Архив за день: 23 мая, 2008

>Фишинг в картинках

>

Собственно, я уже очень давно не получал фишинговых писем. В основном благодаря хорошему спам фильтру моего ящика, конечно, и нераспространенности моего рабочего адреса. Однако сегодня я оказался счастливым получателем такого:

image Теперь, я на собственном примере расскажу, как я определил, что этот фишерское письмо.

1) Я не являюсь клиентом никакого Colonial Bank.

2) В письме нет ни обращения по имени, ни обращения вообще.

3) При наведении на ссылку в письме появляется вот такое окошко (использовался MS Outlook):

image

4) При нажатии на ссылку появляется сайт с линком в адресной строке, который совсем не соответствует ожидаемому мной:

connect.colonialbank.c1b8r02whf495lx957xq.secureserv.onlineupdatemirror99920515.colonial.certificaterenewal.05.23.2008.nbmbeff.com

5) Открыв страничку, я увидел вот такое (кликабельно):

image

Собственно, ничего удручающего, однако, когда я попытался закачать «сертификат», то я увидел следующее:

image

Сертификат, упакованный в exe??? Что за бред? Кому это надо?

6) Ну и наконец, попробовав-таки его сохранить (первый фишер за столько лет ;))) ) я получил вот такое окошко:

image

Комментарии, как говорится, излишни. И, разумеется, ссылка в п.4 вполне закономерно ведет именно на сайт этого трижды неладного Colobial Bank. Чтобы Вы ввели туда свои учетные данные, а Ваш свежескачанный троян их отдал «куда надо» «Куда не надо».

Выводы:

1) Не все то Банк, что просит Вас что-то сделать от имени Банка.

2) Не все то нужно сразу тыкать, что просят.

3) Длинный и сложный URL — плохой URL.

4) Если Ваш Банк просит Вас скачать exe файл, то или это не Ваш Банк, или имеет смысл подумать о том, чтобы перевести Ваш банк в разряд не Ваших

5) Не отключайте антивирус. И обновляйте его регулярно

6) Просто будьте осторожны =)