Ну что ж. Вот настала и моя очередь лохануться.

torontoru — 08.03.2019 Сегодня ночью я мог поиметь очень глобальный геморрой. И только благодаря Службе Безопасности Гугла этого не случилось!

Короче описание нового(или не очень нового) метода взлома Ваших почтовых ящиков, получения доступа ко всему что там хранится. Включая самую чувствительную информацию понятно. Как доступ к Вашим банковским счетам, пассвордам и переписке с любовниками(шучу).

Получил письмо вчера от своего товарища. Он достаточно серьезный дата аналист с образованием физика-теоретика и какое то время назад любил посылать мне свои расчеты с аналитикой рынка ценных бумаг и общей теории инвестиций в США. Письмо написано было абсолютно в его стиле, начиналось сожалением что мы давно не списывались, что было абсолютно верным, содержало вопросы с именами членов моей и его семей и заканчивалось информацией что он посылает мне секьюрный линк с интересной информацией. Самого линка в письме не содержалось. Я подробно ответил на его вопросы и заметил не понимаю что за линк и где я его могу найти. В ответ пришло письмо с заметками касательно моих ответов на его вопросы и извинения что забыл присоединить линк. Во втором письме уже была ссылка на Dropbox. Ссылка вела на сайт вот с таким линком. https://hoarse-fabrication.000webhostapp.com/kot/DropNewVasion/DropNewVasion/Fresh/index.html Как Вы можете увидеть, линк ведет на сайт имеющий полностью valid сертификат RSA криптования. И выглядит может быть странно, но не для меня не имеющего опыта пользования Dropbox. Я абсолютно не в курсе процедур которые он используют и что нужно чтобы зайти на их аккаунт. Я понимаю что не все захотят увидеть как выглядит этот сайт Ж-), хотя он не содержит никакого вредоносного кода. Поэтому публикую скриншот.



Как видите ничего подозрительного включая все нужные ключики сертификатов в адресной строке. После выбора своего провайдера почты выскакивает вот такое вот окно, тоже вроде бы не вызывающее опасений. И если не помнить нужно что то вводить в Дропбокс, не нужно, привязан он к почтовому аккаунту, не привязан, тоже ничего не вызывает опасений....



Ну я все равно что то заподозрил. И начал звонить товарищу. Но как я узнал только сегодня, он был недоступен из за 16 часового перелета в командировку в Южную Азию. Не дозвонившись я все же ввел данные и получил доступ к вот такому документу.



Он там длинный, но думается понятно что это такое. Я впал в недоумение, но из за того, что документ полностью связан с темами нашей переписки, т.е инвестициями, я опять же ничего сверх подозрительного не заподозрил. И ушел спать.

И вот в 2 часа ночи, я был разбужен всеми возможными Алертами установленными на моих компьютерах и мобильных устройствах! Кто то начал ломать мою почту на Gmail, данные которой я ввел вчера. И ломать начал используя мой настоящий пассворд! Ломали с АйПи 192.99.110.140 Как видите это VPS провайдер в Квебеке. Кстати я им сразу позвонил, и они ответили что это не их проблема и я должен рапортовать в другом месте. Так что параллельно антиреклама - OVH гавнюки помогающие хаккерам и не заботящиеся о последствиях. Линк на их сайт.

Понятно я сразу связал происходящее с вчерашними письмами. Но поменяв пассворд на моем Гмэйл счете, я начал проверять все возможные логи и судя по ним, Гугл заблокировал все сразу не дав жуликам никакого доступа к моему счету. Спасибо Гугл! И это даже не смотря на отсутствие 2х факторной авторизации на моих счетах.И не смотря на то, что взломщики действовали с канадских серверов.м
История получила продолжение сегодня, когда я дозвонился до своего товарища. Он уже несколько часов на телефоне с пострадавшими. И ущерб огромен. У него в контактном листе были сотни адресов. И очень многие пострадали. Только Гмэйл остановил взлом.

Так вот моего товарища взломали следующим образом - у него есть дом во Флориде который он сдает. Так вот последний жилец съехал не заплатив за рент, но долго с ним переписывался и обещал заплатить. И вот некоторое время назад пришло письмо с подобным описанному выше линку. Мой товарищ долго переписывался с виртуальным рентером и спрашивал почему он должен открывать. Ему отвечали что там скеджуал платежей и т.д. И там информация которую никто не должен видеть. Переписка шла в несколько писем, автор демонстрировал полностью разбираясь во всех аспектах спора об оплате и поэтому в конце концов убедил моего товарища открыть линк. Ящик моего товарища был на Хотмейле. Логи при этом показывают доступ из НИГЕРИИ!!!! И Хотмейл ничего не предпринял! Результат вы знаете.

Итого выводы. Скамеры не просто рассылают дженерик письма. Они открыли реально серьезнейшие аналитические центры, где сидят десятки, если не сотни людей, читают взломанную переписку, пишут целые юзер кейсы и сториз и вступают в реальный контакт с жертвами демонстрируя поразительные знания их бэкграунда чтобы получить доступ к их информации! Прямо какие то спецслужбы они создали. Они даже учли что человек будет недоступен из-за перелета. Вы же не допускаете что они написали для этого какой то AI и это все делал компьютер? Это первый вывод. Второй, что с сегодняшнего дня, для меня 2х ступенчатая авторизация, это ЗАКОН, для любого сервиса. Ну и третий, касающийся уже не лично меня, что пользоваться каким либо почтовым сервисом кроме Гмейла, это реально не очень умно. Ну а про Хотмейл нужно просто забыть!

P.S Понятно, если кто хочет, он может распространить эту историю. Думается чем больше порядочных людей узнает об происходящем, тем тяжелее будет жуликам находить новых жертв. Ну и извиняюсь за многА слов. Но надеюсь что информация кому то покажется полезной!

Как то так... Вот такие дела малята...

Оставить комментарий

Популярные посты:

• Ранее
• Архив