Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет pe3yc ([info]pe3yc)
@ 2005-12-10 10:00:00
Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Опять ловцы ебэевских паролей активизировались, суки голландские.


-----------------------------------------------------------------------

Dear eBay member,

We regret to inform you that your eBay account has been suspended due
to concerns we have for the safety and integrity of the eBay community.

Per the User Agreement, Section 9, we may immediately issue a warning,
temporarily suspend, indefinitely suspend or terminate your membership
and refuse to provide our services to you if we believe that your
actions may cause financial loss or legal liability for you, our users or
us. We may also take these actions if we are unable to verify or
authenticate any information you provide to us.

Due to the suspension of this account, please be advised you are
prohibited from using eBay in any way. This includes the registering of a new
account.

To act on this suspension you have to confirm your data on eBay:

https://signin.ebay.com/ws/eBayISAPI.dll?SignIn!

Please note that any seller fees due to eBay will immediately become
due and payable. eBay will charge any amounts you have not previously
disputed to the billing method currently on file.


Regards,

Safeharbor Department
eBay, Inc.

-----------------------------------------------------------------------


Ссылка в теле письма хитрая, ведёт на форму, ворующую логин-пароли.

Будьте осторожны! Ни в коем случае не вводите там свои данные!

Сервер со скриптом находится в Голландии:

Самое интересное, что вроде бы можно кому угодно получить доступ к сворованным базам паролей:

- форма, ворующая пароли, имеет вид:
http://dsl-82-199-147-99.dutchweb.nl/phpmyadmin/www.eBay.com/

- страница, расположенная над ней (phpMyAdmin na MySQL) :
http://dsl-82-199-147-99.dutchweb.nl/phpmyadmin/

Эй, SQL-щики, откомментируйте происходящее..

(Добавить комментарий)


[info]ivanytch@lj
2005-12-10 04:57 (ссылка)
Да, мне тоже приходило подобное. Я кликнул на ссылку и не обнаружил своего ника с паролем в форме, полез разбираться, нашел, что это подделка. Но да, чуть не купился.

(Ответить) (Ветвь дискуссии)


[info]pe3yc@lj
2005-12-10 05:01 (ссылка)
А как ник с паролем там можно обнаружить? Его туда надо ввести..

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ivanytch@lj
2005-12-10 05:08 (ссылка)
А они у меня в некоторых формах сохранены. Т.е. если я иду на иБэй, на страничку логина, то там у меня загружается автоматом в страничку логин и пароль звездочками. К банковским сайтам я, конечно, не запоминаю таким образом, а типа иБэя или какого-нить Сэмсклаба или интернет-магазина, да. Это в Firefox/Mozilla, IE не пользую из-за его дырок. Даже не знаю, есть ли там. А в Mozilla/Firefox всегда можно через меню браузера удалить логин пароль, если что.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]moola@lj
2005-12-10 13:54 (ссылка)
Firefox дыр не меньше. Они просто нетак сильно офишируются...

(Ответить) (Уровень выше)


(Анонимно)
2005-12-10 05:00 (ссылка)
чего комментировать то/ судя по адресу, чей-то комп, видимо с линух, поставили пхпадмин, кто-то их вскрыл, или они ну очень тупые.. можно полазать по базе, мож где и пароли лежат..

(Ответить) (Ветвь дискуссии)


[info]pe3yc@lj
2005-12-10 05:03 (ссылка)
Судя по всему они довольно тупые.

Регистрация на голландский домен была просрочена в ноябре, судя по всему они её перехватили через кого-то. Поставили пхпадмин, но вряд ли кто-то вскрыл, вероятно они так и оставили рут без пароля..

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ivanytch@lj
2005-12-10 05:11 (ссылка)
Это похоже на самом деле на динамический IP, который меняется раз в сутки провайдером. Кто-то у себя поставил (или кого-то взломали) веб-сервер, через который все и улетает.

