Мошенники

[Negative]

Источник http://habrahabr.ru/post/209486/

 

 

Завязка

 

Началось все с того, что один из моих знакомых, посетовал, что мобильную версию ВКонтакте закрыли. Я очень удивился, потому как не видел для этого никак объективных причин, и поспешил проверить, так ли это. Переход на m.vk.com развеял мои сомнения — все работало. В ходе расспроса знакомого, выяснилось, что у него m.vk.com сообщает о том, что весь сервис переехал на мобильное приложение и предлагает это приложение скачать. Очевидно, это шалят вирусы, подумал я, и попросил знакомого дать взглянуть на его машину.

 

Первым делом, я самолично взглянул на этот фейк, все выглядело очень правдоподобно: было хорошо сверстано и URL был именно m.vk.com. Так что, можно было действительно подумать, что мобильная версия ВК закрылась.

Ну что это может быть? Конечно же, hosts! Открывая его, я уже был готов спасти знакомого от страшной напасти, но… в файле не оказалось ничего, кроме стандартных комментариев. Так же не было и другого, скрытого hosts, как это иногда бывает. Тщательное изучение запущенных процессов не дало ничего интересного, ровным счетом как и гуглирование предлагаемого для скачивания приложения. Я призадумался.

 

Мои мыслительные процессы прервал знакомый, сообщив, что та же самая история происходит и при попытке зайти в ВК с телефона. Это была зацепка. Телефон был подключен к домашней wi-fi точке, к той же, что и проблемный компьютер. Попросив знакомого зайти в ВК с мобильного интернета, отключившись от wi-fi, я отмел вариант заражения телефона — открывалась настоящая версия. Вывод был только один — заражен роутер.

 

Всему виной безответственность

 

Перейдя на 192.168.1.1, я попросил знакомого логин и пароль от роутера и услышал в ответ… admin:admin! Что?! Как можно было не сменить пароль на роутере раздающем wi-fi?! Поразительная безответственность! Знакомый пожал плечами.

Проверив DNS я обнаружил следующее:

176.102.38.70

8.8.8.8

 

Второй адрес мне хорошо известен, это DNS Google, а вот первый я раньше не встречал. Он был даже не из нашего региона.

Ничего, кроме как перейти по этому адресу, в голову не пришло. Предо мной предстал фейк QIWI, при чем, опять же, отменного качества. (Кстати, он до сих пор там).

 

Я удалил этот адрес из DNS, заменив его стандартным для нашего региона, сменил пароль на роутере и перезапустил его. После этого, все заработало как положено. Выслушав благодарности знакомого, я решил заняться фейком поплотнее.

 

Вот это поворот

 

2ip.ru сказал, что адрес украинский и показал из какого он диапазона. Диапазон был небольшим, поэтому логично было бы его просканировать. Сказано-сделано. Полчаса возни и был обнаружен другой интересный адрес. Вот он: 176.102.38.39.

 

Сейчас там расположена ненормативная лексика, но когда я его нашел, там была форма с названием «Fake admin panel» и поля для логина и пароля. Чем черт не шутит? Подумал я, и ввел admin:admin. Как вы думаете, что произошло?

 

Я оказался в админке, с логами всех входов в фейки мошенников! Поразительно, они попались на своем же методе заражения.

Признаю, я сначала подумал, что это ханипот, и попробовал войти в один из кошельков QIWI из лога. Данные были верными, на счету кошелька было около 1000 рублей. Значит, это не ханипот. Я вышел из кошелька, и начал изучать админку.

 

В тылу врага

 

Оформлена админка была со вкусом

 

В разделе Stat можно было увидеть сколько всего залогировано входов. Ситуация примерно такая:

VK ~72000

OK ~45000

QIWI ~9000

BTC — 5

 

Неплохие результаты (не считая btc), да?

