Живий Журнал
 
ЖЖ » Новини » Інтернет і Технології » 2022 » Апрель » 20 » 17:49:35

«Престижный гроб в обмен на службу». Россиянам отправили странные письма от «Госуслуги»

20.04.2022, 17:49:02 3781 0 Помилка?Помилка в тексті?
Виділили слово мишкою
і натисніть Ctrl+Enter
«Престижный гроб в обмен на службу». Россиянам отправили странные письма от «Госуслуги»

В России государственный интернет-сервис «Госуслуги» отправили пользователям письма с содержанием «Госпрограмма престижный гроб в обмен на службу». Такое сообщение получил знакомый журналиста «Агентства», читательница «Медиазоны», пользователи твиттера, «Хабра» и TJ. Все сообщают о пришедших "письмах счастья"
 
Кроме слов о гробе в письмах говорилось, что пользователь указал свой адрес почты на «Госуслугах», и предлагалось подтвердить изменение.
 
Письма были отправлены с официального адреса [email protected], который «Госуслуги» используют для своих рассылок. Ссылка внутри письма также совпадала с реальным адресом сайта.

Гроб в обмен на службу
 
Представитель «Госуслуг» во «ВКонтакте» ответил на вопрос «Медиазоны» о рассылке так:
«Зафиксирован аномальный рост количества отправляемых сообщений по смене контакта в личном кабинете. Проведены оперативные работы по блокировке нелегитимного трафика, новых отправок не наблюдается. Полученные сообщения не являются следствием взлома вашей учётной записи. Рекомендуется выполнить удаление писем из почтового ящика».
 
Минцифры о возможном взломе «Госуслуг» не сообщало.

Хабр: ГосУслуги взломали?

Пришло письмо от ГосУслуг, что я якобы пытаюсь сменить свою электронную почту. Но почему то пришло сообщение на один из моих резервных адресов на яндексе. И там под картинкой был дискредитирующий текст "Госпрограмма Престижный Гроб в Обмен на Службу".
 
Спам подумал Штирлиц, но почему замочек то стоит, что отправитель подтверждён? Идём получать настоящее письмо и открываем заголовки для сравнения.

Первое что смотрим это IP адрес smtp сервера и пробиваем его через whois сервис.

В обоих письмах IP адрес совпадает (может спуфинг IP адреса, подумал я). Проверяем SPF записи в DNS, получаем через whois сервис регистратора домена и NS сервера для наших госуслуг, делаем запрос и получаем:
v=spf1 mx a:mail.ntt.ru ip4:109.207.0.0/20 ip4:195.28.32.3 ip4:213.59.253.1 ip4:213.59.253.2 ip4:213.59.254.1 ip4:213.59.254.2 -all

Проверяем DKIM и DMARC, мало ли кто где ошибся. Но всё верно. Тогда начинаем смотреть какие же заголовки у нас подписываются DKIM памятуя о том что электронная почта имеет особенности, которые освещали уже на хабре:
h=from:subject:to:date:message-id;

Значит адрес получателя указанный в заголовке to попадает в подпись, можно ли получить похожее письмо от госуслуг? Легко! Регистрируем аккаунт на госуслугах с именем "Госпрограмма Престижный" и отчеством "Гроб в Обмен на Службу", потом жмём "Изменение электронной почты" и всё дискредитирующее письмо отправляется получателю. Обмазываем это питончиком и наши кулхацкерские скрипт-кидди довольные идут пить чаёк.
 
Способ получить аккаунт на госуслугах и злоупотреблять функционалом засчитан в ачифку.

AlexGluck, Tech lead SRE

Тэги: интернет, Хакеры, россия

Схожі новини:


Комментариев: 0
Оголошення на ЖЖ інфо: