Мошеннические письма от МТС

Олег

20 июня 2024

Просто предупредите своих близких, чтобы не велись на мошенническую схему. Уже три недели точно идёт массовая рассылка. На mail.ru пришло.

Якобы от МТС приходят письма: "МТС Москва. Счет на предоплату по ЛС 277437205688 на дату 25.05.2024". Внутри PDF файл.

В файле текст с ссылками, в котором намешаны и ваши задолженности, и, неожиданно, ваши дивиденды. И ссылка на Телеграм с документом, в названии которого есть "Тинькофф". Мошенники забыли приплести Газпром, Госуслуги и Роскосмос.

Самое интересное не это. Мне попало в руки такое письмо, я посмотрел служебные заголовки, а там всё в порядке, письмо от МТС. Ну, не совсем от МТС, а от домена третьего уровня, какой-то поддомен mts.ru. И тут есть варианты:

Или почту МТС проломили.
Или комп сотрудника МТС проломили.
Или один из легитимных для рассылки ресурсов МТС проломили.
Или домен третьего уровня у МТС увели, на какой-нибудь Тильде.
Или DNS у МТС криво настроен.
Или уязвимость в почтовике mail.ru, было что-то недавно такое, с возможностью прикрепить к рассылке второе письмо от кого угодно.

В любом случае, вы — не ведитесь, просто удаляйте такие письма. Родственников предупредите. А вот к ИБ mail.ru и МТС есть вопросики... За три недели давно пора было вычислить проблему и устранить.

Интересно стало

В настройках почтового сервера МТС есть маленький ньюанс. DMARC политика для самого домена mts.ru установлена в p=reject, что не позволяет кому угодно отправлять письма от mts.ru. А вот ещё один параметр sp=none позволяет от имени поддоменов mts.ru (доменам третьего уровня типа xxx.mts.ru) слать что угодно и откуда угодно.

Обычно бывает так, приходит менеджер к админу и говорит: "Мне нужен домен promo.mts.ru", мы тут на Тильде промо-сайт наклепали, хотим поздравить сотрудников со 100500-летием почтовой системы МТС. Сделай A-запись в DNS на Тильду вот на этот IP... Всё в порядке все молодцы.

Проходит год, менеджер уже не работает, админ тоже, промо-сайт на Тильде протух давно и удалён. А запись в DNS осталась... Мошенники регистрируют на Тильде свой сайт, привязывают к нему домен promo.mts.ru. Можно слать спам.

Global Cyber Week 2019 — анонс

Олег

6 июня 2019
Подробнее о Global Cyber Week 2019 — анонс

Неделя кибербезопасности в Москве! 17 - 18 июня 2019 OFFZONE — ежегодная международная конференция по практической кибербезопасности. 19 июня 2019 Cyber Poligon — учения по международной кооперации бизнеса в борьбе с цифровыми угрозами. 20 - 21 июня 2019 — международный конгресс по кибербезопасности The International Cybersecurity Congress (ICC).

Nessus не работает в России

Олег

26 октября 2022
Подробнее о Nessus не работает в России

Компания Tenable приостановил деятельность в России с 10 марта 2022, кинула своих покупателей из России и отозвала лицензии.

Уязвимость SigRed в DNS сервере Windows

Олег

16 июля 2020
Подробнее о Уязвимость SigRed в DNS сервере Windows

В DNS сервере Windows обнаружена критическая уязвимость семнадцатилетней давности. Уязвимость получила 10 баллов из 10 возможных по шкале CVSSv3, это плохо, так как эксплуатация уязвимости не требует особого ума. Патчи уже есть, так что не откладываем обновление.