Внимание! Фишинг регистрационных данных NIC.ru

Утром нашел в своем почтовом ящике письмо от nic.ru со следующим текстом, gmail в подлинности отправителя не усомнился: Здравствуйте,

12-APR-2015 Вами была заказана услуга RU-CENTER Смена администратора доменного имени microsoft.com.

Услуга будет оказана в течение 72 часов.Право администрирования доменного имени microsoft.com будет передано 60093/NIC-D.

Ссылка для подтверждения или отмены: www.nic.ru/manager/admin_change.cgi? key=SiYK73RJesO3f8cnIH29–26ddd45b02859e836d13d4b9fde34281

Внутри ссылки, само собой, был линк на фишинговый сайт bethesdabiblechapel.net/sav/img/zmpbkbkhso.html? zmpbkbkhso=26ddd45b02859e836d13d4b9fde34281Это было бы совершенно банальным делом, не стоящим внимания, если бы не обход проверок gmail. А дело оказалось в следующем:

Return-Path: Received: from mf1–1.nic.ru (mf1–1.nic.ru. [109.70.27.132])

и Received-SPF: softfail (google.com: domain of transitioning vectorin@vh163.sweb.ru does not designate 109.70.27.132 as permitted sender) client-ip=109.70.27.132; Authentication-Results: mx.google.com; spf=softfail (google.com: domain of transitioning vectorin@vh163.sweb.ru does not designate 109.70.27.132 as permitted sender) smtp.mail=vectorin@vh163.sweb.ruReceived: from vh163.sweb.ru ([77.222.42.167])by mf1–1.nic.ru with esmtp (RIPN)

Спросонья я чуть было не сходил по ссылке, доверившись почтовому сервису в вопросах опознания подлинности отправителя, в связи с чем хочу лишний раз порекомендовать не терять бдительности даже тогда, когда дело касается привычных и надежных систем.В техподдержке регистратора сказали, что им пришло много обращений и служба безопасности занимается этим инцидентом. Насколько я понял — почтовые SMTP-серверы регистратора были использованы злоумышленниками для рассылки фишинговых писем с целью обхода встроенных в почтовые сервисы механизмов проверки подлинности отправителя. Всем внимания и аккуратности!

© Habrahabr.ru