lecri

Немного ликбеза. Легко определить, что окно фишинговое. Достаточно быть заранее быть залогиненным на сайте стима (применимо и к случаям с фишингом ВК, и вообще к большинству сайтов). Если бы окно было настоящим, то мы бы увидели нечто подобное:

Были в практике и фреймовые фишинговые окошки (хотя бы нет явного палева с адресом страниц и может показаться, что страницы настоящие), выглядят так:

Главное помнить, что будучи залогиненным на официальном сайте Steam (магазина или сообщества, без разницы), на сторонних сайтах при входе через аккаунт стима логин и пароль НЕ ПРИДЕТСЯ ВВОДИТЬ.

Итак, продолжаем. С помощью сервисов WhoIs узнаем хостинг-провайдер сайтов. У сайта https://bestskinscsgo.tk/ это оказался Freenom:

Пишем кляузу на e-mail выше:

У сайта http://www.knivesdealer.com хостинг-провайдер reg.com (он же reg.ru). Пишем аналогично на их почту.

Сообщаем о фишинг-страницах в форме гугл https://safebrowsing.google.com/safebrowsing/report_phish/?h...

До кучи отправляем фишинговые ссылки на адрес response@cert-gib.ru

"GroupIB — негосударственная организация, которая занимается расследованием инцидентов в области информационной безопасности. К компетенции GroupIB относятся вопросы противодействия использованию доменных имён в целях фишинга, несанкционированного доступа третьих лиц в информационные системы, распространения вредоносных программ и управления вредоносными программами (бот-сетями)".

Ну и, конечно, оставляем жалобу на профиль Steam.

Сайт через пару часов:

Однако, через пару часов приходит очередное сообщение от данного бота с  той же ссылкой http://www.knivesdealer.com, однако она теперь ведет на https://bestskinscsgo.ml/. Аналогичные действия, полчаса - сайт заблокирован. Freenom оперативно банит фишинговые сайты, но Reg.com (с сайта данного провайдера и осуществляется перенаправление на мошеннические сайты) отписывается, что не вправе блокировать сайт по требованию третьих лиц. Проходит еще несколько часов, та же ссылка уже ведет на https://bestskinscsgo.ga/. Ну, мы не гордые, очередные письма, через полчаса сайт недоступен. Не буду перегружать пост аналогичными скринами.

На данный момент вынудили мошенника сменить хостинг-провайдера, ссылка ведет уже на https://bestknivescsgo.pro, хостинг - Tucows. Так выглядит данный мошеннический сайт, пока живой:

В плане реакции Tucows не очень расторопны, в отличие от предыдущего провайдера.

Не сочтите за рекламу, но яндекс.браузер при попытке логина предупреждает о попытке краже личных данных (в отличие от того же хрома).

Будьте бдительны и не давайте мошенникам поживиться за Ваш счет.

Если будет интересно, расскажу продолжение истории с письмами в CloudFlare, РКН и борьбой с фишингом)

Выделенный скриншот:

А что, так можно было?

#comment_118346361