SMART-LAB
Новый дизайн
Мы делаем деньги на бирже
Информация
Блог им. vyzei
Внимание !!!!Будьте внимательны, украинские хакеры не спят. Госуслуги взломали, нет.
- 04 мая 2022, 22:12
- |
Пользователь с ником Трейдер. Если бы пользуешься чужим текстом, например с медузы. Вставляй ссылку на оригинал. А то не красиво получается.
www.google.com/amp/s/habr.com/ru/amp/post/661957/
Пришло письмо от ГосУслуг, что я якобы пытаюсь сменить свою электронную почту. Но почему то пришло сообщение на один из моих резервных адресов на яндексе. И там под картинкой был дискредитирующий текст «Госпрограмма Престижный Гроб в Обмен на Службу».
Спам подумал Штирлиц, но почему замочек-то стоит, что отправитель подтверждён? Идём получать настоящее письмо и открываем заголовки для сравнения.
Собственно как выглядит сообщение (внимание на зелёный замочек)
Собственно как выглядит сообщение (внимание на зелёный замочек)
Первое что смотрим это IP адрес smtp сервера и пробиваем его через whois сервис.
В обоих письмах IP адрес совпадает (может спуфинг IP адреса, подумал я). Проверяем SPF записи в DNS, получаем через whois сервис регистратора домена и NS сервера для наших госуслуг, делаем запрос и получаем:
v=spf1 mx a:mail.ntt.ru ip4:109.207.0.0/20 ip4:195.28.32.3 ip4:213.59.253.1 ip4:213.59.253.2 ip4:213.59.254.1 ip4:213.59.254.2 -all
Проверяем DKIM и DMARC, мало ли кто где ошибся. Но всё верно. Тогда начинаем смотреть какие же заголовки у нас подписываются DKIM памятуя о том что электронная почта имеет особенности, которые освещали уже на хабре:
h=from:subject:to:date:message-id;
Значит адрес получателя указанный в заголовке to попадает в подпись, можно ли получить похожее письмо от госуслуг? Легко! Регистрируем аккаунт на госуслугах с именем «Госпрограмма Престижный» и отчеством «Гроб в Обмен на Службу», потом жмём «Изменение электронной почты» и всё дискредитирующее письмо отправляется получателю. Обмазываем это питончиком и наши кулхацкерские скрипт-кидди довольные идут пить чаёк.
Способ получить аккаунт на госуслугах и злоупотреблять функционалом засчитан в ачифку.
А я уж подумал что кто-то тело сообщения может менять на фишинговое что нибудь. Но нет, пойду поработаю.
www.google.com/amp/s/habr.com/ru/amp/post/661957/
Пришло письмо от ГосУслуг, что я якобы пытаюсь сменить свою электронную почту. Но почему то пришло сообщение на один из моих резервных адресов на яндексе. И там под картинкой был дискредитирующий текст «Госпрограмма Престижный Гроб в Обмен на Службу».
Спам подумал Штирлиц, но почему замочек-то стоит, что отправитель подтверждён? Идём получать настоящее письмо и открываем заголовки для сравнения.
Собственно как выглядит сообщение (внимание на зелёный замочек)
Собственно как выглядит сообщение (внимание на зелёный замочек)
Первое что смотрим это IP адрес smtp сервера и пробиваем его через whois сервис.
В обоих письмах IP адрес совпадает (может спуфинг IP адреса, подумал я). Проверяем SPF записи в DNS, получаем через whois сервис регистратора домена и NS сервера для наших госуслуг, делаем запрос и получаем:
v=spf1 mx a:mail.ntt.ru ip4:109.207.0.0/20 ip4:195.28.32.3 ip4:213.59.253.1 ip4:213.59.253.2 ip4:213.59.254.1 ip4:213.59.254.2 -all
Проверяем DKIM и DMARC, мало ли кто где ошибся. Но всё верно. Тогда начинаем смотреть какие же заголовки у нас подписываются DKIM памятуя о том что электронная почта имеет особенности, которые освещали уже на хабре:
h=from:subject:to:date:message-id;
Значит адрес получателя указанный в заголовке to попадает в подпись, можно ли получить похожее письмо от госуслуг? Легко! Регистрируем аккаунт на госуслугах с именем «Госпрограмма Престижный» и отчеством «Гроб в Обмен на Службу», потом жмём «Изменение электронной почты» и всё дискредитирующее письмо отправляется получателю. Обмазываем это питончиком и наши кулхацкерские скрипт-кидди довольные идут пить чаёк.
Способ получить аккаунт на госуслугах и злоупотреблять функционалом засчитан в ачифку.
А я уж подумал что кто-то тело сообщения может менять на фишинговое что нибудь. Но нет, пойду поработаю.
6 комментариев
Трейдер крот?
- 04 мая 2022, 22:16
прикрытый интрадейщик, не знаю, в ЧС меня кинул. Приходится через посты на него влиять.
- 04 мая 2022, 22:19
vyzei, мутный он, я его знаю.
- 04 мая 2022, 22:20
+2
прикрытый интрадейщик, в его посте уже празднуют победу украинских хакеров. Но как обычно перемога опять оказалась зрадой.
- 04 мая 2022, 22:24
+1
vyzei, ужас, что с людьми происходит, может это сон? У меня серьёзно в голове не укладывается этот взрыв лжи и лицемерия.
- 04 мая 2022, 22:33
+7
vyzei,
- 04 мая 2022, 22:47
теги блога vyzei
- bitcoin
- boeing
- juniper networks
- Lada
- lockheed martin
- mcdonalds
- Niva
- tesla
- акции
- банки
- газпром
- газпромбанк
- дивиденды
- Дмитрий Медведев
- доллар рубль
- ЕС
- ЗВР
- интеррао
- иран
- Калининград
- Китай
- криптовалюта
- ЛДНР
- Логистика
- мвф
- мобильный пост
- нефть
- облигации
- оффтоп
- пик сз
- политика
- политсрач
- санкции
- сбербанк
- советский рубль
- совкомфлот
- Тайвань
- торговые сигналы
- трейдинг
- турецкий поток
- форекс