Сегодня я хочу Вас предупредить о том, как можно лишиться своих средств в системе Яндекс Деньги.
Недавно я получил письмо от, якобы, службы безопасности Яндекса. Такие письма довольно часто высылают СПАМеры с целью распространения вирусов или троянских программ, похищающих персональную информацию с компьютера пользователя и отправляющих ее своему владельцу.
Создателей этих троянских программ в первую очередь интересуют пароли для доступа к платежным системам. Яндекс Деньги в этом случае является наиболее уязвимой системой. Дело в том, что многие пользователи пользуются в своей работе Internet Explorer и, более того, пользуются его встроенной функцией хранения паролей. Естественно, велика вероятность того, что часть пользователей, интенсивно использующих в расчетах Яндекс Деньги будут хранить пароли в браузере.
Я хочу более подробно рассмотреть текст письма. Вот он:
Уважаемый пользователь,
В связи с участившимися случаями мошенничества, связанными с несанкционированным доступом к сервисам Яндекса, опираясь на пункт 9.1. пользовательского соглашения, уведомляем вас о введении дополнительных мер безопасности , которые позволят вам получать сообщения о попытках доступа в ваш аккаунт с незарегистрированных IP-адресов и своевременно принимать меры по пресечению похищения личной информации (контактные данные, переписка ), средств в системе "Яндекс.Деньги", показов в системе "Яндекс.Директ".
Согласно пункта 9.1.1. Пользовательского соглашения , вы должны в трехдневный срок, после получения данного уведомления, зарегистрировать свой IP-адрес в системе.
Для регистрации проследуйте по линку: http://www.passport-yandex.ru/?mode=GETIP&sauth=retire&uid=O&retpath=http://yandex.ru
и следуйте инструкциям.
Теперь более подобно остановимся на нескольких моментах.
Во-первых, при регистрации в Яндексе, я указывал свое Имя и Фамилию и, в таких случаях, Яндекс персонализирует письма. Это было всегда и я не думаю, что администрация Яндекса изменила свою политику.
Во-вторых, домен passport-yandex.ru не имеет никакго отношения к поисковой системе Яндекс, а именно на этот домен ведет ссылка приведенная в письме.
Далее я решил посмотреть заголовок сообщения. Это служебная информация. Она обычно не отображается при просмотре писем. Однако, почтовый клиент The Bat, как впрочем и другие клиенты, позволяет его просмотреть. Ниже я привожу скриншот этого служебного заголовка:
Подозрительные моменты, как Вы можете заметить, выделены розовым маркером.
Итак, в качестве сервера, отправившего письмо, был использован imo.org.tr. Как Вы понимаете, этот сервер не имеет никакого отношения к поисковой системе Яндекс. Так же как и сервер mx1.hotmail.com.
Кроме этого, добавление в заголовке сообщения [OBORONA-SPAM], говорит о том, что почтовая служба системы Яндекс определило это письмо как возможный СПАМ.
Так что же можно было ожидать, перейдя по ссылке указанной в письме?
Догадаться нетрудно. Я бы попал на домен passport-yandex.ru, где мне попытались бы загрузить троянскую программу или вирус. Затем, естественно, я бы был перенаправлен на настоящий сайт Яндекса. Кстати этот поддомен имеет близкое написание – passport.yandex.ru, где я бы попытался ввести свои персональные данные, которые были бы успешно отправлены создателю троянской программы.
Выводы о том, что можно сделать, имея персональные данные для входа в защищенную часть Яндекса, я думаю, Вы сделаете сами.
Помимо этого, многие троянские программы умеют прекрасно сканировать хранилища паролей и отправлять все найденные данные своему владельцу. Также троянские программы обладают способностью загружать на компьютер пользователя других, порой более опасных, своих сородичей.
Мне остается только пожелать Вам удачи во всех Ваших начинаниях. Также хотелось бы, чтобы Вы были внимательны при получении любой входящей корреспонденции, особенно той, которую не ожидаете.
