Перейти к основному содержанию

Мошеннические письма от МТС

Alarm тревога

Просто предупредите своих близких, чтобы не велись на мошенническую схему. Уже три недели точно идёт массовая рассылка. На mail.ru пришло.

Якобы от МТС приходят письма: "МТС Москва. Счет на предоплату по ЛС 277437205688 на дату 25.05.2024". Внутри PDF файл.

mts

mts

В файле текст с ссылками, в котором намешаны и ваши задолженности, и, неожиданно, ваши дивиденды. И ссылка на Телеграм с документом, в названии которого есть "Тинькофф". Мошенники забыли приплести Газпром, Госуслуги и Роскосмос.

Самое интересное не это. Мне попало в руки такое письмо, я посмотрел служебные заголовки, а там всё в порядке, письмо от МТС. Ну, не совсем от МТС, а от домена третьего уровня, какой-то поддомен mts.ru. И тут есть варианты:

  • Или почту МТС проломили.
  • Или комп сотрудника МТС проломили.
  • Или один из легитимных для рассылки ресурсов МТС проломили.
  • Или домен третьего уровня у МТС увели, на какой-нибудь Тильде.
  • Или DNS у МТС криво настроен.
  • Или уязвимость в почтовике mail.ru, было что-то недавно такое, с возможностью прикрепить к рассылке второе письмо от кого угодно.

В любом случае, вы — не ведитесь, просто удаляйте такие письма. Родственников предупредите. А вот к ИБ mail.ru и МТС есть вопросики... За три недели давно пора было вычислить проблему и устранить.

Интересно стало

mts

В настройках почтового сервера МТС есть маленький ньюанс. DMARC политика для самого домена mts.ru установлена в p=reject, что не позволяет кому угодно отправлять письма от mts.ru. А вот ещё один параметр sp=none позволяет от имени поддоменов mts.ru (доменам третьего уровня типа xxx.mts.ru) слать что угодно и откуда угодно.

Обычно бывает так, приходит менеджер к админу и говорит: "Мне нужен домен promo.mts.ru", мы тут на Тильде промо-сайт наклепали, хотим поздравить сотрудников со 100500-летием почтовой системы МТС. Сделай A-запись в DNS на Тильду вот на этот IP... Всё в порядке все молодцы.

Проходит год, менеджер уже не работает, админ тоже, промо-сайт на Тильде протух давно и удалён. А запись в DNS осталась... Мошенники регистрируют на Тильде свой сайт, привязывают к нему домен promo.mts.ru. Можно слать спам.

 

Похожие материалы

Уязвимость BootHole в загрузчике GRUB2

Специалисты из компании Eclypsium обнаружили уязвимость переполнения буфера в конфигурационном файле загрузчика GRUB2, который используется при загрузке Windows, Linux, MacOS. Кроме того под удар попали серверные системы, ядра и гипервизоры. Информация была опубликована 29 июля 2020 года, по согласованию с поставщиками операционных систем и производителями компьютеров. Уязвимость позволяет выполнить при загрузке произвольный код.

МЭШ взломали

По сообщениям экспертов Информационной безопасности экосистема московских школ МЭШ последние несколько дней лежит не просто так. Учителя не могут дать детям домашние задания, дети эти задания не могут скачать.

Теги

Exim — уязвимость Zero-day

Популярные почтовые сервера Exim находятся под угрозой. Обнаружено шесть ошибок, четыре из которых уязвимы к удалённому выполнению кода с рейтингом от 7.5 до 9.8 (!), а ещё две раскрывают конфиденциальную информацию.

Теги