04 мая 2022, 22:12
Внимание !!!!Будьте внимательны, украинские хакеры не спят. Госуслуги взломали, нет.
Пользователь с ником Трейдер. Если бы пользуешься чужим текстом, например с медузы. Вставляй ссылку на оригинал. А то не красиво получается.
www.google.com/amp/s/habr.com/ru/amp/post/661957/
Пришло письмо от ГосУслуг, что я якобы пытаюсь сменить свою электронную почту. Но почему то пришло сообщение на один из моих резервных адресов на яндексе. И там под картинкой был дискредитирующий текст «Госпрограмма Престижный Гроб в Обмен на Службу».
Спам подумал Штирлиц, но почему замочек-то стоит, что отправитель подтверждён? Идём получать настоящее письмо и открываем заголовки для сравнения.
Собственно как выглядит сообщение (внимание на зелёный замочек)
Собственно как выглядит сообщение (внимание на зелёный замочек)
Первое что смотрим это IP адрес smtp сервера и пробиваем его через whois сервис.
В обоих письмах IP адрес совпадает (может спуфинг IP адреса, подумал я). Проверяем SPF записи в DNS, получаем через whois сервис регистратора домена и NS сервера для наших госуслуг, делаем запрос и получаем:
v=spf1 mx a:mail.ntt.ru ip4:109.207.0.0/20 ip4:195.28.32.3 ip4:213.59.253.1 ip4:213.59.253.2 ip4:213.59.254.1 ip4:213.59.254.2 -all
Проверяем DKIM и DMARC, мало ли кто где ошибся. Но всё верно. Тогда начинаем смотреть какие же заголовки у нас подписываются DKIM памятуя о том что электронная почта имеет особенности, которые освещали уже на хабре:
h=from:subject:to:date:message-id;
Значит адрес получателя указанный в заголовке to попадает в подпись, можно ли получить похожее письмо от госуслуг? Легко! Регистрируем аккаунт на госуслугах с именем «Госпрограмма Престижный» и отчеством «Гроб в Обмен на Службу», потом жмём «Изменение электронной почты» и всё дискредитирующее письмо отправляется получателю. Обмазываем это питончиком и наши кулхацкерские скрипт-кидди довольные идут пить чаёк.
Способ получить аккаунт на госуслугах и злоупотреблять функционалом засчитан в ачифку.
А я уж подумал что кто-то тело сообщения может менять на фишинговое что нибудь. Но нет, пойду поработаю.
www.google.com/amp/s/habr.com/ru/amp/post/661957/
Пришло письмо от ГосУслуг, что я якобы пытаюсь сменить свою электронную почту. Но почему то пришло сообщение на один из моих резервных адресов на яндексе. И там под картинкой был дискредитирующий текст «Госпрограмма Престижный Гроб в Обмен на Службу».
Спам подумал Штирлиц, но почему замочек-то стоит, что отправитель подтверждён? Идём получать настоящее письмо и открываем заголовки для сравнения.
Собственно как выглядит сообщение (внимание на зелёный замочек)
Собственно как выглядит сообщение (внимание на зелёный замочек)
Первое что смотрим это IP адрес smtp сервера и пробиваем его через whois сервис.
В обоих письмах IP адрес совпадает (может спуфинг IP адреса, подумал я). Проверяем SPF записи в DNS, получаем через whois сервис регистратора домена и NS сервера для наших госуслуг, делаем запрос и получаем:
v=spf1 mx a:mail.ntt.ru ip4:109.207.0.0/20 ip4:195.28.32.3 ip4:213.59.253.1 ip4:213.59.253.2 ip4:213.59.254.1 ip4:213.59.254.2 -all
Проверяем DKIM и DMARC, мало ли кто где ошибся. Но всё верно. Тогда начинаем смотреть какие же заголовки у нас подписываются DKIM памятуя о том что электронная почта имеет особенности, которые освещали уже на хабре:
h=from:subject:to:date:message-id;
Значит адрес получателя указанный в заголовке to попадает в подпись, можно ли получить похожее письмо от госуслуг? Легко! Регистрируем аккаунт на госуслугах с именем «Госпрограмма Престижный» и отчеством «Гроб в Обмен на Службу», потом жмём «Изменение электронной почты» и всё дискредитирующее письмо отправляется получателю. Обмазываем это питончиком и наши кулхацкерские скрипт-кидди довольные идут пить чаёк.
Способ получить аккаунт на госуслугах и злоупотреблять функционалом засчитан в ачифку.
А я уж подумал что кто-то тело сообщения может менять на фишинговое что нибудь. Но нет, пойду поработаю.
6 Комментариев
мнгнкбзлк04 мая 2022, 22:16Трейдер крот?0
vyzei04 мая 2022, 22:19прикрытый интрадейщик, не знаю, в ЧС меня кинул. Приходится через посты на него влиять.0- мнгнкбзлк04 мая 2022, 22:20vyzei, мутный он, я его знаю.0
- vyzei04 мая 2022, 22:24прикрытый интрадейщик, в его посте уже празднуют победу украинских хакеров. Но как обычно перемога опять оказалась зрадой.+2
- мнгнкбзлк04 мая 2022, 22:33vyzei, ужас, что с людьми происходит, может это сон? У меня серьёзно в голове не укладывается этот взрыв лжи и лицемерия.+1
Sibling8204 мая 2022, 22:47vyzei,
+7
17:03
Угрозу удара ВСУ, по нефтепроводам Транснефти, невозможно просчитать. Т.к вообще непонятно насколько эта возможность реальна.
17:01
Для защиты достаточно просто зажмуриться. Для тех, кто зажмурится, проблема исчезает автоматически — Дмитрий Медведев ТГ-канал Дмитрия Медведева:
ВОСКРЕСНОЕ
МЕЖДУНАРОДНОЕ ОБОЗРЕНИЕ
про пять с...
«В ходе проведения комплекса оперативно-розыскных мероприятий сотрудниками управления уголовного розыска ГУ МВД России по Саратовской области совместно с коллегами из Маркса при силовой поддержке сотр...
Сергей Соколов,
Эксперты считают, что в российской экономике появился механизм инфляционной спирали. Сначала льготные программы для бизнеса, рост занятости и бюджетные вливания подстегивают креди...
Кстати — риск получить биполярку в стрессовых ситуациях возрастает в десятки раз.
Огромный стресс для организмв — это войны, голод, холод, непонимание что происходит, для больших масс население — ма...
МТС давно не «яйцо», админы)
16:43
VruNeMnogo, и не говори))
Хотя сто раз сказано было, что это разные компании.
Есть у меня знакомая, которая очень сильна в астрологии, дай думаю спрошу как завтра день? с точки зрения финансов мирового масштаба — итог — завтра лонго гэп, спрашиваю причины? Новости? она ты норма...
16:32
KatieArya, и это я еще не стал заострять внимание на источник. А источник этих слухов — одна бабка на базаре сказала, несомненно важный и заслуживающий доверия.
Денис Дюков
5 часов назад
Дивиденды за 2023 год точно будут, и вот почему. Государству сейчас принадлежит 60,8% голосующих акций. Часть этих акций принадлежит Минфину (через Росимущество), другая ...