(Ответить) (Уровень выше)


[info]zambarra@lj
2005-12-10 05:37 (ссылка)
еьт я был.. полазил там есэ немного, федора, пхпбб.. без слов, короче. :)

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pe3yc@lj
2005-12-10 06:02 (ссылка)
Чё? Не понял ни хуя.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ex_gremlinn610@lj
2005-12-10 06:22 (ссылка)
он, видимо, про это (http://dsl-82-199-147-99.dutchweb.nl/phpmyadmin/sql.php?lang=en-iso-8859-1&server=1&db=mysql&goto=db_details_structure.php&table=user&sql_query=SELECT+%2A+FROM+%60user%60&pos=0).

(Ответить) (Уровень выше)


[info]zambarra@lj
2005-12-10 14:57 (ссылка)
поясняю. мужик поставил федору (http://fedora.redhat.com/) на домашний комп, это линух такой, на него посадил форум с движком phpbb (http://www.phpbb.com/), в этом движке раз в две недели находят какую-то дыру. кроме того, phpbb опирается на mysql (www.mysql.com"). на mysql по умолчанию нет пароля, нужно в ручную ставить и пароль, и имя юзера, и откуда он может логиниться.

скорее всего вскрыли этого красавца именно через phpbb, на mysql у него пароля нет.. и фсио, как говорится..

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pe3yc@lj
2005-12-10 17:03 (ссылка)
А, теперь яснее.

(Ответить) (Уровень выше)


[info]bobiboba@lj
2005-12-10 07:08 (ссылка)
Какой бред, там же сразу чужой URL видно.

(Ответить) (Ветвь дискуссии)


[info]ex_gremlinn610@lj
2005-12-10 08:12 (ссылка)
в большинстве своём юзеры вообще никогда не смотрят на адресную строку браузера.

(Ответить) (Уровень выше)


[info]ex_myshkovsk680@lj
2005-12-10 08:28 (ссылка)
Митя, у тебя какие планы на вечер?

(Ответить) (Ветвь дискуссии)


[info]pe3yc@lj
2005-12-10 11:22 (ссылка)
О, сейчас позвоню.

(Ответить) (Уровень выше)


[info]mithrilian@lj
2005-12-10 08:39 (ссылка)
Мне присылали такой мыл со ссылкой на сайт-клон ибея. Ну я и отправила его по нужному секьюрити-адресу, он на главной странице обозначен. Сайт закрыли в течение пяти часов.

(Ответить) (Ветвь дискуссии)


[info]pe3yc@lj
2005-12-10 11:22 (ссылка)
Я ужи им сообщил, думаю закроют скоро.

(Ответить) (Уровень выше)


[info]bquark@lj
2005-12-10 08:58 (ссылка)
Мне такие же штуки присылают якобы от разных банков с просьбой залогиниться номером счета и пин-кодом, чтобы изменить какие-то натсройки.

(Ответить)


[info]ex_ex_fatal@lj
2005-12-10 09:09 (ссылка)
тхахаха. Я, помнится, лет пять назад с почты support@mailru.com спиздил мыло у одного чела :)

(Ответить)


[info]bquark@lj
2005-12-10 09:10 (ссылка)
А вообще получение логина и пароля на ебэе для злоумышленников особой выгоды не дает.
Поскольку всё продается по предоплате, то логин дает возможность поглумиться в аукционах взвинчивая цены.
Есть, конечно вариант - продавать несуществующие вещи, но все равно придется давать данные банковского счета или пэй-пэл. А через них можно вычислить всё.

(Ответить) (Ветвь дискуссии)


[info]pe3yc@lj
2005-12-10 09:25 (ссылка)
Можно ещё покупать на подставной адрес, у многих пароли к ebay и paypal совпадают.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]gloomov@lj
2005-12-10 09:45 (ссылка)
Посмотри, я там написал, как и зачем это делается.

