Страница 1 из 1
Поддельный сайт LibertyReserve
Добавлено: Сб дек 27, 2008 6:43 pm
Alexey D
Получил спам со ссылкой на поддельный сайт LibertyReserve.
http://www.libertyieserve.com/en/customer/account/verify/URL очень похож, сначала даже не заметил, что вместо reserve в ссылке стоит ieserve.
Текст письма:
Dear Sir or Madam,
Thank you for using a Liberty Reserve service. This letter was sent to validate your Liberty Reserve account.
As you may have noticed, Liberty Reserve's website was offline or undergoing various software upgrades a few weeks ago because of the need to apply some new security updates to the system. Everything is OK now but we need you to confirm your account with us. Please click on the following link and verify your account info by filling the form. This is done because there is a chance that some accounts do not function properly with the newly updated system and we would like to ensure that you are the genuine holder of the account. In case you don't fill all the fields, and an internal system conflict occurs between your account and system database, your Liberty Reserve account will be locked down for an unknown period of time.
We apologize for any inconvenience this might cause.
[ссылка]
For information and support please e-mail us at support@libertyreserve.com
Thank you.
Re: Поддельный сайт LibertyReserve
Добавлено: Сб дек 27, 2008 9:54 pm
MBell
Alexey D писал(а):Получил спам со ссылкой на поддельный сайт LibertyReserve.
http://www.libertyieserve.com/en/customer/account/verify/URL очень похож, сначала даже не заметил, что вместо reserve в ссылке стоит ieserve.
Текст письма:
Dear Sir or Madam,
Thank you for using a Liberty Reserve service. This letter was sent to validate your Liberty Reserve account.
As you may have noticed, Liberty Reserve's website was offline or undergoing various software upgrades a few weeks ago because of the need to apply some new security updates to the system. Everything is OK now but we need you to confirm your account with us. Please click on the following link and verify your account info by filling the form. This is done because there is a chance that some accounts do not function properly with the newly updated system and we would like to ensure that you are the genuine holder of the account. In case you don't fill all the fields, and an internal system conflict occurs between your account and system database, your Liberty Reserve account will be locked down for an unknown period of time.
We apologize for any inconvenience this might cause.
[ссылка]
For information and support please e-mail us at
support@libertyreserve.comThank you.
Классно работают!
Кстати, о том же тут:
Либерти. Блокировка акка которого нет
Re: Поддельный сайт LibertyReserve
Добавлено: Вс дек 28, 2008 1:37 pm
Alexey D
Вчера отправил 2 жалобы на этот сайт - хостеру и регистратору домена. Ответа от них пока нет. Сайт по-прежнему работает. Он хостится на nvhserver.com, на том же IP 72.20.24.100 множество инвестфондов, так что хостеры, похоже, лояльно относятся к разным лохотронным проектам.
Как выяснилось, у владельца этого домена ещё 3 таких же сайта:
http://lebertyreserve.com/unblock/en/verify/ - ещё один рабочий сайт, по-видимому, собирает пароли и сейчас
http://libentyreserve.com/en/account/ - тоже рабочий
http://libertyteserve.com/ - этот пока в разработке.
Re: Поддельный сайт LibertyReserve
Добавлено: Вс дек 28, 2008 5:24 pm
Alexey D
Ещё несколько поддельных сайтов LR:
http://ljbertyreserve.com/ IP 81.176.232.103
http://libertyreservie.com/ IP 213.171.218.139
http://www.payexchange.net/login/index.php
http://hyipexinvest.tripod.com/Login%20Step%201%20of%202.htm
Re: Поддельный сайт LibertyReserve
Добавлено: Вс дек 28, 2008 7:26 pm
Aleks
Про письма от Либы все уже слышали....
Но появилось кое что новенькое. При платеже через мерчант с НОРМАЛЬНОГО
сайта замечены случаи перенаправления на ПОДДЕЛЬНЫЙ!
...Перехватывается траффик ssl специальной программой с момента подключения клиента к серверу . Это так называемые MITM -атаки когда трафик пускают через себя и при установке соединения выдают клиенту свой сгенерированный ssl-ключ Вот эти программы и что они могут делать:
Пакет dsniff представляет собой набор программ для сетевого аудита и проверок на возможность проникновения Программы dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf и webspy обеспечивают пассивный мониторинг сети для поиска интересующих данных.(пароли, адреса электронной почты, файлы и т. п.), arpspoof, dnsspoof и macof обеспечивают перехват сетевого трафика, в обычных условиях недоступного для анализа (например, в коммутируемой сети), а sshmitm и webmitm обеспечивают возможность организации MITM-атак для перехвата сессий SSH и HTTPS за счет использования недостатков PKI.
webmitm
Программа webmitm обеспечивает перехват сессий HTTP/HTTPS (HTTP/HTTPS monkey-in-the-middle), реализуя функции прозрачного прокси-сервера и захватывая трафик HTTP/HTTPS, перенаправленный с помощью программы dnsspoof. Программа может перехватывать сессии, использующие шифрование SSL.
И прощайте ваши денежки....
(уже и админы по запаре попадают...)
Мораль: При ЛЮБЫХ платежах САМИ ВНИМАТЕЛЬНО проверяйте
соответствие сайта ЭПС настоящему....
Re: Поддельный сайт LibertyReserve
Добавлено: Вс дек 28, 2008 8:32 pm
McFlooder
Чтобы это работало нужно протроянить машину жертвы. Также программа должна обязательно работать с правами администратора. Но так как большинство юзверей с ними работают всегда, то это не составляет большого труда, ведь некоторые серфинги можно серфить только IE, который дыряв безбожно. Так что таким способом можно троянить целые стада леммингов
Re: Поддельный сайт LibertyReserve
Добавлено: Пн дек 29, 2008 9:24 pm
MBell
Aleks писал(а):Про письма от Либы все уже слышали....
Но появилось кое что новенькое. При платеже через мерчант с НОРМАЛЬНОГО
сайта замечены случаи перенаправления на ПОДДЕЛЬНЫЙ!
И прощайте ваши денежки....
(уже и админы по запаре попадают...)
Мораль: При ЛЮБЫХ платежах САМИ ВНИМАТЕЛЬНО проверяйте
соответствие сайта ЭПС настоящему....
Не знаю точно, о этой ли программе шла речь, но..
Читала на одном весьма серьезном хак сайте, (адрес не сохранился), что имеется программа для перехвата переводов с WM кипера. Суть в подстановке левого № кошелька, не того куда вам надо перевести.
Ясно, что, как пишет
McFlooderЧтобы это работало нужно протроянить машину жертвы
но дела это не меняет!
Кстати, у одного из наших ребят недавно денежка с кипера таки ушла. Но там история еще более странная.
Возвращаясь к фишингу.
Недавно мне показали интересную страницу "Пей-Пал по русски". Опять же урл не сохранился, как и все с погибшего диска.
Честно, у меня до сих пор сомнения, где же я все таки побывала.
Протокол https имелся в наличии, замочек само собой и при перелистывании так или иначе я попадала вроде на подлинный сайт П-П, где все было также, кроме одного. Не было окошка с переходом на русский язык!
Попрошу еще раз эту ссылку для более опытных экспертов!
А пока будем бдительны!
