инфобез

Опять фишинг с доменами

Опять пришло фишинговое письмо на тему якобы неоплаченного домена:

В отличие от прошлого раза ссылка на оплату ведет не на поддельный сайт, а прямо на форму оплаты на Киви физическому лицу. Либо люди и так попадаются, так что не нужно подделывать сайт и программировать прием платежей с карт. Либо мошенникам сложно принимать платежи на поддельных сайтах из-за борьбы с ними.

Фишинг

Пришло качественно сделанное фишинговое письмо, я даже мог бы попасться. Смотрите:

• Релевантная тема и момент. Сегодня действительно мог истечь срок оплаты домена, если бы я его заранее не продлил.
• Письмо не попало в спам, и гугл даже распознал его как важное.
• В клиенте на мобильном телефоне не отображается электронная почта отправителя, просто написано «Beget». То, что я выделил желтым на скриншоте ниже, в мобильном приложении не отображается.

Я сразу полез проверять, что там с балансом. Подумал, что домен не продлился. Оказалось, что с балансом всё нормально. Я пришел к выводу, что внутри сервисов Бегета произошла какая-то ошибка, и они рассылают письма по неверным критериям. И только потом понял, что это был фишинг.

Ссылка в письме, разумеется, поддельная. Ради интереса открыл в режиме «инкогнито». При переходе сначала просит ввести капчу, а затем направляет на экран оплаты. В дополнение к пунктам выше смогли еще и пару сайтов взломать.

Сумма на форме примерно в 5 раз больше стоимости настоящего продления (289 рублей). Не удивлюсь, если за этой формой окажется окошко для ввода пароля из смс, а с карты спишут, скажем, 16 460 рублей.

Вывод всегда один: не переходите по ссылкам из писем, открывайте важные сайты самостоятельно.

Переезд сайта на parpalak.com

На выходных перевел этот сайт с домена written.ru на parpalak.com. Я затеял этот переезд не только из-за красоты домена, которая не особо-то и нужна в современном интернете победивших соцсетей, а скорее из-за изменений в российском интернете.

---

Домен второго уровня я решил зарегистрировать в 2006 году. Рассматривал разные варианты. Домен parpalak.ru оказался занятым. По данным whois его зарегистрировал некий Орест Парпалак. Никакого сайта на этом домене не было, домен использовался для почты. Домен roma.ru тоже оказался занятым. Сейчас по нему открывается сообщение, что домен не продается. А вот раньше там была даже фотография, возможно того самого Ромы.

В итоге я зарегистрировал written.ru. Идею взял у Ромы Воронежского с его сайтами narisoval.ru и napisal.ru, просто перевел слово «написал» на английский.

В 2017 году я обнаружил, что домен parpalak.ru освободился, и зарегистрировал его. Через некоторое время зарегистрировал и parpalak.com, на случай если захочу сделать англоязычный сайт. Кстати, с последним доменом произошла интересная история. Я прописал у регистратора ns-серверы своего хостинга (ns1.linode.com), а в хостинге домен не добавил. Какой-то хитрый пользователь этого хостинга обнаружил это и добавил домен parpalak.com к себе. После чего у меня уже не получилось его добавить. К счастью, никакого контента на сайте по A-записям не оказалось. Я написал в поддержку и проблема была сразу же решена.

---

И вот наступил 2021 год. Государство на полном серьезе принялось «регулировать» интернет (на хабре недавно вышел обзор изменений за последние полгода). Я решил, что пора заняться вопросом информационной безопасности. Не то чтобы я ощутил какую-либо угрозу здесь и сейчас. Но и игнорировать политическую обстановку и произвол силовиков тоже нельзя. Составил контрольный список:

• хостинг — в Европе, ничего делать не надо;
• почта — яндексовская, есть риск взлома или потери;
• домены у российских регистраторов — есть риск отключения или потери.

Я решил оставить российские домены у российских регистраторов и принять соответствующие риски. Остальные домены перенес к регистратору NameSilo. Ссылка реферальная: если решите воспользоваться рекомендацией, получу немного денег. Вроде бы у них самые дешевые домены: домен .com чуть дешевле 10 долларов. Кроме покупки можно переносить имеющиеся домены. Для переноса нужно получить у текущего регистратора код авторизации (примерно так же я переносил домены от Ру-центра к Бегету). Причем NameSilo позаботился, чтобы клиенты из-за переноса ничего не теряли: сам перенос стоит чуть дешевле годовой стоимости домена, а к текущему сроку регистрации добавляется год.

В итоге я перенес от российских регистраторов домены редактора математических текстов Upmath, головоломки Арнольда и s2cms.com. Для черновиков физика зарегистрировал новый домен susy.page вместо susy.written.ru. Киноблог и сайт программы с игрой «Жизнь» остались на своих доменах kinoblog.su и life.written.ru, мне их не жалко.

Последним шагом, как и написал в самом начале, сделал основным доменом parpalak.com вместо written.ru. Этим шагом решается и проблема почты. Дело в том, что почтовым сервисом для written.ru я настроил в 2010 году яндексовскую почту для домена, которая перенаправляет все входящие на гугловскую почту. С этим я ничего делать не буду. Просто сделаю основным почтовый ящик на другом домене.