 

Отдельно нужно отметить лог QIWI, судя по всему, ради него это все и было сделано. В логе QIWI отображался не только логин, пароль и IP, но и баланс на момент входа, а так же включено ли SMS подтверждение для платежей (что поразительно, в большей части аккаунтов оно было выключено). Такой лог, говорит о том, что после авторизации через фейк, человека авторизировало на реальном QIWI, и бедняга даже не подозревал о подвохе.

 

В правом верхнем углу отображается количество записей, которые еще не убраны в архив (замечу, что эти записи пополнялись очень быстро).

А внизу (на картинке не видно), были кнопочки для удобного экспорта не архивных логов в txt файл и кнопочка для восстановления всех записей из архива.

 

Ощущая, что мое время на исходе, я восстановил все записи из архива QIWI и скачал их себе. Хотел проделать тоже самое с остальными сервисами, но не смог. Потому как при следующем запросе я увидел ошибку 403, а потом и то, что там есть сейчас.

 

Результаты

 

Полученный файл я очистил от одинаковых записей и проверил нет ли там кошелька моего знакомого. Знакомому повезло, его кошелек в руки мошенников не попал. Вот этот файл (естественно без паролей), можете проверить, нет ли там вашего кошелька.

[ku3nez]

"Ахереть как круто" - подумал было я - " и чего Negative мне не позвонил для совместного проведения времени в столь интересном приключении?" - а потом заметил что это хабр... =(

[Negative]

Новость об этой проблеме промелькнула еще 11 декабря 2013 на профильном форуме сетевиков. После чего сразу же были приняты превентивные меры для защиты пользователей сети ОТС.

 

Маршруты на адреса 176.102.38.39 и 176.102.38.70 были (и остаются) заблокированы на пограничном оборудовании.

ip route 176.102.38.39/32 null0 description D-Link's open devices spoofed by this DNS
ip route 176.102.38.70/32 null0 description D-Link's open devices spoofed by this DNS

 

p.s. Вот так вот тихо и незаметно...

[ku3nez]

Новость об этой проблеме промелькнула еще 11 декабря 2013 на профильном форуме сетевиков. После чего сразу же были приняты превентивные меры для защиты пользователей сети ОТС.

 

Маршруты на адреса 176.102.38.39 и 176.102.38.70 были (и остаются) заблокированы на пограничном оборудовании.

ip route 176.102.38.39/32 null0 description D-Link's open devices spoofed by this DNS
ip route 176.102.38.70/32 null0 description D-Link's open devices spoofed by this DNS

 

p.s. Вот так вот тихо и незаметно...

 

Какие же молодцы-то, прям ну ваще

[lola]

Ух ты как здорово)

[TDKs]

Как защититься и чем это грозит в будущем? С карточек деньги не потырят?

[Negative]

Там есть ссылка на файл с номерами. Попробуйте поискать в нем ваш, если пользуетесь киви-кошельком.

Защита простая, ставить пароли на свои роутеры отличные от adminadmin. Закрывать wi-fi паролем. В интернете смотреть внимательно на строку адреса.

[Vladislav_A]

Ну, если воспользоваться поиском от Google, этой заразе уже более 2х месяцев - первое упоминание датируется 16 ноября прошлого года

Сам же недавно столкнулся с похожей дрянью, но работающей более грубо - просто отвалился интернет. Не совсем - пинги шли куда надо, а вот страницы могли открываться часами. Исследование показало - какая-то хрень пописала в настройках IE прокси, ну а остальные браузеры настроены на использование системных настроек. В качестве прокси выступал какойто левый сайт, достучаться до которого у меня не получилось.

После исправления интернет заработал.

Попутно выплыла еще одна проблема - не запускалась служба "Сервер". И на одном из компьютеров в утилите Autoruns отображалась некая подозрительная служба LanmanServer с ссылкой на несуществующий файл. Переход в редактор реестра показал, что изменен параметр

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerImagePath, к стандартному значению - %SystemRoot%system32svchost.exe -k netsvcs, дописана левая DLL.

