Мошеннические письма от МТС

Олег

  • 20 июня 2024
Alarm тревога

Просто предупредите своих близких, чтобы не велись на мошенническую схему. Уже три недели точно идёт массовая рассылка. На mail.ru пришло.

Якобы от МТС приходят письма: "МТС Москва. Счет на предоплату по ЛС 277437205688 на дату 25.05.2024". Внутри PDF файл.

mts

mts

В файле текст с ссылками, в котором намешаны и ваши задолженности, и, неожиданно, ваши дивиденды. И ссылка на Телеграм с документом, в названии которого есть "Тинькофф". Мошенники забыли приплести Газпром, Госуслуги и Роскосмос.

Самое интересное не это. Мне попало в руки такое письмо, я посмотрел служебные заголовки, а там всё в порядке, письмо от МТС. Ну, не совсем от МТС, а от домена третьего уровня, какой-то поддомен mts.ru. И тут есть варианты:

  • Или почту МТС проломили.
  • Или комп сотрудника МТС проломили.
  • Или один из легитимных для рассылки ресурсов МТС проломили.
  • Или домен третьего уровня у МТС увели, на какой-нибудь Тильде.
  • Или DNS у МТС криво настроен.
  • Или уязвимость в почтовике mail.ru, было что-то недавно такое, с возможностью прикрепить к рассылке второе письмо от кого угодно.

В любом случае, вы — не ведитесь, просто удаляйте такие письма. Родственников предупредите. А вот к ИБ mail.ru и МТС есть вопросики... За три недели давно пора было вычислить проблему и устранить.

Интересно стало

mts

В настройках почтового сервера МТС есть маленький ньюанс. DMARC политика для самого домена mts.ru установлена в p=reject, что не позволяет кому угодно отправлять письма от mts.ru. А вот ещё один параметр sp=none позволяет от имени поддоменов mts.ru (доменам третьего уровня типа xxx.mts.ru) слать что угодно и откуда угодно.

Обычно бывает так, приходит менеджер к админу и говорит: "Мне нужен домен promo.mts.ru", мы тут на Тильде промо-сайт наклепали, хотим поздравить сотрудников со 100500-летием почтовой системы МТС. Сделай A-запись в DNS на Тильду вот на этот IP... Всё в порядке все молодцы.

Проходит год, менеджер уже не работает, админ тоже, промо-сайт на Тильде протух давно и удалён. А запись в DNS осталась... Мошенники регистрируют на Тильде свой сайт, привязывают к нему домен promo.mts.ru. Можно слать спам.

Теги

💰 Поддержать проект

 

Похожие материалы

Почитать