I decided to replenish this article, because I believe that this issue is not fully disclosed.
It should be noted that this method of obtaining information, although it is illegal, is often used and brings great damage to Internet users.
This article will discuss some aspects of the information and financial business intelligence and security on the Internet. We specifically consider one of the ways to gain unauthorized access to business correspondence using an electronic mail system (e-mail), as well as similar access to conducting financial transactions using an “online” payment system (Yandex Money, MoneyMail, WebMoney, Egold, Imoney, AstraMoney , Rupay, PayPal, Platinum Trade, ElecPay, ICQ, Money and others), or an “online” bank account management system, that is, there is a method called FISHING : Internet fraud, the purpose of which is to obtain credentials user (login and password).
The basis of this method is to obtain the victim’s identity using a fake site (hereinafter referred to as the phishing site), which is an exact copy of the present.
In practice, two types of attacks can be distinguished to obtain the desired information:
Mass attack of users is used to obtain the greatest amount of identification data, with the aim of stealing money, accounts or collecting large amounts of information about the banking network.
Targeted attack of a specific user - in order to obtain the largest amount of business and financial information about a specific individual or legal entity.
The algorithm of actions in both cases is the same:
- Selection and study of electronic payment, postal or online banking system.
- Collection of information about the clients of this system, or about a specific client.
- Creation and placement of a phishing site on the network.
- Referral of clients of a real online system to a phishing site.
Next, we consider practically this algorithm.
Selection and study of electronic payment, postal or online banking system.
The choice of object depends on the experience, technical support and the specific purpose of the person engaged in phishing. The study of the system of interest begins with a visit to the site and a study of the components of the site. The phisher pays special attention to the section of the site “Logging into the personal section of system customers”, as well as the conditions for using this electronic system, the technical support section, the security section, news and information sections, and e-mail addresses of services of the system of interest. It is also possible that the phisher can register his personal section in the online system of interest, which gives him additional information for better activities.
An experienced phisher will use the information obtained to create the impression of the greatest reality happening to the potential victim while sending it to the phishing site.
Collection of information about clients or a specific client of a given system.
The method of collecting information depends on which of the attacks will be conducted and the clients of which of the online systems will be attacked.
The basis of this operation is the collection of e-mail addresses of potential victims - clients of the online system, to which subsequently an information message or letter is sent, allegedly on behalf of the administration of a real site or online system, in order to send the victim to a phishing site.
As a rule, a mass attack of users is carried out on clients of an electronic mail or payment system and powerful botnets are used to collect e-mail addresses (a program is a robot that collects e-mail addresses for spam sheets) or less powerful programs for collecting spam sheets, such as Advanced Email Extractor, E-mail Collection 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, Email Spider 9.0, Robospam, E-Mail Addresses Extractor, E-MAILS HUNTER, NetTools, some of these programs have an e-mail collection function mail addresses according to a given algorithm - can collect the e-mail addresses of one particular mail system and, as a rule, the same electronic payment system, since the login is the same for both the mail and payment systems. Yandex and @ MAIL.RU serve as an example; it should be noted that @ MAIL.RU also serves the @ inbox.ru, @ bk.ru, @ list.ru mail system.
The method of collecting information in a targeted attack is different in that it collects information about a specific electronic payment system (for example, WebMoney, Egold), an online bank account management system and a specific individual or legal entity.
The main difference between this collection of information is that at the end of the collection of information, the phisher uses not only information about the e-mail address of the potential victim, but also details of bank accounts (bank account and correspondent account number, address of the bank or its branch, owner’s personal data accounts), as well as account details of electronic payment systems, which enables him to prepare a better and more reliable information letter to a potential victim and a phishing site.
In this case, Internet information search programs such as Internet EZ Search, Genius !, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey Search Tool, LENIN INC Search Machine, SpeedySearch, or Internet Search Systems such as like Yandex, Rambler, Google and others.
With a correctly specified request, the search system can provide several hundred thousand links to the details of bank accounts of individuals and organizations. At the request “Details of our current account”, the Yandex system issues about 400,000 page links to bank users with information that is of interest to the phisher, the Google system - about 250,000 links. About 15,000 links to the request “Details of our current account Alfa-Bank”
Creation and placement of a phishing site on the network.
