Блог Денег

Фишинговые письма. Как определить подделку в вашем почтовом ящике?

2 октября 2012, 17:00

До весны 2012 года в Яндекс.Деньгах действовал запрет на частые пользовательские рассылки по e-mail'у — мы почти никогда ничего не отправляли пользователям, чтобы не провоцировать фишинг (вид мошенничества, когда злоумышленники собирают пароли и конфиденциальную информацию доверчивых пользователей). Разве что приветственные письма и e-mail информирование об операциях.

Но весной мы поняли, что собственные рассылки нам нужны для разных задач: предупредить о новых лимитах, оферте, новых возможностях что-то оплатить...

И мы очень хотим, чтобы вы научились отличать настоящие письма от фишинговых. На самом деле это довольно просто — и это знание пригодится вам не только в общении с Яндекс.Деньгами: мошенники используют одни и те же уловки, представляясь десятками разных сервисов.

 

 

Мы перечитали пару десятков поддельных писем (пожаловаться на них можно здесь) и нашли у них несколько общих признаков:

  • Два самых главных признака фишинга: отсутствие цифровой подписи и наличие исполняемых файлов. В фишинговых письмах почти всегда есть ссылки, которые предлагают что-то скачать (вирус), и вложения (исполняемые файлы или документы с вирусами). Настоящие письма от Яндекс.Денег не содержат в себе ни одного из этих элементов.
  • Поддельные письма подают выдуманную проблему как срочную, жизненно важную и опасную — чтобы пользователь испугался и быстро всё прислал. В фишинговых письмах много восклицательных знаков. Мы не требуем немедленной реакции и срочных мер.
  • В них много грамматических и стилистических ошибок. Конечно, все письма пишут живые люди, и на 100% застраховаться от лишней запятой не может даже учебник по русскому языку, но рассылки от мошенников просто напичканы довольно глупыми опечатками, описками, двойными пробелами, неправильными названиями сервисов и т.п. Если у вас от природы безупречная грамотность — вам повезло! Нашли 2-3 ошибки в рассылке — сразу в «Корзину».
  • Их присылают сериями с одних и тех же адресов, и часто на их авторов уже жалуются в интернете на разных форумах и в блогах. Эти адреса — подставные, их на самом деле не существует (это — ответ на вопрос «Почему Яндекс просто не заблокирует адрес money@yandex.ru»). Часто эти адреса выглядят довольно странно, например, support@mooney.yandex.ru, или support@yandiex.co.cc. Главное, конечно — у них нет цифровой подписи.
  • Мошенники часто просят вас ввести пароль, ПИН-код карты, логин, прислать авторизационный код, залогиниться на специальной странице или даже перевести деньги, чтобы разморозить счёт. Очевидно, что это обман.


 

  • Они попадают в папку «Спам». Наши письма — проверенные и попадают во «Входящие».
  • На них реагируют ваши антивирусные программы.
  • Фишинговые письма иногда могут предложить вам что-то заработать с помощью Яндекс.Денег (довольно глупая идея со стороны мошенников) или даже сообщают, что вы выиграли в специальной лотерее и вам нужно прямо сейчас забрать приз.
  • Чтобы вызвать больше доверия, мошенники подписывают «системные» письма именами реальных людей и даже сотрудников Яндекс.Денег — при этом сообщают, что ваш счёт будет заблокирован в течение суток (что довольно нереалистично) и интимно предлагают лично решить проблему, если вы скачаете какую-нибудь форму.

Общая рекомендация — внимательно читать текст письма, вылавливать ошибки, не поддаваться панике, проверять информацию запросом в наш саппорт и оперировать простой человеческой логикой Крупные сервисы не дарят мелкие суммы денег за скачивание программ по паролю, не устраивают платных лотерей с предоплатой, не делятся «верными секретами выйграша» и не делают 10 ошибок на два предложения чистого текста. 

 

Какой же главный признак настоящего письма от нас? Цифровая подпись.

Ищите специальный зелёный значок рядом с нашим e-mail'ом.

Пожаловаться на фишинг можно здесь. А здесь можно почитать про разные виды мошенничества (FAQ Яндекс.Денег).

17 комментариев
Подписаться на комментарии к посту

Такой вопрос, эти домены (и рассылающие, и ссылающиеся) ведь банят? Сделал пару заявок о мошенничестве, пока мошеннический сайт работает вроде бы.

Меня коллеги поправят, но как я лично понимаю эту ситуацию: большинство сайтов, позволяющих организовать фишинговую рассылку, находятся не в зоне .ру — и чтобы их заблокировать по закону, нужна длинная процедура по обращению к зарубежному провайдеру и зарубежной же полиции. Если эти сайты находятся, условно, на островах в Тихом океане, процесс блокировки/закрытия может занять массу времени (если вообще успешно закончится). При этом количество их растёт, как грибы после дождя, сделать такой новый сайт с формой ввода логина/пароля — пара часов времени для человека, который уже набил руку. При этом инструментов у банков, например, чтобы закрывать такие сайты «руками», разумеется, нет. Как и «блокировать» e-mail'ы — ведь письмо на самом деле часто приходит не с e-mail'а, условно, money@yandex.ru — это просто маска, реальный адрес каждый раз может быть новым. И подставным тоже.