Исправление данного несоответствия результата не дало - все равно в утилите Autoruns отображалась некая подозрительная служба LanmanServer с ссылкой на несуществующий файл.

Дальней ший поиск привел к ложному значению параметра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParametersServiceDll. В место %SystemRoot%System32srvsvc.dll и был прописан левый файл. Восстановление верного значения параметра исправило ситуацию.

[TDKs]

У меня WI-FI было запаролено , а вход на роутер нет. Сейчас проверяю. Стоит динамическая DNS DynDNS c доменным именем host.dyndns.org. Все нормально, так должно и быть? Сменил пароль на роутере.

[Julia]

я в природе не помню есть ли у меня пароль на роутере, была уверена, что достаточно запаролить вай фай( а как узнать свой пароль роутера со своего компа?

[lola]

Login: Admin

Password: Admin

 

Перед этим зайдите по ссылке : http://192.168.10.1

[fanazipan]

Login: Admin

Password: Admin

 

Перед этим зайдите по ссылке : http://192.168.10.1

 

С чего ты взял что у неё 10 подсеть и где такая сеть по умолчанию? ))

По умолчанию роутеры в основном имеют 1.1 или 0.1, и не у всех пароли adminadmin

[Negative]

Нужно посмотреть адрес своего шлюза. Это и есть роутер. Посмотреть можно комадной ipconfig/all (правда в винды от семерки там уже ничего не поймешь с ходу) или в статусе сетевого соединения. Попасть на него и ввести логин и пароль из инструкции (либо напечатанный с обратной стороны устройства).

[lola]

С чего ты взял что у неё 10 подсеть и где такая сеть по умолчанию? ))

По умолчанию роутеры в основном имеют 1.1 или 0.1, и не у всех пароли adminadmin

Кстати да. Что-то я не подумал.

[polecat]

я в природе не помню есть ли у меня пароль на роутере, была уверена, что достаточно запаролить вай фай( а как узнать свой пароль роутера со своего компа?

Таки стесняюсь спросить, а как вам удалось запаролить ваш вай фай не зная пароля ну рутер?

 

Нужно посмотреть адрес своего шлюза. Это и есть роутер. Посмотреть можно комадной ipconfig/all (правда в винды от семерки там уже ничего не поймешь с ходу)...

Пуск->Выполнить: cmd /k "route print 0.0.0.0" или cmd /k "ipconfig | findstr Gate". В семерке прямо в строке поиска можно. А с /all она, конечно, страшный зверь.

[MaSSteR]

Если человек не знает стандартный пароль, значит настраивать роутер кого-то приглашали.

[lola]

Так вроде запаролить вафлю можно и через виндоус. Или я ошибаюсь?

[Slaavon]

Так вроде запаролить вафлю можно и через виндоус. Или я ошибаюсь?

Кто ви-фи раздает? Правильно - твой роутер. А как ты на него "зайдешь" и запаролишь ви-фи через виндас на компе или как, это не важно.

[Julia]

Таки отвечу сразу всем) Давно это было. Настроить роутер типа подключиться я повозившись смогла сама. А вот запаролить приглашала соседа. Подключала я его методом инструкция + тык и запомнить или записать чего там было/не было не удосужилась, просто рада была, что ОНО заработало) Потом напряглась, что нет пароля и вай фай раздается соседу и попросила его же поставить пароль) Мне не было жалко вай фая, я просто подумала, что вдруг кто чего незаконного наделает с моего вай фая, а мне отвечать. Не знаю вобще оно имеет место бывать или же нет. Общем блондинка с русыми волосами я. А виндус у меня семь, да.

[Сергей Карнаухов]

Мне не было жалко вай фая, я просто подумала, что вдруг кто чего незаконного наделает с моего вай фая, а мне отвечать. Не знаю вобще оно имеет место бывать или же нет. Общем блондинка с русыми волосами я.

 

Имеет место. Иногда правоохранительные органы присылают запросы.

 

В случае чего стрелки будут переведены на вас. Поэтому WiFi надо обязательно паролить.