Имея в своём распоряжении небольшой почтовый сервер, за последний месяц отметил существенное увеличение поддельных Blizzard-like писем. Без малого 200 писем за последний месяц на выборку из 1000 адресов. И только 38 писем было заблокировано антиспам-системой.
Небольшой анализ показал, что основным источником писем является Китай, и только небольшой процент фейка идёт из других стран. И все сработавшие блокировки были положительными ответами Spamhaus.org по IP-адресам отправителей. Рассылка идёт через весьма распределенный ботнет, IP адреса почти не повторяются и блокировать на этом уровне не имеет смысла.
Бороться с источником писем приходится аккуратно, чтобы не заблокировать настоящие письма от Blizzard. И пока идёт борьба на уровне антиспама, лишний раз напомню, как отличать поддельные письма.
Обезопась себя сам- Не радуйтесь раньше времени.
В письме вам дарят бесплатный месяц игры? Или пишут, что ваш аккаунт будет заблокирован, если вы не подтвердите свои данные? Нажимайте delete. Фишеры пристально следят за актуальными событиями. На днях прошёл анонс расширения условий программы "Пригласи друга" и уже сегодня я поймал поддельное письмо по мотивам этой акции.
- Не паникуйте раньше времени.
Вам пишут, что аккаунт будет заблокирован, если вы не подтвердите какие-то данные? Нажимайте delete. Blizzard никогда не присылает подобных писем. В крайнем случае, всегда можно позвонить в поддержку Blizzard и выяснить необходимую информацию. Если для вашего региона нет бесплатного телефона, можно звонить через Skype по номеру +4408000288246 (нажать 6 для выбора русского языка).
- Не кликайте по ссылкам, пока не будете на 110% уверены, что ссылка приведёт туда, куда вы ожидаете.
При клике по ссылке из письма-подделки, в лучшем случае, откроется фишинговый сайт с просьбой залогиниться. В худшем случае, при определенном стечении обстоятельств, страница попытается задействовать одну или несколько уязвимостей в популярных браузерах и посадить вам в систему трояна.
- Внимательно смотрите за целями ссылок, по которым собираетесь переходить из письма.
Как видно на скриншоте, клик по этой ссылке приведёт на eu.battle.net.wow1-gm.net/1ogin.html. Не купитесь на eu.battle.net, упомянутый дважды:
http://pix.am/kFqe.jpg
- Научитесь читать заголовки писем.
Заголовок письма - это служебная информация о письме, которая по-умолчанию не видна пользователю. Однако доступ к ней получить можно и даже нужно.
Как получить доступ к заголовку письма- Microsoft Outlook 2010
Нажмите на свободной части панели инструментов правой кнопкой мыши и выберите Customize the Ribbon
В нижней части правого столбца нажмите New group, предварительно выбрав Home (Mail)
В верхней части левого столбца из ниспадающего списка выберите Commands Not in the Ribbon
Найдите Message Options и перенесите этот пункт в новую группу, нажав Add >>
http://pix.am/nbeH.jpg
- Outlook Express
Нажмите на письмо правой кнопкой мыши и выберите Properties (Свойства)
Во вкладке Details открывшегося окна будут заголовки письма
http://pix.am/qgwh.jpg
- GMail
Нажмите кнопку со стрелкой вниз рядом с кнопкой Ответить вверху в правом углу панели сообщения.
Выберите команду Показать оригинал.
http://pix.am/FABb.jpg
- TheBat!
Выбираем письмо и нажимаем F9
Альтернативный способ - выбрать пункт Специальное -> Исходный текст письма
- Прочие почтовые клиенты
Идея должна быть ясна из примеров выше - вам необходимо найти "свойства" письма. Называться они могут по-разному, но любой более-менее приличный почтовый клиент предоставляет к ним доступ.
Как читать заголовки писемЗаголовки могут отличаться друг от друга в зависимости от того, на какой сервер пришло письмо. Однако идея у них одна и та же - есть параметры и есть значения. Разберём заголовки на примере трёх писем:
Нормальное письмо от Blizzard. На Gmail.
Delivered-To: [email protected]
Received: by 10.146.211.11 with SMTP id j11cs26931yag;
Tue, 17 May 2011 15:47:51 -0700 (PDT)
Received: by 10.224.211.198 with SMTP id gp6mr890737qab.374.1305672470906;
Tue, 17 May 2011 15:47:50 -0700 (PDT)
Return-Path: <[email protected]>
Received: from email.blizzard.com (email.blizzard.com [12.129.200.219])
by mx.google.com with ESMTP id p10si1751246qcu.40.2011.05.17.15.47.48;
Tue, 17 May 2011 15:47:50 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 12.129.200.219 as permitted sender) client-ip=12.129.200.219;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of [email protected] designates 12.129.200.219 as permitted sender) [email protected]; dkim=pass [email protected]
DKIM-Signature: v=1; a=rsa-sha256; d=email.blizzard.com; s=EM; c=relaxed/relaxed; l=14130; i=@*.email.blizzard.com; t=1305672576; x=1337208576; q=dns/txt; h=Date:From:To:Message-ID:Subject; bh=zZmVNVVtt/cxk0lbrKuFjuzX9M3IlV9lg6mfmlmRAnc=; b=UeDzNqPV8R21TKhhbQevRqRyScmxZfEZbaA5130eWaz8cOGeAWEhVEcSiQDlXcPxEDRT1DQs37BowrZvsjWtoawQnnHFbPh9NGk7B5936LDMMQiyzFA6u6rBNz9cq4CcIq2niLk6nP/oWY6pRgOmeJ3i3ObPFpfsv/lnWx+5qTs=
Date: Tue, 17 May 2011 23:49:36 +0100 (BST)
From: Blizzard Entertainment <[email protected]>
To: [email protected]
Message-ID: <[email protected]>
Subject: =?UTF-8?B?0YzQvdC+0Lkg0YbQtdC90LU6INCy0YHQtdCz0L4gMTQ5OSDRgC4=?=
MIME-Version: 1.0
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
X-Mailer: 7.1.1.0.1298; blizzardПараметр
Delivered-To: это куда пришло это письмо. Адрес изменён, разумеется.
