Пришло письмо от ГосУслуг, что я якобы пытаюсь сменить свою электронную почту. Но почему то пришло сообщение на один из моих резервных адресов на яндексе. И там под картинкой был дискредитирующий текст "Госпрограмма Престижный Гроб в Обмен на Службу".
Спам подумал Штирлиц, но почему замочек то стоит, что отправитель подтверждён? Идём получать настоящее письмо и открываем заголовки для сравнения.
Заголовки фишингового письма
Собственно как выглядит сообщение (внимание на зелёный замочек)Заголовки настоящего письма
Первое что смотрим это IP адрес smtp сервера и пробиваем его через whois сервис.
В обоих письмах IP адрес совпадает (может спуфинг IP адреса, подумал я). Проверяем SPF записи в DNS, получаем через whois сервис регистратора домена и NS сервера для наших госуслуг, делаем запрос и получаем:
Проверяем DKIM и DMARC, мало ли кто где ошибся. Но всё верно. Тогда начинаем смотреть какие же заголовки у нас подписываются DKIM памятуя о том что электронная почта имеет особенности, которые освещали уже на
Значит адрес получателя указанный в заголовке to попадает в подпись, можно ли получить похожее письмо от госуслуг? Легко! Регистрируем аккаунт на госуслугах с именем "Госпрограмма Престижный" и отчеством "Гроб в Обмен на Службу", потом жмём "Изменение электронной почты" и всё дискредитирующее письмо отправляется получателю. Обмазываем это питончиком и наши кулхацкерские скрипт-кидди довольные идут пить чаёк.
Способ получить аккаунт на госуслугах и злоупотреблять функционалом засчитан в ачифку.
А я уж подумал что кто-то тело сообщения может менять на фишинговое что нибудь. Но нет, пойду поработаю.
Спам подумал Штирлиц, но почему замочек то стоит, что отправитель подтверждён? Идём получать настоящее письмо и открываем заголовки для сравнения.
Заголовки фишингового письма
Код:
Received: from sas2-8adc7f9fdb94.qloud-c.yandex.net (sas2-8adc7f9fdb94.qloud-c.yandex.net [2a02:6b8:c14:3215:0:640:8adc:7f9f]) by sas2-ae949eb13c6d.qloud-c.yandex.net with LMTP id 4u3mxCXHpQ-og7QG23s for <[email protected]>; Wed, 20 Apr 2022 00:26:08 +0300 Received: from smtp.gosuslugi.ru (smtp.gosuslugi.ru [213.59.253.1]) by sas2-8adc7f9fdb94.qloud-c.yandex.net (mxfront/Yandex) with ESMTPS id ATKp9xSv2g-Q8b4nfU6; Wed, 20 Apr 2022 00:26:08 +0300 (using TLSv1.2 with cipher ECDHE-RSA-AES128-SHA256 (128/128 bits)) (Client certificate not present) Return-Path: [email protected] X-Yandex-Fwd: 1 Authentication-Results: sas2-8adc7f9fdb94.qloud-c.yandex.net; spf=pass (sas2-8adc7f9fdb94.qloud-c.yandex.net: domain of gosuslugi.ru designates 213.59.253.1 as permitted sender, rule=[ip4:213.59.253.1]) [email protected]; dkim=pass [email protected] X-Yandex-Spam: 1 X-Yandex-Uid-Status: 1 114035614 Content-Type: text/html; charset="utf-8" Content-Transfer-Encoding: base64 DKIM-Signature: v=1; a=rsa-sha256; d=gosuslugi.ru; s=mail; c=simple/simple; t=1650403568; h=from:subject:to:date:message-id; bh=4oxNCFprgCAKhzGZtJcM623SIyiDTPjssySVEYpQKZU=; b=KUXexfkjrC6E2jxTR7iX4AeG8ecaZtzjfuAqS9LrI/fceyBWpVG01dbga1BbFEBz/da+GoSb03H q07OdkOW9DYG3CT/MlMYl/tJJJ36Sl3Md72n1QnIQJ1lqu4ZfBPaxPcDU1u5l2TXBBtyCNcyzLnXi 6EFKI7k1zYzNSrVLnqQQzrWpZYXS1Psmmzp1X1zvjqF9KzB6K4qM4rgzzblTfLpuWLmVpxlhLGmyb aqD/i7IK2SK/Cs/2McTktWAr6hhNA1FMQCrWJO4E4P+gNo7Xxwg+hgIQKA84Mqn2Uu48JQ09cbJIi 4kbx0zYH/pzFkXahVknd9ncAf4JaxEM8n/CA== From: =?UTF-8?B?0JPQvtGB0YPRgdC70YPQs9C4?= <[email protected]> Sender: =?UTF-8?B?0JPQvtGB0YPRgdC70YPQs9C4?= <[email protected]> To: <[email protected]> Message-ID: <[email protected]> Subject: =?UTF-8?B?0KHQvNC10L3QsCDQsNC00YDQtdGB0LAg0Y3Quw==?= =?UTF-8?B?0LXQutGC0YDQvtC90L3QvtC5INC/0L7Rh9GC0Ys=?= MIME-Version: 1.0 Date: Wed, 20 Apr 2022 00:26:07 +0300 X-Yandex-Forward: b6884cd3e061804f66d1d7eebbc56d2e
