Дневник Сандрикса: Хроники чуйкорега

OGamee, 

Зависит от того, откуда и что утекло. Само собой поменять пароли, если давно не менял. Ну а в остальном - просто жить с пониманием, что определенная информация о тебе кому-то или кому угодно доступна. Номер телефона, почта, и что ещё могло утечь - например адрес доставки, что именно тебе доставляли. Чем больше о тебе знают, тем серьёзнее могут подготовится к тому, чтобы тебя развести.

Такое вроде бы с МТСом было. Данные некоторых абонентов попали не в те руки, людям звонили и называли всю информацию о них, тарифе и т.д., которую может знать только оператор. Ну и предлагали что-то там поменять или ещё что-то, и как всегда сообщить код из смс. Но т.к. уровень доверия уже высокий, то кто-то сообщал сообщение из смс, мошенники получали доступ к личному кабинету, устанавливали переадресацию и получали полный доступ к онлайн-банку, который к этому номеру привязан.

Для чувствительных сервисов можешь завести отдельную почту и использовать только там и больше нигде не светить, причём желательно отдельную почту для каждого сайта, например для криптобиржи, банка, медицинских организаций.

sandr1x, Теряй паспорта и делай новые. Если пацанчики наши, то ты через год найдешь несколько постановлений о задолженностях в микрофинансах на несколько лямов и аресты всех счетов. Быстро решить это не получится и разборки могут длиться годами. Удовлетворение требований о задолженностях сейчас делаются без судов и просто решением судьи. Номера и данные паспортов не важны тк они все в открытом доступе, а вот твои подтверждения, подписи и фото - это уже все.Что у тебя и попросили и ты дал.

 Ну и естественно полная чистая установка винды и андроида на комп и смартфон и чистая установка всех прог. Полная смена всех почт паролей и прочих онлайн защит.

ПС Ну и конечно писать на форумах о своих доходах - ... нет слов. Тут сотни пассажиров только и ищут кого бы нагреть, и почти всех, кто играет крупно, или кидали или взламывали или наебывали при обменах или втягивали в мутные "аргентинские проекты" инвестиций. Пора быть серьезней.

sandr1x @ 15.07.24 

Обратите внимание на адрес отправителя в поле reply-to:

Для меня больший ахуй это то что можно так легко поделать поле from:, там адрес же правильный.

Я знал что раньше так можно было делать и посылать письмо якобы от любого почтового адреса, но я думал что в 2024 это уже фиксануто, тем более в gmail'e.

Второй большой ахуй это то что gmail позволяет указывать ссылку на зип архив. Я как-то пробовал прикреплять зип просто к письму, gmail тут же ругался и не позволял это сделать, думал что с ссылками так же строго.

Если кто знает, как это делается(а скорее, в первую очередь как защититься от этого), с удовольствием почитал бы.

Azi @ 16.07.24 

что можно так легко поделать поле from

Ты просто даже не представляешь как это легко. И любой спец в ИТиндустрии отправит тебе любое письмо хоть откуда и хоть от кого, и адреса и ссылки будут настоящими а не как тут подделками. Почтовые протоколы такие. Письмам вообще доверять нельзя. И потому в письмах все серьезные организации печатают твой личный код, который знаешь только ты и сам устанавливаешь. Так на всех биржах и во многих банках. Ни емейлам, ни СМС ни номерам телефонов доверять нельзя. Все это легко подделывается. дублируется и переадресуется.

Only @ 16.07.24 

Почтовые протоколы такие.

в этом и прикол что в 2024 я бы ожидал что условный gmail заэнфорсил бы какую-то защиту от этого - он достаточно большой, чтобы добавить свой уровень защиты и все письма без этой защиты - помечать как потенциально опасные. Как, например, Хром делает со всеми http(а не https) сайтами.

sandr1x @ 16.07.24 

Ну а серьёзно, мысль о втором загране звучит здраво. HuanXIV, спасибо дядь.

Не за что.

Что примечательно, раньше они спрашивали типа "а зачем тебе второй загран?" и я говорил - много езжу в командировки (это была правда), один паспорт на визе лежит два месяца, а мне ехать срочно надо, вот поэтому мне и нужны два.

То последний раз когда я получал (в прошлом году), вообще никаких вопросов не задавали.

Сейчас у меня один загран 21-31, второй 23-33.

Дополню рекомендации по безопасности.

У меня подход: каждый рум - это отдельный email, который я нигде больше не испольпользую, кроме регистрации в данном руме и коммуникации с суппортом. При таком подходе шанс того, что твой адрес электронной почты попадет в почтовые базы мошенников минимизируется. 

А для работы с десятками / сотнями email, аккаунтов, паролей использую опенсорс приложение Keepass.

bool @ 16.07.24 

У меня подход: каждый рум - это отдельный email, который я нигде больше не испольпользую, кроме регистрации в данном руме и коммуникации с суппортом. При таком подходе шанс того, что твой адрес электронной почты попадет в почтовые базы мошенников минимизируется. 

А как работаешь с несколькими емейлами? Я такой подход пробовал, но легко пропустить сообщение от поддержки в одном из кучи мыл.

Azi @ 16.07.24 

А как работаешь с несколькими емейлами? Я такой подход пробовал, но легко пропустить сообщение от поддержки в одном из кучи мыл.

Я не проф игрок в покер и у меня активных румов не много, поэтому такой сложности нет. Но настроить сборщик писем с несколько ящиков просто (туц)

Можно алиасов просто наделать, не обязательно полноценные ящики.

