Новый вид (попытка) кидка методом социальной инженерии

Новый вид (попытка) кидка методом социальной инженерии

Сообщение Andry » 19 окт 2018, 14:11

Приветствую коллеги, хочу рассказать о новом методе кидка набирающего обороты. Сам кидок - чистейшее вымогательство, ну а далее по тексту.
Итак, одним утром мне приходит письмо, где я сам себе отправитель и получатель. Тема письма: mailbox@yandex.ru was hacked
Текст письма следующего содержания:
Hello user@
My nickname in darknet is brice14.
I'll begin by saying that I hacked this mailbox (please look on 'from' in your header) more than six months ago,
through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time.
Even if you changed the password after that - it does not matter, my virus intercepted all the caching data on your computer
and automatically saved access for me.
I have access to all your accounts, social networks, email, browsing history.
Accordingly, I have the data of all your contacts, files from your computer, photos and videos.
I was most struck by the intimate content sites that you occasionally visit.
You have a very wild imagination, I tell you!
During your pastime and entertainment there, I took screenshot through the camera of your device, synchronizing with what you are watching.
Oh my god! You are so funny and excited!
I think that you do not want all your contacts to get these files, right?
If you are of the same opinion, then I think that $500 is quite a fair price to destroy the dirt I created.
Send the above amount on my bitcoin wallet: 1MN7A7QqQaAVoxV4zdjdrnEHXmjhzcQ4Bq
As soon as the above amount is received, I guarantee that the data will be deleted, I do not need it.
Otherwise, these files and history of visiting sites will get all your contacts from your device.
Also, I'll send to everyone your contact access to your email and access logs, I have carefully saved it!
Since reading this letter you have 48 hours!
After your reading this message, I'll receive an automatic notification that you have seen the letter.
I hope I taught you a good lesson.
Do not be so nonchalant, please visit only to proven resources, and don't enter your passwords anywhere!
Good luck!

Вы без труда сможете перевести текст (в чем я уверен), но на словах, кто не умеет читать/переводить, то в двух словах дело выглядит так: Автор утверждает, что взломал мой почтовый ящик, заразил меня вирусом, что менять пароль или нечто предпринимать уже поздно. Прошло по меньшей мере, чем пол-года с момента слежки за мной. Далее...Автор утверждает, что у него есть доступы к моим соц.сетям, мои файлы и фотографии. И наконец, когда затравка закончена, автор переходит к предъявлению того, что я дескать любитель онлайн порно-сайтов, короче "я тако-о-о-й выдумщик.. с огромной фантазией"(с)
Автор утверждает, что у него есть снимок с моей веб-камеры, снимок моих плотских утех и что он, весьма серьезно настроен разослать всем моим контактам сей факт, разослать эти фотографии! Одним словом - сопротивление бесполезно. наконец он предлагает мне выслать ему на БИТКОИН-кошелек сумму равную $500. Неплохо, да?! Конечно же мне дается всего 48 часов, что бы это как можно быстрее это сделать....А он, после всего, так и быть удалит ну и учит меня - не вводить где попало пароли/адреса/явки....Такое вот письмо.....
Разбор полетов.
1) Смотрим в разделе отправленные, писали ли вы сами себе или нет. Нет не писали. Уже хорошо. Но он же мог его удалить?
2) Смотрим реальный заголовок (свойство письма), в моем случае был вот такой код:
Received: from mxfront2j.mail.yandex.net ([127.0.0.1])
by mxfront2j.mail.yandex.net with LMTP id rfxKf2eC
for <mailbox@yandex.ru>; Sun, 18 Oct 2018 00:27:23 +0300
строка с IP реального отправителя: Received: from unknown (unknown [95.180.227.199])
by mxfront2j.mail.yandex.net (nwsmtp/Yandex) with ESMTP id oB2aUh9tR7-RMeePf16;
Fri, 18 Oct 2018 00:27:22 +0300
Return-Path: mailbox@yandex.ru
X-Yandex-Front: mxfront2j.mail.yandex.net
X-Yandex-TimeMark: 1539466042
Authentication-Results: mxfront2j.mail.yandex.net; spf=softfail (mxfront2j.mail.yandex.net: transitioning domain of yandex.ru does not designate 95.180.227.199 as permitted sender, rule=[~all]) smtp.mail=mailbox@yandex.ru
X-Yandex-Spam: 4
Message-ID: <8CC068FA8724521559F1631EBDCB8CC0@B03AJ1QO3>
From: <mailbox@yandex.ru>
To: <mailbox@yandex.ru>
Subject: mailbox@yandex.ru was hacked
Date: 18 Oct 2018 23:49:05 +0100
MIME-Version: 1.0 Content-Type: text/plain; charset="cp-850" Content-Transfer-Encoding: 8bit X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.2180 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180 X-Yandex-Forward: 111122bab98088ecdc0d4636857c14aa

