Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Подозрительный спам [кто и как?] (http://forum.oszone.net/showthread.php?t=354298)

krec 29-09-2023 08:27 3017149

Подозрительный спам [кто и как?]
 
Уже какой раз к одному из наших сотрудников приходит спам с разных реальных корп. адресов, но одинаковым содержанием.
Там говорится, типа "Вашего почтового ящика исчерпан более чем на 95%".
Ну и внизу кнопка типа "Увеличить объем", который введет на ОДНО И ТО ЖЕ адрес: выкладываю фильтрованный адрес во избежания конфликта:
PHP код:

_http://site.ru/obe.php?email=nasha@po4ta.com&id=eb1c41c61fa6bbe8efef4c0f26128b0e&b=UGFyZmluZW5rb0BvcHR0aW0uY29t 

Очень хотелось бы понять в чем смысл этой атаки или спама? сайт, куда ведет, это какой то сайт птицефабрики, которая толком и не рабоатет (сама фабрика, позовонил, сказали у нас пока нет отгрузок и за вируса)
Если есть знающие люди, могу реальный адрес выслать в ПМ, чтоб понять в чем дело.

NickM 29-09-2023 08:47 3017153

Цитата:

Цитата krec
http://site.ru/obe.php?email=nasha@po4ta.com »

Это Ваша почта?

Возможно, что таким способом собирают активные эл.ящики, что бы в дальнейшем рассылать любой-другой СПАМ или вести таргетированную рассылку;

Цитата:

Цитата krec
хотелось бы понять в чем смысл этой атаки »

Возможно, что на странице используется эксплойт или тому подобное (вон, нынче патчат свободные библиотеки, браузеры, etc), ведь заставить открыть ссылку пользователем это большое дело, считайте, что Вас уже скомпрометировали.

krec 29-09-2023 10:47 3017172

Цитата:

Цитата NickM
Это Ваша почта? »

да, наша корп.почта.

Цитата:

Цитата NickM
Возможно, что на странице используется эксплойт или тому подобное (вон, нынче патчат свободные библиотеки, браузеры, etc), ведь заставить открыть ссылку пользователем это большое дело, считайте, что Вас уже скомпрометировали. »

ну по первых, мы не открыли ссылку, я смотрел в разных сервисах, но какой сервис не выявил никаких подозрительных активностей.
а во вторых, хочу выяснить что за механизм работы

dmitryst 29-09-2023 10:56 3017173

krec, главное - не открывать такие письма (да и спам вообще) - я сразу удаляю. Механизм бывает самым разным, от страничек, похожих на страничку вашего провайдера (хостинга, банка и т.п.) и требующих ввести аккаунт/пароль до продвинутых систем, ворующих ваши данные при открытии ссылки (т.е. достаточно просто открыть письмо в почтовой программе, и усё, ваши данные пошли куда не надо..)

krec 29-09-2023 11:16 3017178

dmitryst, пожалуйста, давайте не будем умничать. хорошо знаю и про таких сайтов и про фишинг. Я хочу выяснить именно эту атаку. Что за механизм

dmitryst 29-09-2023 11:21 3017179

krec, не думаю, что кто-то распишет про конкретно ваш вариант.

NickM 29-09-2023 12:51 3017197

Цитата:

Цитата krec
ну по первых, мы не открыли ссылку, »

Речь не про Вас конкретно, а про пользователя, который перейдёт по ссылке.

Цитата:

Цитата krec
хорошо знаю и про таких сайтов и про фишинг. »

Нынче не только фишинг используется;

Цитата:

Цитата NickM
(вон, нынче патчат свободные библиотеки, браузеры, etc) »

"Google" активно патчит Свои библиотеки: libwebp и libvpx

krec 29-09-2023 13:46 3017206

Цитата:

Цитата NickM
"Google" активно патчит Свои библиотеки: libwebp и libvpx »

а к чему вообще эти патчи библиотек?

NickM 29-09-2023 14:26 3017215

Цитата:

Цитата krec
а к чему вообще эти патчи библиотек? »

Возможно Вы имели ввиду - к чему патчи именно этих библиотек?

Эти свободные библиотеки используют многие проекты, и в сентябре месяце в оных обнаружены RCE-уязвимости.

Cereal Keeler 29-09-2023 14:39 3017217

Цитата:

Цитата krec
Очень хотелось бы понять в чем смысл этой атаки или спама? »

Фишинг (phising). То есть, угон логинов-паролей с целью завладеть ресурсами при помощи обманок. Юзер проходит по ссылке, там ему предлагают ввести логин и пароль якобы для "расширения" почты, юзер их вводит, готово.
Цитата:

Цитата krec
сайт, куда ведет, это какой то сайт птицефабрики, которая толком и не рабоатет (сама фабрика, позовонил, сказали у нас пока нет отгрузок и за вируса) »

Они и сами могут не знать, что им на сайт подсадили фишинг-вирус. Или не признаться. Также хакеры далеко не всегда сами аккуратны, пользуются готовыми инструментами, которые не всегда настроены как следует.

Настраивайте спам-фильтры. Скажем, от фишинг-атак хорошо поможет включение SPF, DKIM и политики отсева reject с DMARC.

krec 29-09-2023 15:03 3017220

Cereal Keeler, это все лирика , давно по 100 раз изучен.
третий раз уже пишу - мне интересно что за механизм и на самом деле отправители заражены или куда введет ссылка - они?

Cereal Keeler 29-09-2023 15:07 3017221

Цитата:

Цитата krec
третий раз уже пишу - мне интересно что за механизм и на самом деле отправители заражены или куда введет ссылка - они? »

Исследуйте заголовки таких писем. Там всё видно будет - кто, откуда и как. Если у вас сложности с интерпертацией хедеров, можете выложить пример body целиком сюда. Если стесняетесь, то отправьте мне в ЛС. Только без купюр, это важно. Не обещаю впрочем сразу исследовать.

NickM 29-09-2023 15:31 3017231

Цитата:

Цитата krec
_http://site.ru/obe.php?email= »

Цитата:

Цитата krec
мне интересно что за механизм и на самом деле отправители заражены или куда введет ссылка »

Можно попробовать выкачать obe.php сценарий, может там что интересного окажется?

krec 29-09-2023 16:34 3017240

Цитата:

Цитата NickM
Можно попробовать выкачать obe.php сценарий, может там что интересного окажется? »

Уже интересно )) при попытке зайти так: http://site.ru/obe.php
редиректит на https://0.0.1.147/

просто http://site.ru/ открывается сайт птицефабрики

krec 03-10-2023 08:26 3017396

Продолжается спам. Каждый день 1 письмо, от разных реальных корпоративных адресов.
Но содержимое одинаковое и ссылка тоже одинаковая.

bredych 04-10-2023 13:17 3017484

Цитата:

Цитата krec
Но содержимое одинаковое и ссылка тоже одинаковая. »

а вбить правило?
Типа "если в теле письма содержится" и "характерный кусок текста" - > закинуть в спам-корзину
Что на клиенте, что на веб-версиях такое поддерживают все ящики начиная с начала нулевых годов


Время: 13:51.

Время: 13:51.
© OSzone.net 2001-