[Из песочницы] Фишинг почтовых паролей владельцев доменов
Небольшое отступление, домены зарегистрированы на почту на mail.ru, но ящиком этим давно не пользуюсь и стоит пересылка на gmail. Регистратор — R01.
Приходит письмо »Жалоба на домен мой-домен.ru» такого вот общего содержания:
Здравствуйте, уважаемый клиент.
В адрес Регистратора Р01 с IP-адреса 46.18.200.45 поступила жалоба на домен мой-домен.ru. Данному обращению был присвоен номер AM35930.
Сообщаем Вам, что жалоба признана необоснованной, поскольку обстоятельства, на которые указывает автор жалобы, не нашли подтверждения.
Исходя из вышеизложенного, санкции к домену мой-домен.ru применены не будут.
Файл с текстом жалобы приложен к настоящему письму.
И на телефоне видно что есть какие-то вложения, но кривенькие. Решил посмотреть повнимательнее на компьютере. Тут и началось самое интересное.
Вот как письмо выглядело в браузере:
Отправитель — отправитель стоит как info@r01.ru и не указано что письмо отправлено через другой домен, т. е. можно подумать что пришло действительно письмо от регистратора
Оформление вложения — почта mail.ru (на которую зарегистрирован домен) и вложение стилизовано под этот сервис, но на gmail меня это и насторожило.
При попытке перехода по ссылкам — документ открывался на пару секунд и потом предлагал ввести пароль от моего ящика на mail.ru. Но лень по вводу пароля победила, я просто «заскриншотил» страницу пока она была открыта и почитал содержание уже на картинке, тут-то в принципе все и встало на свои места. В файле вода без конкретики и регистратор у меня R01 (письмо прислали правильное), а в файле указывают ру — центр. После этого уже посмотрел где предлагают ввести пароль, адреса накопал два:
Ребята, кстати, надо заметить довольно оперативно отслеживают введенные пароли, потому как на мой введенный пароль почти моментально пришел ответ:
В этой всей истории меня смущает только один момент — почему gmail не указал, что письмо было отправлено не c r01.ru?! Рассылка идет с sweb, о чем я их уведомил и получил ответ, что меры приняты (какие не знаю). Для пытливых:
Delivered-To: d***y@gmail.com Received: by 10.28.25.130 with SMTP id 124csp1612639wmz; Mon, 14 Dec 2015 02:59:36 -0800 (PST) X-Received: by 10.112.160.33 with SMTP id xh1mr12911366lbb.67.1450090776287; Mon, 14 Dec 2015 02:59:36 -0800 (PST) Return-Path:Received: from mx70.mail.ru (mx70.mail.ru. [94.100.176.84]) by mx.google.com with ESMTPS id vo10si16785629lbb.137.2015.12.14.02.59.35 for (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Mon, 14 Dec 2015 02:59:36 -0800 (PST) Received-SPF: softfail (google.com: domain of transitioning belebeycru@vh234.sweb.ru does not designate 94.100.176.84 as permitted sender) client-ip=94.100.176.84; Authentication-Results: mx.google.com; spf=softfail (google.com: domain of transitioning belebeycru@vh234.sweb.ru does not designate 94.100.176.84 as permitted sender) smtp.mailfrom=belebeycru@vh234.sweb.ru; dmarc=fail (p=NONE dis=NONE) header.from=r01.ru Received: from [77.222.56.130] (ident=mail) by mx70.mail.ru with local (envelope-from ) id 1a8Qqt-0001M2-Ay for deryabinsergey@gmail.com; Mon, 14 Dec 2015 13:59:35 +0300 X-ResentFrom: X-MailRu-Forward: 1 Authentication-Results: mxs.mail.ru; spf=pass (mx70.mail.ru: domain of vh234.sweb.ru designates 77.222.56.130 as permitted sender) smtp.mailfrom=belebeycru@vh234.sweb.ru smtp.helo=vh234.sweb.ru Received-SPF: pass (mx70.mail.ru: domain of vh234.sweb.ru designates 77.222.56.130 as permitted sender) client-ip=77.222.56.130; envelope-from=belebeycru@vh234.sweb.ru; helo=vh234.sweb.ru; Received: from vh234.sweb.ru ([77.222.56.130]:53758) by mx70.mail.ru with esmtp (envelope-from ) id 1a8Qqs-0001Kw-Qa for d***y@mail.ru; Mon, 14 Dec 2015 13:59:35 +0300 X-Mru-BL: 0:0 X-Mru-TLS: TLSv1.2:AES128-SHA X-Mru-BadRcptsCount: 0 X-Mru-PTR: vh234.sweb.ru X-Mru-NR: 1 X-Mru-OF: Linux (Ethernet or modem) X-Mru-RC: RU Received: from belebeycru by vh234.sweb.ru with local (Exim 4.84) (envelope-from ) id 1a8Qqs-003gGZ-Lj for d***y@mail.ru; Mon, 14 Dec 2015 13:59:34 +0300 To: d***y@mail.ru Subject: Жалоба на домен мой-домен.ru MIME-Version: 1.0 Content-type: text/html; charset=windows-1251 From: R01.RU Message-Id: Date: Mon, 14 Dec 2015 13:59:34 +0300 X-Sender-Uid: 11827 X-DMARC-Policy: none X-DMARC-Result: fail X-Mras: Ok X-Mru-Authenticated-Sender: belebeycru@vh234.sweb.ru X-Spam: undefined X-DMARC-Policy: none X-DMARC-Result: fail X-Mras: Ok X-Mru-Authenticated-Sender: belebeycru@vh234.sweb.ru Здравствуйте, уважаемый клиент.
...