Выходит, что человек из Македонии (я проверил) с IP 95.180.227.199, просто подделал заголовок письма, что бы получателю казалось, что он сам отправитель и получатель. Но нет, обман не проходит.
Теперь идем на сайт BTC.com, вводим указанный в тексте письма код-кошелька (верхний правый угол) и нажимаем поиск. И вот она картина маслом, таким не хитрым методом, автор собрал уже 25 переводов, имеет неплохое состояние. Смотрите на момент написания, у него в кошельке уже более 1.61 биткоина. Вам интересно сколько это? Смотрим курс в сети.
Впечатляет? Меня тоже.
Итак - расчет кидка идет на постыдность и осуждение поступков, риски "быть слитыми" и тот факт, что человек может даже не помнить, что он делал пол-года назад, но такую мысль, такие поступки допускает или додумывает сам. Надеюсь вам это окажется полезным, будьте внимательны, не попадитесь на удочки мошенников и храните/меняйте пароли регулярно.
Аватара пользователя Andry
Andry
Проректор
Проректор
 
Сообщения: 3414
Зарегистрирован: 24 мар 2015, 10:58
Откуда: РФ
Благодарил (а): 151 раз.
Поблагодарили: 191 раз.
Баллы репутации: 41
Студент

Re: Новый вид (попытка) кидка методом социальной инженерии

Сообщение Corsika » 19 окт 2018, 14:35

Нигерийские письма счастья отстали от прогресса, теперь рулят македонские :)

Спасибо за разбор полетов и предупреждение!
Аватара пользователя Corsika
Corsika
Проректор
Проректор
 
Сообщения: 7305
Зарегистрирован: 21 янв 2016, 14:44
Откуда: Ukraine
Благодарил (а): 289 раз.
Поблагодарили: 387 раз.
Баллы репутации: 22
Абитуриент

Re: Новый вид (попытка) кидка методом социальной инженерии

Сообщение nickvik » 19 окт 2018, 17:17

Мне сегодня пришло такое же письмо, но сразу попало в SPAM.
Разница в том, что зовут его по-другому: My nickname in darknet is zebadiah05.
Денег он хочет больше: If you are of the same opinion, then I think that $865 is quite a fair price to destroy the dirt I created
Ну и номер кошелька другой: Send the above amount on my BTC wallet (bitcoin): 1EZS92K4xJbymDLwG4F7PNF5idPE62e9XY
Остальное идентично. Кстати вначале письма он указал пароль от моего почтового ящика, причем неправильный.
Так что спасибо, Andry за предупреждение.
nickvik
Абитуриент
Абитуриент
 
Сообщения: 23
Зарегистрирован: 09 апр 2012, 19:36
Откуда: Подмосковье
Благодарил (а): 1 раз.
Поблагодарили: 4 раз.
Баллы репутации: 0
Абитуриент

Re: Новый вид (попытка) кидка методом социальной инженерии

Сообщение Andry » 19 окт 2018, 19:13

О! А цены то растут! Уже 10 транзакций и больше 1 биткона, а честные люди парятся, тратят на майнинг...А тут хоп!
Аватара пользователя Andry
Andry
Проректор
Проректор
 
Сообщения: 3414
Зарегистрирован: 24 мар 2015, 10:58
Откуда: РФ
Благодарил (а): 151 раз.
Поблагодарили: 191 раз.
Баллы репутации: 41
Студент

Re: Новый вид (попытка) кидка методом социальной инженерии

Сообщение nickvik » 19 окт 2018, 19:48

Хотел удалить сразу, но по примеру Andry, решил покопаться в свойствах письма. Выяснил следующее:
1. Автор уже не mxfront2j , а mxfront3g
2. IP176.221.7.59 - тоже другой, и это уже не Македония, а гораздо ближе - Нижегородская область РФ

Хост: 176.221.7.59
Город: Кстово
Страна: Russian Federation
IP диапазон: 176.221.4.0 - 176.221.7.255
CIDR: 176.221.4.0/22
Название провайдера: Joint Stock Company Svyazist
Наверно, используются анонимайзеры.
nickvik
Абитуриент
Абитуриент
 
Сообщения: 23
Зарегистрирован: 09 апр 2012, 19:36
Откуда: Подмосковье
Благодарил (а): 1 раз.
Поблагодарили: 4 раз.
Баллы репутации: 0
Абитуриент