To obtain the victim’s identification information, a fake login page is created, which is identical to the real page on the online system’s website, and the server side of the script for processing the data entered by the victim.
The technical side of creating a phishing site does not take much time, since a ready-made page of the original site is copied (copying can be done using the copy function of a web browser or a copy program for websites such as Teleport Pro, WebCopier, HTTrack, WebZip and others) and using the HTML editor (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder and others) creates a phishing site page.
Experienced phishers additionally creates one or more pages of the site, to minimize the suspicion of the victim that he was sent to the phishing site. The information content of these pages can be very diverse, but there are some basic composite pages of a phishing site:
- Specially, in accordance with the information letter sent, prepared by
the page to which the victim is redirected after he led the identification
information.
- A copy of the main page of the original site.
- Pages with a server failure message to which the victim is redirected, if
she tries to go to other snares on the page of the phishing site.
Such a phishing site does not establish links that redirect the victim to the real pages of the original site, since the visitor accounting system records the passage from the pages of other sites and there is a threat of establishing the presence of a phishing site.
Inexperienced phishers, as a rule, create one page of the site on which the victim must enter the identification data (Yandex, Alfa-Bank), or additionally another page where he informs the victim that the username or password is incorrect, or this service is temporarily not available and asks you to contact again after a while.
The pattern is as follows: the more experienced and professional the phisher himself, the more likely the phishing site looks.
A phishing site on the network is hosted using two methods:
Free hosting server: domain zone “ru” - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND and others; other domain zones - ho (ua, org), AYOLA.net (com, net, biz), Bravanet (com), 007 Sites (com), 110MB HOSTIHG (com) and others.
Using your HTTP server: Apache, Small HTTP server, Sambar Server, KF WEB Server and others, which is installed on the phisher computer or on the zombie computer (specially for such purposes a hacked computer).
Referring clients of a real online system to a phishing site.
The potential victim is sent to the phishing site by sending a special information letter to his e-mail.
For mass attacks of potential victims, e-mail spammers are used: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC E-Mail Spamer, Advanced Mass Sender and others.
For a targeted attack of a potential victim, the above-mentioned “e-mail spammers” programs and anonymous mail sending programs are used: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer and others, or almost anonymous servers.
It should be noted that using almost anonymous sending programs, the phisher has the ability to spoof the sender’s e-mail address, that is, he can specify any other real or nonexistent e-mail address. It uses the information received about the ability to contact the services of the online system, that is, the real e-mail address of the online system.
The text content of the newsletter is developed depending on the attacked “online” system and the content of the phishing site.
The simplest informational letter, at the moment, is an informational message confirming the login and password:
-------------------------------------------------- -----------------------------
Dear user, Yandex mail service!
Due to a hacker attack on the Yandex mail server and recovery of client accounts, we ask you to go to the Yandex website and confirm your account
Email sent by mailing robot. Please do not reply to this email.
We apologize for the
inconvenience.
Sincerely, Yandex Support.
Yandex mailbox without spam and viruses.
-------------------------------------------------- -------------------------------
Dear user, Alfa-Click Internet Banking system!
Due to a hacker attack on the Alfa-Click Internet Bank server and restoration of client accounts, we ask you to go to the Alfa-Click Internet Bank server and confirm your account or contact your Alfa Bank branch.
Email sent by mailing robot. Please do not reply to this email.
We apologize for any inconvenience this may cause.
Sincerely, Support service “online” of the “Internet Bank Alfa-Click” system.
Other Internet projects of Alfa Bank.
-------------------------------------------------- ------------------------------
As a rule, newsletters of such content are not very effective, since they have been used for a long time and most users of “online” systems know that this is Internet fraud.
A more plausible newsletter that does not arouse suspicion of a potential victim can be written in this way:
-------------------------------------------------- ---------------------------
Hello, User!
You have a post card.
Postcard sender: ХХХХ <хххх@хххх.ru>
To become the discoverer of this postcard, click on the link.
Please do not reply to this email.
To send a postcard in response, select a postcard on the Yandex.Cards website or draw using Yandex.Colors
Yandex. Postcards. Open before the holiday.
Hi, Polzovatel, you've just received a postcard.
To view the postcard click this link.
Please do not answer this e-mail.
