Как происходит фишинг вконтакте. Не попадись на крючок мошенников!

Да-да-да, знаю, «ваша страница заблокирована, поскольку с вашего компьютера происходила рассылка спам-сообщений, мы ограничили вам доступ». Верно? Всем, чье серое вещество не в состоянии осилить «многобукаф» и не терпится поскорей разрешить проблему, рекомендуется пролистнуть сей текст в самый низ странички и произвести два нехитрых действия, о коих там говорено.

А ежели есть товарищи, восхотевшие уяснить, почему и что такое стряслось с их страничкой на вконтакте, дабы повторно в будущем не попасть впросак, милости просим ознакомиться со всем нижеследующим документом. Итак, вникайте.

Бесплатный сыр в мышеловке!

Мои поздравления, господа, в следующий раз, когда обнаружите какую-нибудь хитрую программу «для рисования аватаров», «поднятия рейтинга», «просмотра гостей» или всяких прочих ништяков, потрудитесь испросить у гугла — а правда ли, что воспользовавшись оными, вы получите то, что вам впаривают с благими намерениями.

На деле же, все эти намерения прозрачны, как блузка телеведущей — в системе перепишут файлик hosts, дабы в браузере вам был нарисован вместо вконтакта фишинговый сайтик, в тютельку похожий на настоящий. А при вводе логина с паролями скажут, дескать, аккаунт ваш мы поблочили, чтоб неповадно было спамерствовать, ибо нефик… Потом любезно предоставят еще какую нибудь программулину, сотворенную этими же самыми добрыми ребятами, которая, будучи скачанной и запущенной, донесет до вашего сведения, что да, не кручиньтесь, беда ваша нам известна, и мы вам, конечно же, поможем, только зашлите СМС с таким-то текстом на такой-то номер, и обретете счастье.

Почему ругается антивирус?

А нефик-то, всего лишь навсего, хрень всяческую скачивать и собственноручно же запускать у себя на компутере, порой даже невзирая на истошные визжания касперского или еще какой тулзы, живущей у вас с целью ограждать от троянов с вирусами и прочей нечисти. И даже опрометчиво высланная смс не помогает — попасть на вконтакт как не получалось, так и не получается, не огреблось счастье-то…

Но да ладно, раз уж вы здесь и внимаете этому тексту, надо полагать, что все уже стряслось, а посему надо как-то все это решать, а не нотации вам тут зачитывать. Все это дело сподвигло местного автора исследовать частный случай всей схемы, с упомянутой «программой» myguests, дабы в приступе гуманности поведать о том всем страждущим и потерпевшим.

Схема фишина на примере «Гости вконтакте»

Схема любопытная и выглядит следующим образом:

• Получена информация с сылкой на скачивание творения под названием myguests с сайта my-guests.ru, vk-vgosti.ru или какого нибудь другого популярного в интернетах рассадника заразы

• Программа к великой радости заполучена и запущена. Никаких окошек, показанных на «официальных сайтах» и обнаруживающих присутствие программы в windows пред взором не возникло

• Стало понятно, что все это разводка. Ну да ладно, постигло разочарование, бывает

• Когда сей неприятный момент уже забыт, возможно, за это время компьютер был перезагружен, радостно пытаемся поиметь в браузере сию социальную сеть, сиречь vkontakte.ru.




---

• С изумлением взираем на нарисованную нам страницу авторизации(хотя скорее всего, пароль у нас обычно запомнен) Заподозрили что-то неладное…

• Ну да ладно, не страшно, вводим туда пароль и… созерцаем в браузере страничку с сообщением вида «Ваша страница заблокирована!»

• Вспотев, внимаем тексту тут же нарисованному, и обнаруживаем ссылочку на некий файлик antispam.exe. Возрадовавшись, немедля качаем спасительную «программу разработанную командой вконтакте»

• Запускаем. Пред очи имеем красивое оконце, в коем нас заверяют о том, что надобно бы СМС отправить с таким-то текстом на такой-то номер, как тотчас же архивчик будет распакован.(Это еще не сам разблокиратор, а только архивчик, и смс нужна для его распаковки) Причем ссылочка в окошке поименованная как «техподдержка» ведет на некий сайт filecash.ru. О нем же упоминается и в другой ссылочке с гордым названием «лицензионное соглашение»

• Что происходит дальше, жгучего желания проверять не возникло, но смутно подозреваю, что и после отправки смс ничего хорошего из этого не выйдет. Кроме снятия энного количества уев с вашего счета на мобильнике в пользу обогащения какого-нибудь школьника, сию хитрую схему сотворившего.

• Тут-то наши светлые головы посещает гениальнейшая мысль испросить рекомендаций как же поступить в сложившейся нелегкой ситуевине у многомудрого Гугла или Яндекса. Вбиваем соответствующий адрес, благо запомненный наизусть… и ничего не получается. Гугл, Яндекс и десяток еще каких любимых сайтов не открываются. Незадача…

 Что произошло на самом деле?

• myguests скачана и со всем присущим удовлетворением запущена.

• Программка, незримо для пользователя, учредила в файлике «C:\WINDOWS\system32\drivers\etc\hosts» списочек адресов, внушительного размера. Суть этого файлика в том, что все обращения к сайтам которые там определены, будут происходить на те ip-адреса которые им в этом файлике сопоставлены. Обратив на него внимание, узреем, что куча адресов, кои могут поспособствовать юзеру в поисках решения возникшей проблемы, предусмотрительно перенаправляются на адрес 127.0.0.1. То есть компьютер думает что сайт, который юзер восхотел посетить, не в интернете, а ищет его в самом себе.

• Таким же макаром, всевозможные вариации вызова vkontakte, перенаправляются на совершенно другой ip-адрес. Где пользователю-то и подсовывается фишинговый сайт. К примеру, в исследовании для этой статьи, таким адресом был 195.242.161.235. И ежели он еще действует и вы прямо сейчас попытаетесь ввести этот адрес в строку браузера, неминуемо попадете на фишинговый сайт.
• Отличается он тем, что на нем нет формы регистрации, к примеру. Различия главной страницы можно уяснить обратив внимание на скрины.  Вконтакте настоящий — с формой регистрации, без оной  — мошеннический. Различия могут быть и другими.

При попытке жмакнуть по ссылке регистрации, наблюдаем такую картину маслом:

При вводе логина/пароля — ваши данные  похищаются, и с аккаунта будет рассылаться спам.

Что делать, как излечить систему?

• Безжалостно удаляем с машины всяческие «myguests.exe», «antispam.exe» или что-либо похожее. И ни под каким предлогом больше на такие вещи не ведемся как школота.

• находим файлик «C:\WINDOWS\system32\drivers\etc\hosts», открываем блокнотом и сносим оттуда все к чертям, оставив только одну-разъединственную строчку «127.0.0.1 localhost», и все что начертано до нее. Перезапускаем браузер. Возможно потребуется почистить кэш, удалить куки, пароли.

• Обретаем счастье. И первым делом, со всей решительностью меняем пароль на вконтакте