Re: Новый вид (попытка) кидка методом социальной инженерии

Сообщение dosang » 21 окт 2018, 07:23

nickvik писал(а):Мне сегодня пришло такое же письмо, но сразу попало в SPAM

А у меня в СПАМе только письма, где я получаю какие-то переводы или что-то обязательно выигрываю))
Возврат части денег за покупки производится на www.ebates.com или на www.topcashback.com
Аватара пользователя dosang
dosang
Проректор
Проректор
 
Сообщения: 14212
Зарегистрирован: 08 фев 2011, 10:46
Откуда: Краснодар
Благодарил (а): 209 раз.
Поблагодарили: 941 раз.
Баллы репутации: 353
Доцент КафедрыДоцент КафедрыДоцент КафедрыДоцент Кафедры

Re: Новый вид (попытка) кидка методом социальной инженерии

Сообщение Kenzo » 22 окт 2018, 14:02

Мне тоже пришло. Просят $896, неплохие аппетиты. Пароль какой-то ну очень старый, давным-давно измененный, но тем не менее правильный. Кажется очень давно собирали. Кошелек новый зарядили.

Received: from [180.211.197.216] ([180.211.197.216])


Hello!

I'm a hacker who cracked your email and device a few months ago.
You entered a password on one of the sites you visited, and I intercepted it.
This is your password from ...... on moment of hack: ......

Of course you can will change it, or already changed it.
But it doesn't matter, my malware updated it every time.

Do not try to contact me or find me, it is impossible, since I sent you an email from your account.

Through your email, I uploaded malicious code to your Operation System.
I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources.
Also I installed a Trojan on your device and long tome spying for you.

You are not my only victim, I usually lock computers and ask for a ransom.
But I was struck by the sites of intimate content that you often visit.

I am in shock of your fantasies! I've never seen anything like this!

So, when you had fun on piquant sites (you know what I mean!)
I made screenshot with using my program from your camera of yours device.
After that, I combined them to the content of the currently viewed site.

There will be laughter when I send these photos to your contacts!
BUT I'm sure you don't want it.

Therefore, I expect payment from you for my silence.
I think $896 is an acceptable price for it!

Pay with Bitcoin.
My BTC wallet: 1YnYAxprVrTo1WzPPzMo86ste5Ssp4xsy

If you do not know how to do this - enter into Google "how to transfer money to a bitcoin wallet". It is not difficult.
After receiving the specified amount, all your data will be immediately destroyed automatically. My virus will also remove itself from your operating system.

My Trojan have auto alert, after this email is read, I will be know it!

I give you 2 days (48 hours) to make a payment.
If this does not happen - all your contacts will get crazy shots from your dark secret life!
And so that you do not obstruct, your device will be blocked (also after 48 hours)

Do not be silly!
Police or friends won't help you for sure ...

p.s. I can give you advice for the future. Do not enter your passwords on unsafe sites.

I hope for your prudence.
Farewell.
Наша группа ВКонтакте, добавляйтесь!
http://vk.com/vxzonecom
Аватара пользователя Kenzo
Kenzo
Проректор
Проректор
 
Сообщения: 5863
Зарегистрирован: 28 сен 2005, 01:13
Откуда: Москва
Благодарил (а): 1003 раз.
Поблагодарили: 251 раз.
Баллы репутации: 234
Ассистент КафедрыАссистент КафедрыАссистент Кафедры

Re: Новый вид (попытка) кидка методом социальной инженерии

Сообщение dosang » 22 окт 2018, 14:20

Kenzo писал(а):Пароль какой-то ну очень старый, давным-давно измененный, но тем не менее правильный

Было давно, когда база mail.ru утекла
Возврат части денег за покупки производится на www.ebates.com или на www.topcashback.com
Аватара пользователя dosang
dosang
Проректор
Проректор
 
Сообщения: 14212
Зарегистрирован: 08 фев 2011, 10:46
Откуда: Краснодар
Благодарил (а): 209 раз.
Поблагодарили: 941 раз.
Баллы репутации: 353
Доцент КафедрыДоцент КафедрыДоцент КафедрыДоцент Кафедры

Re: Новый вид (попытка) кидка методом социальной инженерии

Сообщение nickvik » 22 окт 2018, 15:26

Да, аппетиты растут, суммы увеличиваются и IP уже московский, хоть и открытый.
nickvik
Абитуриент
Абитуриент
 
Сообщения: 23
Зарегистрирован: 09 апр 2012, 19:36
Откуда: Подмосковье
Благодарил (а): 1 раз.
Поблагодарили: 4 раз.
Баллы репутации: 0
Абитуриент