Yandex.Postcards. Pre-holidays Postcards.
-------------------------------------------------- ------------------------
Dear user, Alfa-Click Internet Banking system!
The management of Alfa Bank announces a lottery for customers of Alfa-Click Internet Bank.
You will familiarize yourself with the terms of participation in the lottery, and you can confirm your participation in the lottery by going to Alfa-Click Internet Bank or in your Alfa Bank branch.
Email sent by mailing robot. Please do not reply to this email.
Sincerely, Support service “online” of the “Internet Bank Alfa-Click” system.
Alfa-Click Internet Banking is the simplicity and speed of connecting to the system, the absence of the need to install special software.
Main office
107078, Moscow, st. Kalanchevskaya, 27
XML: NAMESPACE PREFIX = SKYPE (+7 495) 620-91-91 (+7 495) 620-91-91
(+7 495) 797-31-60 (+7 495) 797-31-60
(+7 495) 974-25-15 (+7 495) 974-25-15
-------------------------------------------------- ------------------------
Dear user of the Yandex.Money payment system!
The management of the Yandex.Money payment system announces a lottery for its customers.
He will familiarize himself with the terms of participation in the lottery, and you can confirm your participation in the lottery by clicking on the link.
Email sent by mailing robot. Please do not reply to this email.
Discounts this month. More details
Yandex mailbox without spam and viruses.
-------------------------------------------------- ------------------------
The content of the newsletter can be very diverse and consideration of all options is simply not possible. You can get acquainted with many types of newsletters and phishing sites on the site Anti-Phishing Working Group.
Protected against phishing attacks and security principles when using “online” systems.
Consider the basic security principles of using “online” systems and are protected from phishing attacks.
The main thing that users of online systems should remember:
- The support service of the “online” system does not send information letters requesting water or confirming identification data.
- Upon receipt of such a letter, the transition to this “online” system is performed using only the command line of the web browser. Do not copy or enter the link specified in the newsletter into the command line of the web browser.
- Do not enter the required identification data if the specified link leads to the page for entering the identification data “online” of the system.
- Do not indicate on the pages of the site an e-mail address for communication. Use scripts of feedback forms.
- Do not indicate details of payment “online” systems or details of bank accounts on the site.
- Use of scripts prohibiting the copying of web site pages. It should be noted that almost all “online” systems sin about the protection of information in this case.
Signs that may indicate a possible phishing attack:
E-mail address of the recipient. Upon receipt of such an information letter, it is necessary to pay attention to what e-mail address is indicated in the “To” section. If another e-mail address is indicated in this section, and not the recipient, the letter was sent by the “e-mail spammer” program. Also, in this section several e-mail addresses can be indicated, which indicates a “spam” sending.
E-mail address of the sender. It does not matter much, since there is the possibility of spoofing the e-mail address when sending an information letter by the program almost anonymous.
Date: 05/10/07 10:03 PM
From: Yandex.Cards <xxx@yandex.ru> - sender address
To: Your address@yandex.ru - recipient address
Subject: Postcard from XXXX to you!
IP address of the sender. You can set the IP address of the sender by opening the “Message Properties” option, where the original address is always the IP address of the sender. “Letter properties” in the Yandex mail system
Received: from mxfront6.yandex.ru ([213.180.XXX.XXX]: 61840 "EHLO - IP mail server.
mxfront6.yandex.ru "smtp-auth: <none> TLS-CIPHER: <none> TLS-PEER-CN1:
<none> ) by mail.yandex.ru with ESMTP id S2965911AbYERLI6 (ORCPT
<rfc822;kjhgfdsgjh%yandex.ru@mxc10.yandex.ru> );
Sun, 18 May 2008 15:08:58 +0400
Received: from [61.106.66.XXX] ([61.106.66.XXX]: 44804 - Sender IP "HELO 213.180.XXX.XXX"
smtp-auth: <none> TLS-CIPHER: <none> TLS-PEER-CN1: <none> )
by mail.yandex.ru with SMTP id S40413AbYERLIw (ORCPT
You can check who owns the sender's IP address using the WHOIS service. If the sender's IP address matches the IP address of Yandex or Alfa Bank, we get the following answer:
Yandex
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
netname YANDEX-XXX-X
descr Yandex enterprise network
country RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
remarks INFRA-AW
status ASSIGNED PA
mnt-by YANDEX-MNT
source RIPE # Filtered
Alfa Bank
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
netname ALFA-BANK
descr Alfa-Bank Moscow Russia
country RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
status ASSIGNED PA
mnt-by ALFABANK-MNT
source RIPE # Filtered
If the sender’s IP address in the letter does not match the IP address in the WHOIS service, this indicates a phishing attack , even though a real-life e-mail address of the online support service is indicated.
