика?

trijin 2 января 2012, 02:01 # ↑

Когда находишь дыру — сообщаешь, ждешь, рассказываешь.
Когда нашел что дырой пользуются: сообщаешь, сообщаешь, сообщаешь, рассказываешь как уберечься.

Этика в порядке.

BeLove 2 января 2012, 02:05 # ↑

Дыра все же не исследована.
Так и не выяснили этот момент.

nllm 2 января 2012, 02:10 # ↑

До ответа от яндекса убрал код кнопки.

nllm 2 января 2012, 01:59 # ↑

Можно ждать неделю, а эту неделю будут так же спамить и уводить почту.

Watcher 3 января 2012, 16:34 # ↑

-Ответь мне, только честно да или нет, хорошо?
-Хорошо.
-Почему мужчины считают блондинок глупыми?
-Да
(с) башорг

madde 2 января 2012, 02:39 #

Новый адреса: _http://yandex.authorised.ru/, mail.authorised.ru/ etc.

Старые домены уже в фишинг листах

madde 2 января 2012, 02:44 # ↑

Забыл про хабрапарсер… Кстати фейки как-то странно себя ведут: в первом случае с него можно уйти на настоящий сайт яндекса, а во втором — все ссылки ведут на морду фейка. Under Constrution?)

nllm 2 января 2012, 02:44 # ↑

Как нашли их?

Mairon 2 января 2012, 10:52 # ↑

Да и эти блокируются

–17

mariofag 2 января 2012, 13:29 #

Простите, конечно, но что это делает на хабре?
Я бы понял, если бы Хабр был обычным форумом, но здесь, всё таки, собираются умные люди, которые должны бы достаточно хорошо разбираться в том, где следует вводить свой пароль, а где — нет.
Единственное применение такой статьи на Хабре: предупредить SEOшников, ибо такие действительно могут повестись. Неужели вы так беспокоитесь о представителях этой профессии?

hammerit 2 января 2012, 19:01 # ↑

Конечно аудитория прекрасно понимает где оставлять свои пароли, но статья именно разбирает некоторые подробности такого рода махинаций, а это достаточно интересно и соответствует тематике хабра.

wearymax 2 января 2012, 18:26 #

Форм-элементы в Яндекс почте? О_о
Ужас какой…

Woin 3 января 2012, 00:13 #

Приходят фишинговые письма?
Хватит это терпеть!