Фишинг с использованием ситуации в Туркменистане

09.07.2011

Вернуться к списку новостей Публикую для обычных людей, которые будут гуглить фразы из фишингово письма, чтобы избавить их от сомнений, что у них пытаются украсть пароли. Хабравчанам, думаю, пост тоже может быть не безынтересен, т.к. мошенники использовали несколько оригинальных идей.

На почту приходит письмо:

«Здравствуйте!

Я фотокорр молодежной правозащитной группы «Ихтык намирусил» (Наше Дело) Ималбек Янисиев.
 Вчера, во второй половине дня в г.Абадан начался пожар на складе боеприпасов, расположенном практически в городской черте. Весь вечер и всю ночь рвутся снаряды. Власти пытаются эвакуировать людей и приступить к тушению пожара и разминированию близлежащей территории, но, пока безуспешно.

К месту происшествия не подпускают людей, у которых все имущество осталось в опасной близости от горящего склада. Прибыли отряды ОМОНА. Разгоняют мародеров. У всех, кто находится рядом, отбирают мобильные телефоны, фото- и видеокамеры. Журналистам запрещают снимать. В регионе введена информационная блокада. Отключен Интернет. Отключены сотовые и городские телефоны. Связь только через спутник.

Одновременно с этим идут выборочные аресты гражданского населения. Как нам стало известно, арестовывают в первую очередь представителей оппозиционных партий, организаций и движений.

Активно работают спецслужбы.

По нашим не проверенным данным пожар на складе это провокация властей. Повод разобраться с нами, с оппозицией, с людьми, которые хотят свободы, демократических перемен.

Не знаю сколько еще смогу выходить на связь.

В приложении несколько фотографий с места происшествия.

http://keeperfile.ru/files/getfile/?hsh=4e17185e50618&trk=4e172160eabfa (на момент публикации вирусов нет)

Коллеги, подключите общественность.»

Чтобы «скачать» файл предлагают авторизоваться на Яндекс, Mail, Google или Rambler. Форма авторизации открывается в окошке, без перехода куда-либо. Для неискушенного юзера вполне подойдет.

На самом деле форма является фишинговой и располагается на том же сайте, ни к одному из поисковиков обращения не идет. Для укрепления доверия предлагают так же альтернативу: зарегистрироваться на keeperfile.ru. Сама регистрация ничем не заканчивается, а вот пароль, который наивная жертва введет при «регистрации» вполне может совпадать с паролем от почты.

Способ чем-то напоминает «нигерийские письма», но как видно денег от нас не просят, просят «привлечь общественность». Тема актуальная (если кто-то не вкурсе, в Туркменистане случилась беда). Кроме того, сайт где как бы хранятся фотографии выглядит достаточно прилично, а форма «авторизации» немного напоминает распространенную авторизацию через Open ID.

Если копать глубже, то увидим, что домен мошенников зарегистрирован недавно (created: 2011.06.20), использует свои ns-сервера. Кроме того на сайте не доделана часть страниц, а баннеры не нажимаются.

Ну и еще одна ошибка мошенников: название Ихтык намирусил и имя Ималбек Янисиев взяты из головы. Гугл и Яндекс по ним ничего не находят. Теперь будут, Хабр индексируется быстро. Надеюсь, что часть юзеров благодаря этой статье не попадется на удочку.

Несколько СМИ попались на фишинг и опубликовали это письмо. Из найденных — regnum, reporterru.com, mpst.anho.org, findnews.ru, а так же несколько журналов в ЖЖ. Причем один из постов ЖЖ попал в besttoday.

Источник