---

После переезда обнаружилась только одна небольшая проблема — feedly заново показал последние посты. Скорее всего из-за изменения УРЛов, так как они использовались как идентификаторы записей:

<guid isPermaLink="true">https://parpalak.com/blog/2021/09/12/smart_vote</guid>

При этом feedly проигнорировал поле pubDate и показал записи как свежие. Можно было избежать этой проблемы, если специально для RSS запоминать адреса записей. Но я не думаю, что хоть кто-либо когда-либо озаботился и запрограммировал такую фичу.

Уязвимости опсосов

Статья на хабре о дырищах у крупнейших операторов сотовой связи:

Любая программа, имеющая доступ в интернет на вашем телефоне с SIM Мегафон, может узнать ваше местоположение с точностью до базовой станции, номер телефона, идентификаторы IMEI и IMSI. С SIM МТС она может получить ваш номер телефона, идентификаторы IMEI и IMSI, а Билайн позволит раскрыть только номер телефона.

Веб-сайт злоумышленника, содержащий специальным образом сконструированынный запрос, позволит раскрыть ваш номер телефона на МТС.

Что интересно, в последнюю рабочую пятницу перед новогодними каникулами.

Пароли вконтакте

То, что пароли вконтакте хранятся в открытом виде (так как он умеет их напоминать) тоже не говорит нам о нем ничего хорошего.

Внимание, фишинг!

Сегодня утром мне пришло письмо следующего содержания:

Return-Path: <akstcwigramediatoolsmnsdgs@wigramediatools.ch>
[…]
Received: from mail.sigconsult.com (unknown [67.151.249.226])
by mail5.zoneedit.com (Postfix) with ESMTP id 0581950EF91
for <roman@parpalak.pp.ru>; Tue, 15 May 2007 18:13:56 -0400 (EDT)
Received: from 81.221.254.195 (HELO mail.messaging.ch)
by parpalak.pp.ru with esmtp ((;525L'+7>= -,50)
id <H9.?3-*1-6E@-1,
for roman@parpalak.pp.ru; Tue, 15 May 2007 22:05:20 +0500
Message-ID: <01c7973d$20baa2d0$6c822ecf@akstcwigramediatoolsmnsdgs>
From: «noreply@yandex.ru» <noreply@yandex.ru>
To: roman@parpalak.pp.ru
Subject: =?windows-1251?b?8ffl8iDn4OHr7uro8O7i4O0=?=
Date: Tue, 15 May 2007 22:05:20 +0500
MIME-Version: 1.0
Content-Type: text/plain;
format=flowed;
charset="windows-1251";
reply-type=original
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2905
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2905

Уважаемый пользователь,

Согласно пункту 4.6.2.5. Соглашения об использовании Системы «Яндекс.Деньги» ,Ваш счет заблокирован.

Необходима реактивация счета в системе. Для реакцивации проследуйте по линку:
http://passport.yanclex.ru/passport/?mode=loginform&msg=money&type=[…]

Либо свяжитесь с одним из наших операторов:

ООО «ПС Яндекс.Деньги».
101000, г. Москва, ул. Вавилова, дом 40
тел.: +7 (495) 739-23-25

ООО «ПС Яндекс.Деньги», Петербургский филиал.
191123, г. Санкт-Петербург, ул. Радищева, д. 39,
тел.: +7 (812) 334-7750

Вероятно, не вполне проснувшись, я прошел по ссылке из письма, ввел свой логин и пароль, затем платежный пароль. Затем мне еще раз предложили ввести логин и пароль, после чего я оказался в своем кошельке, с которым всё было в порядке. Смотрю, от кого пришло письмо. Подумал, что это несерьезно, когда письма подобного содержания приходят с какого-то noreply@yandex.ru. И тут я понял, что сделал очень глупую ошибку и попал на удочку фишеров. Ведь ссылка была не на yandex.ru, а на yanclex.ru, зарегистрированный, кстати, совсем недавно.

К счастью, я успел имевшимися Яндекс.Деньгами оплатить хостинг, а потом и поменять пароли. А жаль, я к ним очень привык.

Как сообщила Вебпланета, описанное явление носило массовый характер.

Какие отсюда следуют выводы?

1. Стандартный совет, быть как можно внимательнее. Правда, не всегда срабатывает, зачастую для выработки условного рефлекса нужно «обжечься».
2. Можно сохранять пароли в браузере, тогда, если вас вдруг попросят ввести пароль, сразу можно заподозрить неладное. Правда, к компьютеру нужно ограничить доступ других лиц. Да и пароли можно украсть через дыры в браузере/ОС.
3. Нужно сделать несколько почтовых ящиков и четко разделить их функциональность, например, для работы, для переписки с друзьями, для регистрации на сайтах/спама. Совет тривиальный и общеизвестный, но не всем удается ему следовать, особенно, новичкам, когда у них был один ящик, в который повалил спам, и когда проблематично сообщать адрес нового ящика.