In the same way, you can check the IP address of the site or domain on which it resides.
There is also the opportunity to check the history of the site to which the link of the newsletter sends us, that is, using the site “Internet Archive” we check when the site of interest was posted and how many Internet pages. To do this, copy the web address of the site from the command line of the Internet browser and enter “Internet Archive Wayback Machine” into the search box. If the search engine does not find data on the verified web address, this means that the site is phishing.
Я решил пополнить данную статью, так как считаю, что не полностью раскрыт данный вопрос.
Необходимо отметить, что данный метод получения информации, хотя является незаконным, используется частенько и приносит большой урон пользователям интернета.
В данной статье рассмотрим некоторые аспекты информационной и финансовой бизнес разведки и безопасности в интернете. Конкретно рассмотрим один из способов получения несанкционированного доступа к бизнес переписке, используя электронную почтовую систему (э-майл), а также аналогичный доступ к ведению финансовых операций, используя “онлайн” платежную систему (Yandex Money, MoneyMail, WebMoney, Egold, Imoney, AstraMoney, Rupay, PayPal, Platinum Trade, ElecPay, ICQMoney и других), или “онлайн” систему управления банковским счетом, то – есть способ, который называется ФИШИНГ: интернет – мошенничество, цель которого - получение идентификационных данных пользователя (логин и пароль).
В основе данного способа лежит получение идентификационных данных жертвы, используя фальшивый сайт (далее – фишерный сайт), который является точной копией настоящего.
Практически можно выделить два вида атак для получения желаемой информации:
Массовая атака пользователей используется для получения наибольшего количества идентификационных данных, с целью похищения денежных средств, аккаунтов или сбора информации большого объема о банковской сети.
Целенаправленная атака конкретного пользователя - с целью получения наибольшего объема бизнес и финансовой информации о конкретном физическом или юридическом лице.
Алгоритм действий в обоих случаях одинаков:
- Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
- Сбор информации о клиентах данной системы, или о конкретном клиенте.
- Создание и размещение в сети фишерного сайта.
- Направление клиентов реальной онлайн системы на фишерный сайт.
Далее рассмотрим практически этот алгоритм.
Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
Выбор объекта зависит от опыта, технического обеспечения и конкретной цели лица, занимающегося фишингом. Изучение интересующей системы начинается с посещения сайта и изучения составляющих компонентов сайта. Особое внимание фишер обращает на раздел сайта “Вход в личный раздел клиентов системы “, а также условиям использования данной электронной системы, разделу технической поддержки, разделу безопасности, разделам новостей и информации, э-майл адресам служб интересующей системы. Также не исключается возможность регистрации фишером своего личного раздела в интересующей онлайн системе, что дает ему дополнительную информацию для более качественной деятельности.
Опытный фишер будет использовать полученную информацию для создания впечатления наибольшей реальности происходящего у потенциальной жертвы во время направления таковой на фишерный сайт.
Сбор информации о клиентах или конкретном клиенте данной системы.
Способ сбора информации зависит от того какая из атак будет проводиться и клиенты какой из онлайн систем будет атакованы.
В основу данной операции лежит сбор э-майл адресов потенциальных жертв – клиентов онлайн системы, на которые в последствие отправляется информационное сообщение или письмо, якобы от имени администрации реального сайта или онлайн системы, с целью направить жертву на фишерный сайт.
Как правило, массовая атака пользователей проводиться на клиентов электронной почтовой или платежной системы и для сбора э-майл адресов используется мощные ботнеты (программа – робот, собирающий э-майл адреса для спам листов) или мене мощные программы для сбора спам листов, таких как Advanced Email Extractor, Сбор e-mail 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, Email Spider 9.0, Robospam, E-Mail Addresses Extractor, E-MAILS HUNTER, NetTools, часть из данных программ имеет функция сбора э-майл адресов по заданному алгоритму – может собирать э-майл адреса одной определенной почтовой системы и, как правило, той же самой электронной платежной системы, так как логин является одним и темже как на почтовую, так и на платежную систему. Примером служит Яндекс и @MAIL.RU, надо отметить, что @MAIL.RU обслуживает также почтовую систему @inbox.ru, @bk.ru, @list.ru.