(Но это то, как я сама понимаю прочитанное по теме, в тонкостях я могу быть не права.)

Вот развёрнутый ответ от службы безопасности: 

Рассылка писем обычно осуществляется с помощью ботнетов (сетей из зараженных компьютеров). Адрес отправителя, который видит получатель письма – обычная подделка (почтовые протоколы разрабатывались еще в те времена, когда интернетом пользовались приличные люди и подделывать адрес никому в голову не приходило). Поэтому бороться с самими письмами – то же самое, что бороться со спамом, необходимо, но результат редко заметен невооруженным взглядом. Единого «домена», который можно «забанить», при этом просто нет.

 

С сайтами, на которые ведет фишинговая ссылка, история совсем другая. Они бывают нескольких видов:

 

1.      Взломанные «честные» сайты. Довольно часто злоумышленники размещают фишинговые страницы на вполне законном сайте, какой-нибудь ruspromgrobstrobstroy.ru/yandex/auth.php. Владелец сайта ничего об этом не знает. Решается обычно обращением в хостинговую компанию, которая блокирует сайт до тех пор, пока владелец не объявится и не приведет его в порядок.

2.      Сайты на бесплатных хостингах (всякие yadnexmani.h16.ru и т.п.) – фишер создает их пачками, закрываются, опять же, обращением в поддержку. Обычно в течение 2-3 часов проблема решается.

3.      Сайты со специально зарегистрированным доменом, на иностранном хостинге, известном своим равнодушием (абъюзоустойчивый хостинг). Чаще всего самым быстрым путем блокирования является разделегирование домена, но занимать это может два-три дня.

4.      Сайты вообще без хостинга (размещаются на взломанных пользовательских компьютерах). Используется редко, т.к. трудоемко и дорого, зато крайне сложно закрыть, особенно если используется домен не в зонах .ru/.рф.

 

Так что мы, естественно, принимаем все меры к закрытию фишинговых сайтов и почти всегда справляемся с этим за часы, однако иногда бывают сложности.

Также мы информируем о фишинговых сайтах репутационные службы, которые используют браузеры. Поэтому рекомендуем включать в браузерах режим предупреждения об опасных сайтах – даже если сайт быстро закрыть не удастся, вы увидите предупреждение от браузера.

 

Отличный пост.

Спасибо :)

Молодцы! Актуально. Уже получено штуки 4 подобных письма.

Просьба: ну сделайте кнопку "В избранное". Столько полезной информации на сервисах, уже весь дневник забит хорошими перепостами...:-) 

Мы передадим :)

Благодарю...:-)

Пришло письмо от Яндекс.деньги:

 

"Здравствуйте!

По соображениям безопасности Вам необходимо пройти идентификацию!

1).Подтверить введенные Вами данные ранее, необходимо заполнить данную форму.
2).Вы можете пройти идентификацию, лично посетив один из наших офисов. Для этого нужно выполнить следующие действия:..."

Со ссылкой на:

http://identificational-acount-yandex.16mb.com/

 

Я не очень хорошо разбираюсь в ЯД. Это настоящее письмо или фишинг?

Фишинг!

Во-первых, много ошибок.

Во-вторых, предлагает скачать файл.

В-третьих, ссылка на посторонний адрес. 

  Вернее всего писать в суппорт Яндекса)

  Помню как мне Яндекс.Деньги прислали настоящее письмо, что мне посылают другую банковскую карту ЯД. Конечно, они не просили ничего никуда писать или переходить по ссылкам, поэтому я понимал, что письмо настоящее.

  Я просто написал Яндексу за разъяснениями и мне ответили, что все в порядке.)

Если есть серьёзные сомнения — то да, вернее всего :) Но после каждого письма я бы не стала саппорт дёргать, конечно. Но я просто была по обе стороны уже, может, это деформация :))

Анна, конечно в умеренных количествах) Естественно, письма типа "Ваш счёт заблокирован, вышлите нас ваш пароль" даже без обсуждения идут в спам. Спасибо за отличную статью!

Реально сильная защита до такой степени,что забыв свой платёжный пароль вы уже никогда не сможите забрать деньги со своего счёта, имею личный опыт и к тому же сообщения такого рода удоляют из форума

Инструкция для фишингеров(?), хорошо, поправим :)
Вы и есть, наглые и бессовестные мошенники.

Нашли, как безнаказано народ грабить?!
С неактивного пользователч списывать деньги, кто вам эту идею харватскую подсказал?
Совсем уже обнаглели русишь швайн?!
Хер вам, а не деньги, более не намерен пользоваться вашими услугами в ковычках, ворьё...
Яндекс.Деньги
28 ноября 2016, 12:00
sosnaberesa,
 абонентская плата взимается, если кошельком не пользоваться в течение 2-х лет. О списании мы предупреждаем за месяц письмом на email. Абонентскую плату легко отменить: просто позвонить/написать нам или сделать одну из множества операций в кошельке.