Доброго времени суток.
Так получилось, что за неделю я получил 4 сообщения от пользователей mail.ru о том, что они не могут попасть в свой ящик. Пароль не подходил — ну, видимо, угнали пароль. Сразу хочу заметить, что как минимум 1 владелец ящика даже не знал от него пароль (я сам его им создавал и просто настроил Thunderbird, пароль индивидуальный, больше нигде не использовался), следовательно, не могу его по неопытности указать на каком-нибудь фишинговом сайте. Ну, думаю, сейчас пойду да восстановлю пароль, воспользовавшись системой восстановления пароля. Захожу на страницу восстановления пароля и вижу там это:
URL-адрес был выделен мышью, когда снимал скриншот — сразу не заметил.
Без какой-либо задней мысли копирую адрес, вставляю в адресную строку и, заметив пару переадресаций, попадаю вот сюда: 87.238.175.175/mmm/passremind.html
Что я там вижу — серый фон и небольшое окошко в центре:
Тут я уже сперва задумался, а не разводят ли меня, но потом решил — может быть, mail.ru таким образом в случаях взлома ящика заставляет владельца прицепить номер мобильного, чтобы упростить процедуру восстановления доступа в будущем. В конце концов, не может же на mail.ru дать мне фишинговую ссылку. Вписываю номер, жму продолжить — на телефон приходит смс с текстом «Согласны ли вы с условиями сайта? Да/Нет». Вот тут уже сработал стоп-кран. Отвечать на такие подозрительные смс никак не хотелось. С одной стороны — есть чёткая инструкция на странице восстановления пароля — перейти по ссылке, с другой — я был почти уверен, что каким-то образом меня разводят. Решил отложить проблему — утро вечера мудренее. Лишь полтора часа спустя в пришла светлая мысль. Злоумышленник, взломав ящик, сменил секретный вопрос.
Поняв, что так просто ящик уже не вернуть, решил просто связаться с техподдержкой и объяснить ситуацию. Всё прошло без проблем, и через сутки контроль над ящиком я вернул (сложно было только найти, как связаться с техподдержкой в письменной форме — господа явно не хотят, чтобы их тревожили по пустякам).
Спустя пару дней обнаружилось, что ссылку с формой для ввода телефонного номера я не закрыл, а содержимое страницы изменилось:
Не знаю, то ли Команда Mail.ru повлияла на мошенников, то ли что-то само сломалось, но факт — больше не требовался ввод телефона и люди сразу получали пароль. В данный момент сайт уже недоступен.
Вот таким простым способом можно заставить даже сисадмина пойти на поводу у мошенников. Утешает только то, что коллегам также не пришло в голову, что лжеинструкция — это и есть изменённый секретный вопрос. А избежать таких ситуаций довольно просто — всего лишь прикрепить номер мобильного телефона в настройках почтового ящика, чтобы в будущем восстанавливать доступ через мобильник.
Автор: Artes1408