Re: Новый вид (попытка) кидка методом социальной инженерии

Сообщение Andry » 22 окт 2018, 17:55

Днём кошелёк был пуст, сейчас уже одна транзакция. Увы, но метод продолжает работать.
Мне таких "жертв" уже парочка отписала, отвёл, успокоил...
Аватара пользователя Andry
Andry
Проректор
Проректор
 
Сообщения: 3414
Зарегистрирован: 24 мар 2015, 10:58
Откуда: РФ
Благодарил (а): 151 раз.
Поблагодарили: 191 раз.
Баллы репутации: 41
Студент

Re: Новый вид (попытка) кидка методом социальной инженерии

Сообщение Агент Смит » 22 окт 2018, 19:19

Расчет на категорию людей, которые ведутся на телефонное мошенничество. Легковерные и эмоциональные. У меня бабушка и мама такие. Провести на раз можно. Мне пришло письмо на КОРПОРАТИВНЫЙ email такое с правильным паролем, который я изменил уже раза три с того времени. Получается тут не mail.ru.
Аватара пользователя Агент Смит
Агент Смит
Ассистент
Ассистент
 
Сообщения: 451
Зарегистрирован: 15 дек 2005, 23:35
Откуда: Тверь, РФ
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.
Баллы репутации: 316
Кандидат НаукКандидат НаукКандидат НаукКандидат Наук

Re: Новый вид (попытка) кидка методом социальной инженерии

Сообщение Andry » 22 окт 2018, 20:58

Kenzo и Агент Смит, скажите пожалуйста, тот пароль, та комбинация, который у вас уже давно другой, был поменян и все такое....Сейчас, в данный момент, применяется где-либо? Постарайтесь пожалуйста честно и припомнить.
Я не буду спрашивать, где,как и т.п Меня интересует отстранённо, но точно. Хорошо, если сможете вспомнить, заходили ли вы с некоего устройства, желательно какого, в котором либо авторизовываться с этим паролем, либо у вас настроено -"запомнить".
Спрашиваю не просто так, меня терзают смутные сомнения....Догадки.
Аватара пользователя Andry
Andry
Проректор
Проректор
 
Сообщения: 3414
Зарегистрирован: 24 мар 2015, 10:58
Откуда: РФ
Благодарил (а): 151 раз.
Поблагодарили: 191 раз.
Баллы репутации: 41
Студент

Re: Новый вид (попытка) кидка методом социальной инженерии

Сообщение Агент Смит » 22 окт 2018, 21:20

Пароль используется в нескольких местах. Не особо важных, но используется. В т.ч. и в автосохраненном виде. Но не там где утверждает "хакер".
Аватара пользователя Агент Смит
Агент Смит
Ассистент
Ассистент
 
Сообщения: 451
Зарегистрирован: 15 дек 2005, 23:35
Откуда: Тверь, РФ
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.
Баллы репутации: 316
Кандидат НаукКандидат НаукКандидат НаукКандидат Наук

Re: Новый вид (попытка) кидка методом социальной инженерии

Сообщение Сергей АВК » 22 окт 2018, 21:32

Тоже получил аналогичную бодягу. Очень старый пароль. Указан в заголовке и теле письма, которое я вррде написал сам себе. Использую его на паре кэшбек сайтов, заброшенном ящике, каких-то форумах наверное. Но на ящике который указан он если и стоял, то пять лет назад. Захожу с 3-4 устройств. Везде автосохранение. За 900 долларов разденусь, сделаю фото и лично ублюдку лично)
Я грудь распахну по-матросски... и крикну: "Да здравствует Троцкий!" (С) Безыменский
Аватара пользователя Сергей АВК
Сергей АВК
Проректор
Проректор
 
Сообщения: 4063
Зарегистрирован: 09 дек 2005, 11:11
Откуда: Киев
Благодарил (а): 121 раз.
Поблагодарили: 110 раз.
Баллы репутации: 481
Доцент КафедрыДоцент КафедрыДоцент КафедрыДоцент КафедрыДоцент Кафедры

Re: Новый вид (попытка) кидка методом социальной инженерии

Сообщение Kenzo » 22 окт 2018, 22:22

Пароль очень древний. Не могу сказать стоял ли когда-то на этом ящике. Возможно. Где-то до сих пор используется думаю. Форумы какие-то, сайты. Даже и не помню.
Наша группа ВКонтакте, добавляйтесь!
http://vk.com/vxzonecom
Аватара пользователя Kenzo
Kenzo
Проректор
Проректор
 
Сообщения: 5863
Зарегистрирован: 28 сен 2005, 01:13
Откуда: Москва
Благодарил (а): 1003 раз.
Поблагодарили: 251 раз.
Баллы репутации: 234
Ассистент КафедрыАссистент КафедрыАссистент Кафедры


Вернуться в Лаунж кафе

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1