Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Klasyczny atak phishingowy na użytkowników rosyjskiego portalu Yandex.ru

Dodany 25 czerwca 2007, 09:31 CEST

W piątek w mojej skrzynce na Yandex.ru znalazłem następującą wiadomość:

Thank you for using the Yandex.ru national email service!

Recently, many email accounts have been opened for the purpose of sending spam. As a result, we have actively begun to delete these addresses from the server.

At present, all email accounts with suspicious names - including yours - have been put on a blacklist, and all users are being asked to re-authorize their account using the following link: http://r.yandex.ru/****/yandex/?id=02cfdd227b9735c35a8288f37c020cd2&p=blacklist&mt=0.090866193010010

Once you have completed the re-authorization process, your email address will automatically be removed from the blacklist, because it means you will have confirmed reading this email, which could not happen with a spammer address.

All email addresses that are still on the blacklist as of August 2007 will be deleted from our server, striking a major blow against spammer organizations and improving Yandex.ru email services.

Don’t forget - if you receive an email with advertising content that you did not request, you can report it as spam. The Yandex.ru administration reviews all complaints and will modify its filtering algorithms for new kinds of spam.

Thanks again for using Yandex.ru.

Sincerely,

The Yandex.ru Administration

</font>

Gdy ją czytałem, byłem na wpół obudzony, dlatego o mało nie postąpiłem zgodnie z instrukcjami zawartymi w tym e-mailu. Jednak zdrowy rozsądek zwyciężył: podejrzewałem, że coś jest nie tak, i postanowiłem sprawdzić to. Wygląda na to, że miałem rację: adres, który ukazuje się na pasku stanu przeglądarki, gdy przesunie się kursor na odsyłacz http://r.yandex.ru/..., prowadzi na stronę prowadzoną przez serwis tu1. ru. Jeśli bezpośrednio przejdzie się na ten adres (poprzez skopiowanie go z okna przeglądarki), okaże się, że podobna strona nie istnieje.

Jeśli przyjrzeć się dokładniej, można znaleźć inne drobiazgi, które nie pasują:

  • w e-mailu brakuje przynajmniej jednego przecinka (zgodnie z zasadami rosyjskiej gramatyki);
  • wiadmność ta jest podejrzana, jeśli chodzi o ogólne zasady formalnej korespondencji, tj. styl e-maila jest dziwny;
  • zastanawiające jest, dlaczego adres e-mail "Yandex.ru Administration" to postmaster@sharabee.nichost.ru
  • Jeśli otworzy się odsyłacz prowadzący do "Yandex authorization service", w górnym prawym rogu będzie widoczna reklama, której nie ma na oficjalnej stronie internetowej Yandex.

Jest to klasyczny przykład phishingu. Ataki phishing na rosyjskie serwisy nadal nie są powszechne. O ile dobrze pamiętam, jest to pierwsza masowo wysłana wiadomość phishingowa wykorzystująca adres @yandex.ru - przynajmniej pierwsza z tych, którym udało się obejść filtry spamowe. Tak więc phisherzy mogą wykorzystać element zaskoczenia. Bez wątpienia uda im się przechwycić wiele haseł, nawet jeśli sztuczka, jaką zastosowali, jest prymitywna i słabo przemyślana.

Przed phishingiem łatwo można się zabezpieczyć, wystarczy stosować się do prostych zasad: upewnić się, że nazwa domeny odsyłacza jest autentyczna. W tym celu nie należy klikać jej, ale skopiować i wkleić ją do nowego okna przeglądarki. Jeśli to zrobicie, nawet najbardziej przebiegłe taktyki phisherów wykorzystywane do ukrycia prawdziwego adresu URL nie będą działały.

Jeśli jednak nabraliście się na sztuczkę phisherów i wpisaliście swoje hasło na stronie, do której prowadzi przesłany w mailu odsyłacz, powinniście jak najszybciej je zmienić.