Код:
Delivered-To: [email protected] Return-path: <> Received: from [213.59.253.1] (ident=mail) by del7.m.smailru.net with local (envelope-from <[email protected]>) id 1ngvNx-00096t-VC for [email protected]; Wed, 20 Apr 2022 00:27:46 +0300 X-ResentFrom: <[email protected]> X-MailRu-Forward: 1 Received-SPF: pass (mx219.i.mail.ru: domain of gosuslugi.ru designates 213.59.253.1 as permitted sender) client-ip=213.59.253.1; [email protected]; helo=smtp.gosuslugi.ru; Received: from smtp.gosuslugi.ru ([213.59.253.1]:51712) by mx219.i.mail.ru with esmtp (envelope-from <[email protected]>) id 1ngvNx-0002W0-Hx for [email protected]; Wed, 20 Apr 2022 00:27:45 +0300 Content-Type: text/html; charset="utf-8" Content-Transfer-Encoding: base64 DKIM-Signature: v=1; a=rsa-sha256; d=gosuslugi.ru; s=mail; c=simple/simple; t=1650403665; h=from:subject:to:date:message-id; bh=qBdNyJhJgBmVEGhhkkt4GqqkNDk2wUVuSewod4GvXx0=; b=hgZnRPTdkUfY79i9DPPqwvSph4EScm3RVWKeYDLX4pqXgLXwe70a2wpB8HUHxux3ySJrTSZDpuJ rs1UDGVARmkrnbY+DfF3Fc1OI3Bh4o20EodNYsa0ShftdWsPU0072ooAUMh29gPAsfT2MKug70UQF mDd7fqqh82mmI1jTqDrEsMT2IYNfkgYUy9+eKLuvqJISspKn6GTyD20v8y3zdxD2qbSEwGQ74gqYv ny8hl++hcEOUSay9YPxf2fteklxLGKOBYQhclkuTNcs3bMRE1A6PJKOcnXSajzhAwy+tAoAWZgfmr 6VwK8mKyxxT9VSqbqq3knS3u8DR3xE0NXYzg== From: =?UTF-8?B?0JPQvtGB0YPRgdC70YPQs9C4?= <[email protected]> Sender: =?UTF-8?B?0JPQvtGB0YPRgdC70YPQs9C4?= <[email protected]> To: <[email protected]> Message-ID: <[email protected]> Subject: =?UTF-8?B?0KPRgdC/0LXRiNC90YvQuSDQstGF0L7QtCDQsiDRgdC40YHRgtC10LzRgw==?= MIME-Version: 1.0 Date: Wed, 20 Apr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eAau8CL7WIMRKs4sN3D3tLDjz0dLbV79QFUyzQ2Ujvy7cMT6pYYqY16iZVKkSc3dCLJ7zSJH7+u4VD18S7Vl4ZUrpaVfd2+vE6kuoey4m4VkSEu530nj6fImhcD4MUrOEAnl0W826KZ9Q+tr59cQFxbtK52nrsBwskjMlLbwTDbZjg0ktGWyd3ZwR5M2G0g+gzS0PKeJDOBrL//rLYldd2avYxhfs9M+DuXTOBSH/SnnzuO3dUdTEydar/8eFJ0Yov0iBYqbPxbjRbsUFg== X-F696D7D5: c0WPOqWmwQ3rQhCFGZFb9SKd3VPw5rOHAXS29IJQOLp9rFA0OGQlUw== X-Mailru-BIMI-Organization: w+7x8/Hr8+Po X-Mailru-Noreply: yes X-Mras: Ok X-Spam: undefined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eAau8CL7WIMRKs4sN3D3tLDjz0dLbV79QFUyzQ2Ujvy7cMT6pYYqY16iZVKkSc3dCLJ7zSJH7+u4VD18S7Vl4ZUrpaVfd2+vE6kuoey4m4VkSEu530nj6fImhcD4MUrOEAnl0W826KZ9Q+tr59cQFxbtK52nlS5dXYHM/vGJPPyhnCcOsWxjvstlFwfLDmG3SyZat9L/UbVf+SZbS53lpSoTHJY9G3u5IWT004KbDXfzo+fWyYN1jiACoayQ/taA8CIxp3O3z2PQ8A78WQ== X-F696D7D5: 6nR2eVmEp8hQiu+ezB1cQCqgPp1D7Pdp2wTTzQlKDAoV3AgoTSSCJ8T4xZX//u2p X-Mailru-BIMI-Organization: w+7x8/Hr8+Po X-Mailru-Dmarc-Auth: dmarc=pass [email protected] X-Mailru-Noreply: yes X-Mras: Ok Authentication-Results: mxs.mail.ru; spf=pass (mx219.i.mail.ru: domain of gosuslugi.ru designates 213.59.253.1 as permitted sender) [email protected] smtp.helo=smtp.gosuslugi.ru; dkim=pass header.d=gosuslugi.ru; dmarc=pass [email protected]; dmarc=pass [email protected] X-Senderinfo: 1095 X-Mailru-Intl-Transport: d,cb2ca2e
Первое что смотрим это IP адрес smtp сервера и пробиваем его через whois сервис.
В обоих письмах IP адрес совпадает (может спуфинг IP адреса, подумал я). Проверяем SPF записи в DNS, получаем через whois сервис регистратора домена и NS сервера для наших госуслуг, делаем запрос и получаем:
Код:
v=spf1 mx a:mail.ntt.ru ip4:109.207.0.0/20 ip4:195.28.32.3 ip4:213.59.253.1 ip4:213.59.253.2 ip4:213.59.254.1 ip4:213.59.254.2 -all
Для просмотра ссылки необходимо нажать
Вход или Регистрация
:
Код:
h=from:subject:to:date:message-id;
Способ получить аккаунт на госуслугах и злоупотреблять функционалом засчитан в ачифку.
А я уж подумал что кто-то тело сообщения может менять на фишинговое что нибудь. Но нет, пойду поработаю.
Для просмотра ссылки необходимо нажать
Вход или Регистрация