Способ сбора информации при целенаправленной атаке отличается тем, что собирается информация о конкретной электронной платежной системе (на пример WebMoney, Egold ), системе онлайн управления банковским счетом и о конкретном физическом или юридическом лице.
Главная отличие данного сбора информации заключается в том, что по окончанию сбора информации в пользование фишера попадает не только информация об адресе э-майла потенциальной жертвы, но и реквизиты банковских счетов (№ расчетного и корреспондентского счета, адреса банка или его филиала, личные данные владельца счета), а также реквизиты счетов электронных платежных систем, что дает ему возможность подготовить более качественное и достоверное информационное письмо потенциальной жертве и фишерный сайт.
В данном случае для сбора информации используется Программы поиска информации в интернете, такие как Internet EZ Search, Genius!, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey Search Tool, LENIN INC Search Machine, SpeedySearch, или Системы поиска в интернете, такие как Яндекс, Рамблер, Google и другие.
При правильно заданном запросе поисковая система может выдать несколько сот тысяч ссылок на реквизиты банковских счетов частных лиц и организации. При запросе “Реквизиты нашего расчетного счета ” система Яндекс выдает около 400000 ссылок страниц на банковских пользователей с интересующей фишера информацией, система “Google” – около 250000 ссылок. На запрос “Реквизиты нашего расчетного счета Альфа – банк ” - около 15000 ссылок
Создание и размещение в сети фишерного сайта.
Для получения идентификационной информации жертвы создается фальшивая страница входа в систему, которая идентична реальной странице на сайте онлайн системы, и серверная часть скрипта для обработки данных, введенных жертвой.
Техническая сторона создания фишерного сайта не занимает много времени, так как копируется уже готовая страница оригинального сайта (копирование может производиться, используя функцию копирования веб-браузера или программу копирования веб-сайтов, таких как Teleport Pro, WebCopier, HTTrack, WebZip и других) и используя HTML редактор (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder и других) создается страницы фишерного сайта.
Опытные фишеры создает дополнительно еще одну или несколько страниц сайта, для сведения до минимума возникновения подозрений у жертвы, что он направлен на фишерный сайт. Информационное содержание данных страниц может быть очень разнообразным, однако есть некоторые основные составные страницы фишерного сайта:
- Специально, в соответствие с разосланным информационным письмом, подготовленная
станица, на которую жертва перенаправляется после того, как он вел идентификационную
информацию.
- Копия Главной страницы оригинального сайта.
- Страницы с сообщением о сбое работы сервера, на которую перенаправляется жертва, если
она старается перейти по другим силкам на странице фишерного сайта.
На таком фишерном сайте не устанавливается ссылки, которые перенаправляет жертву на реальные страницы оригинального сайта, так как система учета посетителей фиксирует переход со страниц других сайтов и возникает угроза установления наличие фишерного сайта.
Неопытные фишеры, как правило, создает одну страницу сайта, на которой жертва должна ввести идентификационной данные (Яндекс, Альфа – банк ), или дополнительно еще одну страницу, где сообщает жертве, что неправильно указан логин или пароль, или данная услуга временно не доступна и просит Вас обратится еще раз через некоторое время.
Закономерность такова – чем опытнее и профессиональнее сам фишер, тем правдоподобнее выглядит фишерный сайт.
Фишерный сайт в сети размешает, используя два способа:
Сервер бесплатного хостинга : зона доменов “ru” - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND и другие; другие зоны доменов – ho (ua, org ), AYOLA.net (com, net, biz ), Bravanet (com ), 007 Sites (com ), 110MB HOSTIHG (com) и другие.
Использование своего HTTP сервера: Apache, Small HTTP server, Sambar Server, KF WEB Server и других, который установлен на компьютере фишера или на компьютере – зомби ( специально для таких целей взломанном компьютере ).
