Проделки СБУ - 3

Здравствуйте дорогие любители конспирологии. Посмотрим внимательнее как же украинские спецслужбы воровали данные граждан свободной украины.

На том самом нидерландском сервере vserver17.ahc.nl был развернут фишинговый домен mail-log.in. на рисунке видно структуру виртуального домена.

Ни о чем не подозревающие украинские пользователи обращались к ресурсам, например, mail.ru. Каждое их обращение бережно и внимательно рассматривалось серверными скриптами (php).

Например скрипт, имитирующий письмо от саппорта mail.ru

Невнимательный пользователь, начитавшись страшилок из письма от лица администрации mail.ru, сгенерированного скриптами, бежал срочно менять пароли на заботливо предоставленной поддельной форме ввода.

СБУ имел профит в виде аккуратненько сложенных логинов и паролей от аккаунтов неугодных пользователей.

Там же лежали файлы со статистикой работы сервера. Можно заметить что работает он давно (аж с апреля) и достаточно успешно.

Таким образом СБУ аккуратненько складывает данные по пользователям, подобно убитым комарам, чтоб потом отрывать от них лапки.

Смотрите также: Проделки СБУ - 2

Предыдущий пост

Посмотреть

Следующий пост

Посмотреть

Поделиться статьей

Уважаемые посетители нашего сайта, Вы можете быстро публиковать в своих социальных сетях ссылки на понравившиеся статьи на нашем сайте.

Комментарии12

bastard 8 августа 2014 13:25

WTF i'm reading now?
обычный фишинговый сайт, причем тут СБУ?
что-то вы ребята начинаете скатываться в сторону цензорнет

xbujlocoff 8 августа 2014 13:49

кстати я тоже что то не заметил где здесь указано что это СБУ, а не Петров или какой нибудь Вандербилт.
Так нельзя..

bastard 8 августа 2014 14:19

Цитата: xbujlocoff

пляшут они от этого заявления http://gmichailov.livejournal.com/661962.html
вот только подтверждений этой теории нет

модемщик 8 августа 2014 16:04

Главный вопрос в способах перенаправления на этот сервер.
Если для этого использовались мощности провайдеров, то однозначно СБУ.
Если же перенаправление осуществлялось вредоносным ПО с клиентского компьютера, то да, есть сомнения.

bastard 8 августа 2014 16:14

Цитата: модемщик

Главный вопрос в способах перенаправления на этот сервер.

железо провайдеров тоже подвержено разнообразным атакам, если был скомпроментирован скажем днс сервер провайдера, то все его пользователи при будут направлены на фишинговый сайт, а госслужбы тут вообще не причем.
исходных данных маловато для каких-либо выводов.

ну и вопрос у меня появился. на скринах показана структура каталогов открытая в проводнике. а каким образом у автора скриншота оказалась копия сайта? чтобы ее вот так вот показать. вор у вора дубинку украл?

Ваня Крейцер 8 августа 2014 20:07

Цитата: bastard

Цитата: модемщик

Главный вопрос в способах перенаправления на этот сервер.

Если повтыкать в HTTP заголовки, то видно что клиент обращается к e.mail-log.in, а не к mail.ru. Что говорит о том, что скорее всего пользователю впарили ссылку, по которой он перешёл не задумавшись ни разу о том, почему это mail.ru переехал на домен mail-log.in.
"Скорее всего", потому что запрос этот на форму входа, которая является частью страницы. Чтобы утверждать определённо, надо было бы посмотреть по какому адресу пользователь запрашивал саму страницу. Впрочем, посмотрев ещё, можно сделать вывод, что запрос использует относительный адрес. Значит и основная страница была запрошена по адресу mail-log.in.

Цитата: bastard

ну и вопрос у меня появился. на скринах показана структура каталогов открытая в проводнике. а каким образом у автора скриншота оказалась копия сайта? чтобы ее вот так вот показать. вор у вора дубинку украл?

Если через ftp получить доступ к сайту, то картинку сделать несложно -- достаточно открыить вендовым проводником.

bastard 8 августа 2014 20:22

Цитата: Ваня Крейцер

бинго-бонго! откуда ~~дровишки~~ доступ-то? сбрутили али нам фейк впаривают, самостоятельно запиленный?

я в пыхе постольку-поскольку, такшта поправьте если ошибаюсь. но я вижу не скрипт рассылки, а скрипт, который в зависимости от получаемого аргумента, выводит на экран те или иные данные

Ваня Крейцер 8 августа 2014 22:37

Цитата: bastard

Цитата: Ваня Крейцер

бинго-бонго! откуда ~~дровишки~~ доступ-то? сбрутили али нам фейк впаривают, самостоятельно запиленный?

Откуда я знаю. Картинка не является ни доказательством, ни опровержением.

Цитата: bastard

я в пыхе постольку-поскольку, такшта поправьте если ошибаюсь. но я вижу не скрипт рассылки, а скрипт, который в зависимости от получаемого аргумента, выводит на экран те или иные данные

Не столько данные, сколько он просто рисует страничку, которая должна убедить пользователя оставить логин/пароль.
Но да, это не скрипт рассылки. О какой рассылке вы, кстати, говорите?

bastard 9 августа 2014 00:13

Цитата: Ваня Крейцер

Но да, это не скрипт рассылки. О какой рассылке вы, кстати, говорите?

в статье

Например скрипт, имитирующий письмо от саппорта mail.ru

как еще можно имитировать, кроме рассылки? (я понимаю что автор может быть не в "теме", но все-же)
да и в предыдущей статье, линк на которую находится в конце этой, вещает о рассылке зверьков

Ваня Крейцер 9 августа 2014 01:17

Цитата: bastard

да и в предыдущей статье, линк на которую находится в конце этой, вещает о рассылке зверьков

А. Я понял. Но я бы больше удивился, если бы этот скрипт был найден на фишинговом сервере. Рассылать письма сомнительного назначения надо из каких-нибудь других мест, которые не жалко потерять, вследствие жалобам отправленным хостеру.

rexei 9 августа 2014 03:58

ЗарегЕстрероваться?И это качественный фишинг?

Ваня Крейцер 9 августа 2014 04:10

Цитата: rexei

ЗарегЕстрероваться?И это качественный фишинг?

Это украинский фишинг. У украинцев в голове происходит интерференция русского и украинского, поэтому с грамотностью (по-крайней мере русского) у них не очень. Или даже очень-не. Я когда в школе учился, у нас учитель географии был из Крыма, который писал настолько безграмотно, что это видел любой школьник. Собственно мы потому и узнали, что он из Крыма: нам устроили головомойку, когда мы начали ржать над ним.