Взом почтового ящика со вкусом

в 15:47, , рубрики: информационная безопасность, мошенничество, Песочница, электронная почта, метки: , ,

Доброго времени суток.
Так получилось, что за неделю я получил 4 сообщения от пользователей mail.ru о том, что они не могут попасть в свой ящик. Пароль не подходил — ну, видимо, угнали пароль. Сразу хочу заметить, что как минимум 1 владелец ящика даже не знал от него пароль (я сам его им создавал и просто настроил Thunderbird, пароль индивидуальный, больше нигде не использовался), следовательно, не могу его по неопытности указать на каком-нибудь фишинговом сайте. Ну, думаю, сейчас пойду да восстановлю пароль, воспользовавшись системой восстановления пароля. Захожу на страницу восстановления пароля и вижу там это:

image

URL-адрес был выделен мышью, когда снимал скриншот — сразу не заметил.


Без какой-либо задней мысли копирую адрес, вставляю в адресную строку и, заметив пару переадресаций, попадаю вот сюда: 87.238.175.175/mmm/passremind.html
Что я там вижу — серый фон и небольшое окошко в центре:
image

Тут я уже сперва задумался, а не разводят ли меня, но потом решил — может быть, mail.ru таким образом в случаях взлома ящика заставляет владельца прицепить номер мобильного, чтобы упростить процедуру восстановления доступа в будущем. В конце концов, не может же на mail.ru дать мне фишинговую ссылку. Вписываю номер, жму продолжить — на телефон приходит смс с текстом «Согласны ли вы с условиями сайта? Да/Нет». Вот тут уже сработал стоп-кран. Отвечать на такие подозрительные смс никак не хотелось. С одной стороны — есть чёткая инструкция на странице восстановления пароля — перейти по ссылке, с другой — я был почти уверен, что каким-то образом меня разводят. Решил отложить проблему — утро вечера мудренее. Лишь полтора часа спустя в пришла светлая мысль. Злоумышленник, взломав ящик, сменил секретный вопрос.

Поняв, что так просто ящик уже не вернуть, решил просто связаться с техподдержкой и объяснить ситуацию. Всё прошло без проблем, и через сутки контроль над ящиком я вернул (сложно было только найти, как связаться с техподдержкой в письменной форме — господа явно не хотят, чтобы их тревожили по пустякам).

Спустя пару дней обнаружилось, что ссылку с формой для ввода телефонного номера я не закрыл, а содержимое страницы изменилось:

image

Не знаю, то ли Команда Mail.ru повлияла на мошенников, то ли что-то само сломалось, но факт — больше не требовался ввод телефона и люди сразу получали пароль. В данный момент сайт уже недоступен.

Вот таким простым способом можно заставить даже сисадмина пойти на поводу у мошенников. Утешает только то, что коллегам также не пришло в голову, что лжеинструкция — это и есть изменённый секретный вопрос. А избежать таких ситуаций довольно просто — всего лишь прикрепить номер мобильного телефона в настройках почтового ящика, чтобы в будущем восстанавливать доступ через мобильник.

Автор: Artes1408

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js