Направление клиентов реальной онлайн системы на фишерный сайт.
Потенциальная жертва направляется на фишерный сайт с помощью отправки на его э-майл специального информационного письма.
Для массовой атаки потенциальных жертв используется программы “э-майл спамеры”: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC E-Mail Spamer, Advanced Mass Sender и другие.
Для целенаправленной атаки потенциальной жертвы используется как выше упомянутые программы “э-майл спамеры” так и программы отправки анонимной почты: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer и другие, или сервера анонимной почти.
Надо отметить, что используя программы отправки анонимной почти, фишер имеет возможность подмены э-майла адреса отправителя, то есть, имеет возможность указать любой другой реально существующий или несуществующий э-майл адрес. Здесь используется полученная информация о возможности связаться со службами онлайн системы, то есть реальные э-майл адреса онлайн системы.
Текстовое содержание информационного письма разрабатывается в зависимости от атакуемой “онлайн” системы и содержания фишерного сайта.
Наиболее простим информационным письмом, на данный момент, является информационное сообщение о подтверждение логина и пароля:
-------------------------------------------------------------------------------
Уважаемый пользователь, почтовой службы “Яndex”!
В связи с хакерской атакой на почтовой сервер “Яndex” и восстановлением клиентских аккаунтов, просим Вас пройти на сайт “Яndex” и подтвердить Ваш аккаунт
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные
неудобства.
С уважением, Служба поддержки “Яndex”.
Почтовый ящик Яndex без спама и вирусов.
---------------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
В связи с хакерской атакой на сервер “Интернет-банк Альфа-Клик” и восстановлением клиентских аккаунтов, просим Вас пройти на сервер “Интернет-банк Альфа-Клик” и подтвердить Ваш аккаунт или обратиться в Ваше отделение Альфа-банк.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные неудобства.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Другие интернет-проекты Альфа-Банка.
--------------------------------------------------------------------------------
Как правило, информационное письмо такого содержания мало эффективны, так как они используется давно и большинство пользователей “онлайн” систем знает, что это является интернет – мошенничеством
Более правдоподобная информационное письмо, которая не вызывает подозрение у потенциальной жертвы, может быть составлена подобным образом:
-----------------------------------------------------------------------------
Здравствуйте, Пользователь!
Вам открытка.
Отправитель открытки: ХХХХ <хххх@хххх.ru>
Чтобы стать первооткрывателем этой открытки, нажмите на ссылку.
Пожалуйста, не отвечайте на это письмо.
Чтобы направить открытку в ответ, выберите открытку на сайте Яндекс.Открытки или нарисуйте с помощью Яндекс.Красок
Яндекс.Открытки. Открыть перед праздником.
Hi, Polzovatel, you've just received a postcard.
To view the postcard click this link.
Please do not answer this e-mail.
Yandex.Postcards. Pre-holidays Postcards.
--------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
Руководство банка “Альфа-банк” объявляет лотерею для клиентов “Интернет-банк Альфа-Клик”.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя на “Интернет-банк Альфа-Клик” или в Вашем отделение “Альфа-банк”.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Интернет-банк «Альфа-Клик» — это простота и быстрота подключения к системе, отсутствие необходимости установки специального программного обеспечения.
Главный офис
107078, Москва, ул. Каланчевская, 27
XML:NAMESPACE PREFIX = SKYPE (+7 495) 620-91-91 (+7 495)620-91-91
(+7 495) 797-31-60 (+7 495) 797-31-60
(+7 495) 974-25-15 (+7 495) 974-25-15
--------------------------------------------------------------------------
Уважаемый пользователь, платежной системы “Яндекс.Денги”!
Руководство платежной системы “Яндекс.Денги” объявляет лотерею для своих клиентов.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя по ссылке.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Скидки в этом месяце. Подробнее...
Почтовый ящик Яndex без спама и вирусов.
--------------------------------------------------------------------------
Содержание информационного письма может бить очень разнообразным и рассмотрение всех вариантов просто не возможна. Ознакомится с множеством видов информационных писем и фишерных сайтов можно на сайте Anti-Phishing Working Group.
Зашита от фишинговых атак и принципы безопасности при использование “онлайн” систем.
Рассмотрим основные принципы безопасности использования “онлайн” систем и зашиты от фишинговых атак.
