Внимание! Фишинг регистрационных данных NIC.ru

в 7:26, , рубрики: nic.ru, информационная безопасность, фишинг, фрод, метки:

Утром нашел в своем почтовом ящике письмо от nic.ru со следующим текстом, gmail в подлинности отправителя не усомнился:

Здравствуйте,

12-APR-2015 Вами была заказана услуга RU-CENTER Смена администратора доменного имени microsoft.com.

Услуга будет оказана в течение 72 часов.
Право администрирования доменного имени microsoft.com будет передано 60093/NIC-D.

Ссылка для подтверждения или отмены:
www.nic.ru/manager/admin_change.cgi?key=SiYK73RJesO3f8cnIH29-26ddd45b02859e836d13d4b9fde34281


Административно-техническая группа RU-CENTER
Эл. почта: rf@nic.ru
Телефоны:
7 (495) 994-46-01
7 (495) 737-06-01
8 800 100-46-01(для регионов России)

Внутри ссылки само собой был линк на фишинговый сайт bethesdabiblechapel.net/sav/img/zmpbkbkhso.html?zmpbkbkhso=26ddd45b02859e836d13d4b9fde34281

Это было бы совершенно банальным делом, не стоящим внимания, если бы не обход проверок gmail. А дело оказалось в следующем:

Return-Path: <vectorin@vh163.sweb.ru>
Received: from mf1-1.nic.ru (mf1-1.nic.ru. [109.70.27.132])

и

Received-SPF: softfail (google.com: domain of transitioning vectorin@vh163.sweb.ru does not designate 109.70.27.132 as permitted sender) client-ip=109.70.27.132;
Authentication-Results: mx.google.com;
spf=softfail (google.com: domain of transitioning vectorin@vh163.sweb.ru does not designate 109.70.27.132 as permitted sender) smtp.mail=vectorin@vh163.sweb.ru
Received: from vh163.sweb.ru ([77.222.42.167])
by mf1-1.nic.ru with esmtp (RIPN)

Спросонья я чуть было не сходил по ссылке, доверившись почтовому сервису в вопросах опознания подлинности отправителя, в связи с чем хочу лишний раз порекомендовать не терять бдительности даже тогда, когда дело касается привычных и надежных систем.

В техподдержке регистратора сказали, что им пришло много обращений и служба безопасности занимается этим инцидентом. Насколько я понял — почтовые SMTP-серверы регистратора были использованы злоумышленниками для рассылки фишинговых писем с целью обхода встроенных в почтовые сервисы механизмов проверки подлинности отправителя. Всем внимания и аккуратности!

Автор: KarasikovSergey

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js