Доброе утро!
Проверяя сегодня свой почтовый гугл аккаунт, наткнулся на письмо, сообщающее о прекращении, предоставляемых мне, услуг.
Естсественно меня сперва это возмутило, так как сразу вспомнилась статья о заблокированом пользователе facebook, которому не объяснили причину блокировки.
Чуть погодя, я решил все таки разобрать ситуацию, ведь вряд ли корпорация добра стала внезапно таким заниматься.
Заголовок письма был весьма нестандартным для обычных фишинговых аттак: [Ticket#2013474861215790] Прекращение предоставления услуг — ______@gmail.com.
Далее я решил проверить почтовый адрес отправителя, ожидая увидеть там что-то наподобие ad352klwehoi@mail.com, но все оказалось еще интереснее. Почтовый адрес выглядел вот так, интересно что был даже гугл+ аккаунт plus.google.com/106499313174296424036/posts
Стало интересно как же дальше будут развиваться события. Адрес ссылки с предложением опровергнуть жалобу имел вид f205.in/r9.php?email=vasya.pupkin, делая логический вывод ясно, что атака направлена только на пользователей Gmail.
Пройдя по ссылке, успешно редиректимся на фейковую страничку подтверждения пароля. И тут оказывается, что в адресной строке все тоже очень неплохо msg-google.com/, которая сама по себе редиректит на mail.ru/
После ввода пароля и его подтверждения успешно отправляемся непосредственно accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1<mpl=default<mplcache=2
А злоумышленнику уходят Ваши логин и пароль от почты.
dsh:4942838251703901422
btmpl:va
GALX:Y0tsepwqG00
pstMsg:1
dnConn:
checkConnection:youtube:63:1
checkedDomains:youtube
timeStmp:
secTok:
Login:vasya.pupkin@gmail.com
Password:qweasdzxc
signIn: Подтвердить
PersistentCookie:yes
rmShown:1
Спам фильтры не отсортировали это письмо и оно успешно попало, наверняка, многим пользователям. Так что будьте предельно осторожны с, вызывающими у вас сомнения, письмами.
Автор: ChillyProud