Когда мне подозрительные письма приходят, смотрю не только body, но и заголовки. И до сих пор всегда мошенники на них палились.

Например, от кинга был такой заголовок:

Received-SPF: pass    (em77.intl.pokerking.com: 168.245.117.12

Received: from o2.trnsc.winningpokernetwork.eu (o2.trnsc.winningpokernetwork.eu [168.245.117.12])

с какого-то US адреса пришло. Выглядит правдоподобно. От мошенников письма лень искать, их не очень много было.

sandr1x @ 15.07.24 

Как меня скаманули на селфи с заграном

 

Ну что, ребятки, настало время охуительных историй. В пятницу утром (12 июля) мне на мыло пришло письмо от якобы отдела безопасности сети WinningPokerNetwork (WPN), где я играю через витрину PokerKing, о том что моя учётка попала под случайную проверку и требуется прислать им:

 

- фото паспорта

- селфи с ним

- утилити билл

- короткое видео, на котором нужно держать паспорт и сказать своё фио, ник в руме и локацию

 

Оригинал письма:

 

 

Обратите внимание на адрес отправителя в поле reply-to:

 

Вторая буква i в слове winning без точки. Это совсем другой символ. Ещё и подпись (signed-by) совсем не такая, как у настоящих WPN. Какой-то палёный mailgun. К сожалению, это я заметил только после того как отправил то, что они попросили. Потому что после результатов за столами в предыдущем месяце такая проверка показалась моему мозгу вполне логичной. Ещё и уставший был после сессии, когда письмо читал. На вопросы из второй части письма тоже честно ответил. А вместо утилити билла отправил выписку из Сбера по остатку на счёте. Короче, лохонулся как последний лох.

 

Но на этом история не закончилась. Получив мои данные, скамеры прислали мне второе письмо, в котором попросили записать видео игровой сессии. Инструкции по этой процедуре они засунули в архив, на который предоставили ссылку в письме:

Тут-то у меня в голове и щёлкнуло, наконец, что меня разводят. Догадался запустить виртуальную песочницу и открыть ссылку уже в ней.

 

Подсвеченный синим текст ссылки в письме отличается от реальной ссылки, которая опять же - палёная и ведёт на их левый домен, с которого скачивается архив. В архиве - троян, замаскированный под текстовый файл, а по сути - LNK-скрипт, запустив который выполняется обращение к командной строке винды с последующим скачиванием дополнительной малвари на комп жертвы. Предположительно, скачивается кейлоггер (ворует нажатия клавиатуры и буфер обмена, отправляет мошенникам). Пример фрагмента из внутренностей якобы "инструкции для записи видео", колонка справа с адресом до PowerShell'а:

Далее. Я уже отправил множество писем в службу поддержки и отдел безопасности всех румов, в которых играю. Приложил копии писем от мошенников, предупредил что мои данные скомпрометированы и перечислил, какие именно. Везде где можно у меня и так стояла двухфакторка. Но как мы помним по случаю с Никитой Кузнецовым, слабое звено обычно человек.

 

В общем, это какой-то позор на мою голову. Прошу максимальный репост этой истории. Напоминаю, что денег в долг никогда не прошу, обмены не предлагаю. Вся переписка - через личные сообщения на ГТ и в телеге. Будьте бдительны.

Вероятно на всех румах теперь тебя будут атаковать также как Никиту(

Я так понимаю, это своеобразный бенчмарк признания: если в покере тобой целенаправленно заинтересовались скамеры, значит ты добился чего-то стоящего)

sandr1x @ 16.07.24 

Я так понимаю, это своеобразный бенчмарк признания: если в покере тобой целенаправленно заинтересовались скамеры, значит ты добился чего-то стоящего)

Ну да, у тебя на акке есть деньги которые можно попытаться спиздить (дождаться когда ты напишешь в блоге что уехал в отпуск и написать с новой почты что забыл пароль, надо восстановить доступ, вот доки все)

Эт понятно. Всех кого надо уже предупредил и продолжаю напоминать, чтоб запрашивали подтверждение по данным, которых у скамеров нет.

А если удалить почту, данные от которой украли. Перед этим переведя все важные аккаунты на новый адрес?

А если найти и удалить скамеров?  

drontododo @ 16.07.24 

А если удалить почту

Это первое что нужно сделать, и в банках тоже сменить эту почту.

sandr1x @ 16.07.24 

А если найти и удалить скамеров?  

Соре но это не получится у тебя, потому что они оказались умнее   

Azi @ 16.07.24 

в этом и прикол что в 2024 я бы ожидал что условный gmail заэнфорсил бы какую-то защиту от этого - он достаточно большой, чтобы добавить свой уровень защиты и все письма без этой защиты - помечать как потенциально опасные. Как, например, Хром делает со всеми http(а не https) сайтами.

Тоже сильно удивлён. Нашёл тут ещё один способ определять, правда ли нам пишут те, кем представляются.

Заходим в письмо с компа, идём в меню и жмём показать оригинал:

И далее смотрим в строчку DMARC:

У подлинных писем в этой строчке написано 'PASS'. Таким образом, нам не нужно вчитываться в адрес отправителя. DMARC и есть маркер соответствия адреса from и reply-to. Если они отличаются хоть в одном символе - будет написано 'FAIL'.

Почему гуглопочта, имея эту инфу в свойствах пришедшего письма, не подсвечивает его юзеру как подозрительное - для меня загадка.

Они в сговоре, тимплэй.)