Перейти к основному содержанию

Мошеннические письма от МТС

Alarm тревога

Просто предупредите своих близких, чтобы не велись на мошенническую схему. Уже три недели точно идёт массовая рассылка. На mail.ru пришло.

Якобы от МТС приходят письма: "МТС Москва. Счет на предоплату по ЛС 277437205688 на дату 25.05.2024". Внутри PDF файл.

mts

mts

В файле текст с ссылками, в котором намешаны и ваши задолженности, и, неожиданно, ваши дивиденды. И ссылка на Телеграм с документом, в названии которого есть "Тинькофф". Мошенники забыли приплести Газпром, Госуслуги и Роскосмос.

Самое интересное не это. Мне попало в руки такое письмо, я посмотрел служебные заголовки, а там всё в порядке, письмо от МТС. Ну, не совсем от МТС, а от домена третьего уровня, какой-то поддомен mts.ru. И тут есть варианты:

  • Или почту МТС проломили.
  • Или комп сотрудника МТС проломили.
  • Или один из легитимных для рассылки ресурсов МТС проломили.
  • Или домен третьего уровня у МТС увели, на какой-нибудь Тильде.
  • Или DNS у МТС криво настроен.
  • Или уязвимость в почтовике mail.ru, было что-то недавно такое, с возможностью прикрепить к рассылке второе письмо от кого угодно.

В любом случае, вы — не ведитесь, просто удаляйте такие письма. Родственников предупредите. А вот к ИБ mail.ru и МТС есть вопросики... За три недели давно пора было вычислить проблему и устранить.

Интересно стало

mts

В настройках почтового сервера МТС есть маленький ньюанс. DMARC политика для самого домена mts.ru установлена в p=reject, что не позволяет кому угодно отправлять письма от mts.ru. А вот ещё один параметр sp=none позволяет от имени поддоменов mts.ru (доменам третьего уровня типа xxx.mts.ru) слать что угодно и откуда угодно.

Обычно бывает так, приходит менеджер к админу и говорит: "Мне нужен домен promo.mts.ru", мы тут на Тильде промо-сайт наклепали, хотим поздравить сотрудников со 100500-летием почтовой системы МТС. Сделай A-запись в DNS на Тильду вот на этот IP... Всё в порядке все молодцы.

Проходит год, менеджер уже не работает, админ тоже, промо-сайт на Тильде протух давно и удалён. А запись в DNS осталась... Мошенники регистрируют на Тильде свой сайт, привязывают к нему домен promo.mts.ru. Можно слать спам.

 

Похожие материалы

Родительский контроль — выключаем компьютер на ночь

Дети засиживаются за компьютером? Потратим 5 минут и настроим так, чтобы компьютер автоматически выключался с 9:30 вечера до 6:30 утра. Нам ничего не понадобится кроме встроенного планировщика заданий Windows. 

CTF — рубрика и расписание мероприятий

Capture the Flag (CTF) — это соревнование по кибербезопасности, которое используется для проверки навыков информационной безопасности. Захват флага (секретного кода) — это упражнение, в котором организаторы тайно прячут "флаги" в преднамеренно уязвимых программах или веб-сайтах.

Теги