(Ответить) (Уровень выше)


[info]gloomov@lj
2005-12-10 09:44 (ссылка)
Вы сильно ошибаетесь.
После получения логина и пароля обычно меняется мыло юзера и далее от его
имени выставляются дорогие вещи (нечто в ранге плазменных ТВ) на трехдневные аукционы с опцией "купить немедленно" и единственной формой оплаты - через Вестерн Юнион. Смена мыла нужна для общения с покупателем. Деньги получают подставные лица. Года полтора назад эта схема наделала немало шума на аукционе. Ни пэй-пал, ни банковские данные для этого не нужны, т.к. регистрация, банковские и прочие данные остаются теми же, что были даны при регистрации обворованным юзером.
Способы распознать фэйк: 1) в тексте письма отсутствует имя - обращаются
как "dear eBay user" или по адресу электронной почты; 2) элементарно посмотреть
"Свойства" ("Properties") письма; 3) письмо ведет на страницу, где предлагается
заполнить формы с паролем.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]bquark@lj
2005-12-10 10:24 (ссылка)
я пользуюсь немецким ебэем.
там практически нет аукционов с вестерн юнионом.
ну и вообще должно ныводить на мысли, если у продавца условия оплаты в предыдущих аукционах не вестерн юнион (предположим, что есть нестарые аукционы, не старше 90 дней)

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]gloomov@lj
2005-12-11 04:06 (ссылка)
Американский eBay тоже отменяет оплату через "Вестерн Юнион" с начала года
как раз по указанной причине. Вообще схемка, конечно, рассчитана на дураков -
уж не говорю, что человек, продававший мягких зайчиков, вдруг начинает дорогой электроникой торговать - но энное число дураков попалось и попадается.

(Ответить) (Уровень выше)


[info]pe3yc@lj
2005-12-10 11:24 (ссылка)
По Properties много не увидишь, подставить реальные ebay-адреса в поля "From" и "Reply-To" - не так уж сложно.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]gloomov@lj
2005-12-10 12:49 (ссылка)
Так весь путь же показывается, все равно видно.

(Ответить) (Уровень выше)


[info]oas@lj
2005-12-10 23:07 (ссылка)
Получение credentials на юзера с хорошей кармой позволяет кого-нибудь наебать от имени этого пользующегося доверием юзера.

(Ответить) (Уровень выше)


[info]hamalet@lj
2005-12-10 09:13 (ссылка)
Таблиц в базе что то больше не видать :)

(Ответить) (Ветвь дискуссии)


[info]pe3yc@lj
2005-12-10 09:26 (ссылка)
Спрятались.. :)

(Ответить) (Уровень выше)


[info]gera@lj
2005-12-10 09:44 (ссылка)
Мне сегодня "пейпаловских" два пришло.
Ведёт на:

http://paypal.com.login-user5642.info/webscr.php?cmd=LogIn

(Ответить)


[info]ext_2868@lj
2005-12-10 13:49 (ссылка)
Мне этот спам приходит десятками в день.

Вообще, общее правило: подобные депеши,
нахинающиеся на "Dear user" надо сразу
тереть. Настоящее письмо персонализировано,
топа, "дорогой Вася Пупкин".

Это как минимум.

(Ответить)


[info]poluzhivago@lj
2005-12-10 14:37 (ссылка)
Ну что делать - фишинг это называется. Конечно не следует реагировать, и тем более отвечать, на подобные письма. Если есть сомнения, зайдите на е-бей, проверьте свой аккаунт. Заодно сообщите е-бею о фишерах - их прикроют. А связываться с выуживанием чужих данных не советую: во-первых, Вы не знаете, каких ловушек они там наставили, и что они выудят с вашего компа, а во-вторых, недолго самому под статью попасть. Один мой знакомый так полюбопытствовал - теперь на 7 лет (это как минимум, а как потом повернется, еще неизвестно) лишен возможности иметь какие-либо кредитные карты и некоторые другие формы кредита. Короче, такие письма лучше всего стирать, не читая.

(Ответить)


[info]themactep@lj
2005-12-10 16:42 (ссылка)
я заметил, что недавно еще один вариант фишинга (http://blog.paulphilippov.com/miscellaneous/istoriya_odnoj_rybalki.html) активизировался. ко мне уже трое обращались с подобным.

(Ответить)