Фишинг почтовых паролей владельцев доменов

в 12:20, , рубрики: домены, информационная безопасность, угон доменов, фишинг

Небольшое отступление, домены зарегистрированы на почту на mail.ru, но ящиком этим давно не пользуюсь и стоит пересылка на gmail. Регистратор — R01.

Приходит письмо "Жалоба на домен мой-домен.ru" такого вот общего содержания:

Здравствуйте, уважаемый клиент.
В адрес Регистратора Р01 с IP-адреса 46.18.200.45 поступила жалоба на домен мой-домен.ru. Данному обращению был присвоен номер AM35930.
Сообщаем Вам, что жалоба признана необоснованной, поскольку обстоятельства, на которые указывает автор жалобы, не нашли подтверждения.
Исходя из вышеизложенного, санкции к домену мой-домен.ru применены не будут.
Файл с текстом жалобы приложен к настоящему письму.

И на телефоне видно что есть какие-то вложения, но кривенькие. Решил посмотреть повнимательнее на компьютере. Тут и началось самое интересное.

Вот как письмо выглядело в браузере:

image

Отправитель — отправитель стоит как info@r01.ru и не указано что письмо отправлено через другой домен, т. е. можно подумать что пришло действительно письмо от регистратора

Оформление вложения — почта mail.ru (на которую зарегистрирован домен) и вложение стилизовано под этот сервис, но на gmail меня это и насторожило.

При попытке перехода по ссылкам — документ открывался на пару секунд и потом предлагал ввести пароль от моего ящика на mail.ru. Но лень по вводу пароля победила, я просто «заскриншотил» страницу пока она была открыта и почитал содержание уже на картинке, тут-то в принципе все и встало на свои места. В файле вода без конкретики и регистратор у меня R01 (письмо прислали правильное), а в файле указывают ру — центр. После этого уже посмотрел где предлагают ввести пароль, адреса накопал два:

Ребята, кстати, надо заметить довольно оперативно отслеживают введенные пароли, потому как на мой введенный пароль почти моментально пришел ответ:

image

В этой всей истории меня смущает только один момент — почему gmail не указал, что письмо было отправлено не c r01.ru?! Рассылка идет с sweb, о чем я их уведомил и получил ответ, что меры приняты (какие не знаю). Для пытливых:

исходник письма

Delivered-To: d***y@gmail.com
Received: by 10.28.25.130 with SMTP id 124csp1612639wmz;
        Mon, 14 Dec 2015 02:59:36 -0800 (PST)
X-Received: by 10.112.160.33 with SMTP id xh1mr12911366lbb.67.1450090776287;
        Mon, 14 Dec 2015 02:59:36 -0800 (PST)
Return-Path: <belebeycru@vh234.sweb.ru>
Received: from mx70.mail.ru (mx70.mail.ru. [94.100.176.84])
        by mx.google.com with ESMTPS id vo10si16785629lbb.137.2015.12.14.02.59.35
        for <d***y@gmail.com>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 14 Dec 2015 02:59:36 -0800 (PST)
Received-SPF: softfail (google.com: domain of transitioning belebeycru@vh234.sweb.ru does not designate 94.100.176.84 as permitted sender) client-ip=94.100.176.84;
Authentication-Results: mx.google.com;
       spf=softfail (google.com: domain of transitioning belebeycru@vh234.sweb.ru does not designate 94.100.176.84 as permitted sender) smtp.mailfrom=belebeycru@vh234.sweb.ru;
       dmarc=fail (p=NONE dis=NONE) header.from=r01.ru
Received: from [77.222.56.130] (ident=mail)
	by mx70.mail.ru with local (envelope-from <belebeycru@vh234.sweb.ru>)
	id 1a8Qqt-0001M2-Ay
	for deryabinsergey@gmail.com; Mon, 14 Dec 2015 13:59:35 +0300
X-ResentFrom: <d***y@mail.ru>
X-MailRu-Forward: 1
Authentication-Results: mxs.mail.ru; spf=pass (mx70.mail.ru: domain of vh234.sweb.ru designates 77.222.56.130 as permitted sender) smtp.mailfrom=belebeycru@vh234.sweb.ru smtp.helo=vh234.sweb.ru
Received-SPF: pass (mx70.mail.ru: domain of vh234.sweb.ru designates 77.222.56.130 as permitted sender) client-ip=77.222.56.130; envelope-from=belebeycru@vh234.sweb.ru; helo=vh234.sweb.ru;
Received: from vh234.sweb.ru ([77.222.56.130]:53758)
	by mx70.mail.ru with esmtp (envelope-from <belebeycru@vh234.sweb.ru>)
	id 1a8Qqs-0001Kw-Qa
	for d***y@mail.ru; Mon, 14 Dec 2015 13:59:35 +0300
X-Mru-BL: 0:0
X-Mru-TLS: TLSv1.2:AES128-SHA
X-Mru-BadRcptsCount: 0
X-Mru-PTR: vh234.sweb.ru
X-Mru-NR: 1
X-Mru-OF: Linux (Ethernet or modem)
X-Mru-RC: RU
Received: from belebeycru by vh234.sweb.ru with local (Exim 4.84)
	(envelope-from <belebeycru@vh234.sweb.ru>)
	id 1a8Qqs-003gGZ-Lj
	for d***y@mail.ru; Mon, 14 Dec 2015 13:59:34 +0300
To: d***y@mail.ru
Subject: Жалоба на домен мой-домен.ru
MIME-Version: 1.0
Content-type: text/html; charset=windows-1251
From: R01.RU <info@r01.ru>
Message-Id: <E1a8Qqs-003gGZ-Lj@vh234.sweb.ru>
Date: Mon, 14 Dec 2015 13:59:34 +0300
X-Sender-Uid: 11827
X-DMARC-Policy: none
X-DMARC-Result: fail
X-Mras: Ok
X-Mru-Authenticated-Sender: belebeycru@vh234.sweb.ru
X-Spam: undefined
X-DMARC-Policy: none
X-DMARC-Result: fail
X-Mras: Ok
X-Mru-Authenticated-Sender: belebeycru@vh234.sweb.ru

Здравствуйте, уважаемый клиент.<br>...

Автор: SergeyDeryabin

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js