Основное, что надо запомнить пользователям “онлайн” систем:
- Служба поддержки “онлайн” системы не отправляет информационные письма с требованием вода или подтверждения идентификационных данных.
- При получение такого письма переход на данную “онлайн” систему производится, используя только командную строку веб – браузера. Не копировать и не вводить ссылку, указанную в информационном письме, в командную строку веб – браузера.
- Не вводить требуемые идентификационные данные, если указанная ссылка выводит на страницу ввода идентификационных данных “онлайн” системы.
- Не указывать на страницах сайта э-майл адреса для связи. Использовать скрипты форм обратной связи.
- Не указывать реквизиты платежных “онлайн” систем или реквизиты банковских счетов на страницах сайта.
- Использование скриптов запрещающих копирование страниц веб – сайта. Надо отметить, что почти все “онлайн” системы грешит по поводу зашиты информации в данном случае.
Признаки, которые может указывать на возможную фишинговую атаку:
Э-майл адрес получателя. При получение такого информационного письма необходимо обратить внимание на что, какой э-майл адрес указан в разделе “Кому”. Если в данном разделе указан другой э-майл адрес, а не получателя, письмо отправлено программой “э-майл спамером”. Также в данном разделе может быть указаны несколько э-майл адреса, что свидетельствует об “спамерской” отправке.
Э-майл адрес отправителя. Большого значения не имеет, тат как существует возможность подмены э-майл адреса, при отправке информационного письма программой анонимной почти.
Дата: 10.05.07 22:03
От кого: Яндекс.Открытки <xxx@yandex.ru> - адрес отправителя
Кому: Ваш адрес@yandex.ru – адрес получателя
Тема: Вам Открытка от пользователя XXXX!
IP адрес отправителя. Установить IP адрес отправителя можно открыв опцию “Свойства письма”, где всегда указывается оригинальный адрес IP адрес отправителя. “Свойства письма” в почтовой системе Яндекс
Received: from mxfront6.yandex.ru ([213.180.XXX.XXX]:61840 "EHLO - IP почтового сервера.
mxfront6.yandex.ru" smtp-auth: <none> TLS-CIPHER: <none> TLS-PEER-CN1:
<none>) by mail.yandex.ru with ESMTP id S2965911AbYERLI6 (ORCPT
<rfc822;kjhgfdsgjh%yandex.ru@mxc10.yandex.ru>);
Sun, 18 May 2008 15:08:58 +0400
Received: from [61.106.66.XXX] ([61.106.66.XXX]:44804 - IP отправителя "HELO 213.180.XXX.XXX"
smtp-auth: <none> TLS-CIPHER: <none> TLS-PEER-CN1: <none>)
by mail.yandex.ru with SMTP id S40413AbYERLIw (ORCPT
Проверить, кому принадлежит IP адрес отправителя можно используя службу “WHOIS”.Если IP адрес отправителя соответствует IP адресу “Яндекс” или “Альфа-банк” получаем следующий ответ:
Яндекс
inetnum XXX.XXX.XXX.XXX – XXX.XXX.XXX.XXX
netname YANDEX-XXX-X
descr Yandex enterprise network
country RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
remarks INFRA-AW
status ASSIGNED PA
mnt-by YANDEX-MNT
source RIPE # Filtered
Альфа-банк
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
netname ALFA-BANK
descr Alfa-Bank Moscow Russia
country RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
status ASSIGNED PA
mnt-by ALFABANK-MNT
source RIPE # Filtered
Если IP адрес отправителя в письме не соответствует с IP адресом в службе “WHOIS”, это указывает на фишинговую атаку, несмотря даже на то, что указан реально существующий э-майл адрес Службы поддержки “онлайн” системы.
Таким же образом можно проверить IP адрес сайта или домена, на котором он находиться.
Есть также возможность проверить историю сайта, на который нас направляет ссылка информационного письма, то – есть с помощью сайта “Internet Archive” проверяем когда был размешен интересующий сайт и сколько интернет – страниц. Для этого копируем веб адрес сайта с командной строки интернет – браузера и вводим в поисковую строку “Internet Archive Wayback Machine”. Если поисковая система не находит данные на проверяемый веб адрес – это обозначает, что сайт – фишинговый.
Original message
