Фишинговая атака на клиентов Masterhost

[Сергей Ильин 1538]

Будучи клиентом хостинг-провайдера и регистратора Masterhost, на днях получил занятное письмо. В нем говорилось о якобы смене администратора для одного из наших доменов.

Здрaвствуйте.

В Панели управления хостингом в разделе Услуги были произведены изменения .

Изменения были сделаны с IP 88.201.54.41 12.08.2013 г.

Подтвердить или отменить произведенные изменения можно в разделе Заявки и распоряжения:

Ваши персональные данные (домен ххххх.ru):

https://cp.masterhost.ru/manager/billmgr?st...e=domaincontact

--

Клиентская служба компании .masterhost

info@masterhost.ru

http://masterhost.ru/

(495) 772 9720, (495) 956 9720 - многоканальная линия

(495) 772 9723, (495) 956 9723 - факсимильная линия

from: Службa технической поддержки .masterhost <support@masterhost.ru> via cp148.agava.net

to: info@anti-malware.ru

date: Mon, Aug 12, 2013 at 2:56 PM

mailed-by: cp148.agava.net

Получив такое письмо, я поставил его на список писем, требующих внимания, так как сообщение свидетельствует что кто-то стырил домен или собирается это сделать.

Сегодня перейдя по ссылке я обнаружил сообщение от Chrome, что данный сайт является фишинговым. Пошел посмотреть "на свой страх и риск".

В итоге вместо https://cp.masterhost.ru/manager/billmgr?st...e=domaincontact вы попадаете на _http://jaredsweeten.com/images/stories/data1/index.php?domain=ххххх.ru

Логин-скрин сделан точно в стиле Masterhost. В итоге злоумышленники получают пароли и логины от консоли управления хостинг-провайдера. А дальше могут получить фактически неограниченный доступ к сайтам своих жертв. Из консоли этого провайдера можно менять записи DNS, заводить новые аккуанты ftp, поднимать новые сайты, ставить редирект и много других интересных вещей.

********************************

Будьте внимательны!

Фишинг легко отличить. Основной ляп: Управление доменами осуществляется не через Masterhost, а через их дочку Mastername. Именно по этому сообщение сразу настораживает. Кроме того, все сообщения от Masterhos подписаны ЭЦП, это фишинговое, естественно, не подписано.

Мастерхост опубликовал сообщение на своем сайте, о проблеме знают уже

13.08.13Внимание мошенники!

Уважаемые клиенты!

12 августа некоторые клиенты нашей компании получили мошенническую рассылку: письма-оповещения «о смене администратора домена» со ссылкой на посторонние ресурсы, замаскированные под панель управления .masterhost. Настоятельно рекомендуем не переходить по ссылке в письме и не вводить никакие пароли. Если вы воспользовались ссылкой и ввели пароль, немедленно смените его через панель управления и обратитесь к специалистам, чтобы проверить сайт на наличие постороннего кода. Представители нашей компании уже предоставили всю необходимую информацию провайдерам, с серверов которых была направлена вредоносная рассылка, для разбирательства.

Письма с информацией о смене администратора домена от компании .masterhost приходят только в том случае, если клиент действительно проводит процедуру смены администратора и оформил необходимые документы.

Для справки: Подобная рассылка, которая маскируется под настоящую, называется «фишинг» и используется злоумышленниками для того, чтобы получить доступ к конфиденциальным данным, аккаунтам, банковским счетам пользователей. Если письмо вызывает подозрение, то лучше связаться с представителями компании и уточнить полученную информацию.

http://masterhost.ru/events/news/2013/#20130813-01