Цепочка параметров
Received: показывает путь прохождения письма.
Это важный параметр. Читается снизу вверх, т.е. самый нижний Received будет относится к первому почтовому серверу, который переслал письмо.
Параметр
From: то, что в клиенте отображается, как "Адрес отправителя".
Может быть легко подделан.X-Mailer: показывает какой программой было отправлено письмо. Как мы видим, Blizzard использует свой почтовый клиент.
Фейк номер 1. Простой.
Return-Path: <[email protected]>
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from localhost (server.mail.com [127.0.0.1])
by server.mail.com (Postfix) with ESMTP id B5437C7581
for <[email protected]>; Fri, 17 Jun 2011 20:29:08 +0300 (EEST)
X-Virus-Scanned: amavisd-new at mail.com
X-Spam-Flag: NO
X-Spam-Score: 3.262
X-Spam-Level: ***
X-Spam-Status: No, score=3.262 tagged_above=2 required=5 tests=[BAYES_50=0.8,
DNS_FROM_RFC_BOGUSMX=1.668, HTML_MESSAGE=0.001, RDNS_NONE=0.793]
autolearn=no
Received: from server.mail.com ([127.0.0.1])
by localhost (server.mail.com [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id arj-sPZ7T85W for <[email protected]>;
Fri, 17 Jun 2011 20:29:07 +0300 (EEST)
Received: from bz.net (unknown [222.51.179.128])
by server.mail.com (Postfix) with SMTP id 1D74EC3ED4
for <[email protected]>; Fri, 17 Jun 2011 20:29:04 +0300 (EEST)
Message-ID: <[email protected]>
From: "Blizzard Entertainment" <[email protected]>
To: <[email protected]>
Subject: World of Warcraft - Account Investigation
Date: Sat, 18 Jun 2011 01:39:59 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_004C_011E64F0.1E7B6910"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512Итак, что мы видим:
From: "Blizzard Entertainment" <
[email protected]>
Return-Path: <
[email protected]>
Как было написано выше, поле
From легко подделывается. Однако,
Return-Path подставляется сервером отправителя. А сервер отправителя:
Received: from bz.net (unknown [222.51.179.128]) Ну и
X-Mailer: Microsoft Outlook Express 6.00.2900.5512 близзард вряд ли пользуется Outlook Express =)
Фейк номер 2. Посложнее.
Return-Path: <[email protected]>
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from localhost (server.mail.com [127.0.0.1])
by server.mail.com (Postfix) with ESMTP id 4BA51C27A6
for <[email protected]>; Mon, 27 Jun 2011 19:35:18 +0300 (EEST)
X-Virus-Scanned: amavisd-new at mail.com
X-Spam-Flag: NO
X-Spam-Score: 3.724
X-Spam-Level: ***
X-Spam-Status: No, score=3.724 tagged_above=2 required=5 tests=[BAYES_50=0.8,
FORGED_MUA_OUTLOOK=1.116, FORGED_OUTLOOK_HTML=0.021,
HTML_IMAGE_RATIO_04=0.556, HTML_MESSAGE=0.001, MIME_HTML_ONLY=0.723,
MISSING_MID=0.497, T_REMOTE_IMAGE=0.01] autolearn=no
Received: from server.mail.com ([127.0.0.1])
by localhost (server.mail.com [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id x-BBtBeSEmfD for <[email protected]>;
Mon, 27 Jun 2011 19:35:17 +0300 (EEST)
Received: from email.blizzard.com (mail.nwfa.org [12.174.18.242])
by server.mail.com (Postfix) with ESMTP id B97FBC0F66
for <[email protected]>; Mon, 27 Jun 2011 19:35:04 +0300 (EEST)
Received: from CHINA-8B4476748[192.168.0.203] by email.blizzard.com
with SMTP id 730B1F06; Tue, 28 Jun 2011 00:30:55 +0800
From: "Blizzard Entertainment" <[email protected]>
Subject: Return to World of Warcraft with 7 Days of Game Time
To: "Honeypot" <[email protected]>
Content-Type: text/html;
charset="gb2312"
Content-Transfer-Encoding: 8bit
Reply-To: [email protected]
Date: Tue, 28 Jun 2011 00:31:20 +0800
X-Priority: 2
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
Message-Id: <[email protected]>Разберёмся:
Понятное дело
From: "Blizzard Entertainment" <
[email protected]>
Однако,
Return-Path: <
[email protected]> и
Reply-To: [email protected] все подделаныX-Mailer: Microsoft Outlook Express 6.00.2800.1106 вызывает подозрения, однако этого недостаточно для полной уверенности в поддельности письма (допустим, мы забыли посмотреть, что ссылки в самом письме поддельные).
Смотрим нижние параметры отправления:
Received: from email.blizzard.com (
mail.nwfa.org [12.174.18.242])
Received: from
CHINA-8B4476748[192.168.0.203] by email.blizzard.com
И напоследокНайдя "настоящий" адрес отправителя, не отвечайте ему. Ответ на письмо для спамера, что красная тряпка для быка. Это сигнал, что почтовый адрес не просто живой, а очень живой и можно присылать ему подарки и дальше.
Руководствуйтесь здравым смыслом и берегите себя.
