Несколько раз знакомые задавали мне вопрос: «Как восстановить ящик на Mail.ru, если его украли?». Обычно в таких ситуациях восстановить ящик невозможно, так как после взлома меняется пароль и другая информация, необходимая для восстановления. Среди всех известных мне случаев кражи ящиков на Mail.ru, большинство из них не подразумевало действий владельца. То есть он не сделал ничего, чтобы помочь взломщикам. Но есть и другие ситуации, когда фишеры завладевают ящиком при помощи самого пользователя.

Сегодня на несколько моих ящиков на Mail.ru пришли подобные письма от фишеров, где от имени администрации почтового сервиса предлагается перейти по ссылке и подтвердить, что «вы его используете»:

Администрация Mail.Ru Предупреждает!За последнюю неделю было произведено большое количество попыток несанкционированного доступа к Вашему почтовому ящику.Для того чтобы наша служба поддержки смогла предоставить дополнительные средства для обеспечения безопасности вашего

почтового ящика, нам необходимо удостовериться, что в системе находитесь вы, а не другой пользователь под вашим именем.

Более подробная информация по данному вопросу и форма для подтверждения ваших прав на этот п/я находится по адресу:

[ссылка]

Чтобы заполнить форму достаточно просто нажать на ссылку или скопировать её в окно вашего браузера.
В случае если ваши данные окажутся не верными Администрация Mail.Ru будет в праве заблокировать/удалить ваш почтовый ящик.

Служба поддержки пользователей Mail.Ru

И ещё одно письмо:

Служба поддержки пользователей Mail.Ru Предупреждает!Служба поддержки пользователей Mail.Ru информирует вас о том, что:

Сегодня на серверах Mail.Ru будет проводится ежегодная очистка базы e-mail адресов т.к.  за последнее время появилось очень много не используемых п/я.

Для того чтобы наша служба поддержки не удаляла ваш п/я вы должны подтвердить, что вы его используете.

Более подробная информация по данному вопросу находится по адресу: 

[ссылка]

Чтобы заполнить форму достаточно просто нажать на ссылку или скопировать её в окно вашего браузера.
В случае если ваши данные окажутся не верными Администрация Mail.Ru будет в праве заблокировать/удалить ваш почтовый ящик.

Служба поддержки пользователей Mail.Ru

Помимо того, что эти письма хорошо составлены (с психологической точки зрения), обычному пользователю будет сложно увидеть подмену. Ссылка, по которой предлагается перейти, находится на сервере Mail.ru (http://r.mail.ru/cln2863/…), но редирект отправляет посетителя на сторонний сервер. И — внимание — он совершенно точно копирует почтовый сервис Mail.ru, даже картинки с него грузятся.

Чего и следовало ожидать, посетителю предлагается ввести свой логин/пароль. Но они будут отправлены не Mail.ru, а фишерам. А посетитель будет переадресован на сервис открыток, где будет сообщено, что такой открытки уже нет.

Как удалось опознать подмену, не переходя по ссылке

В моей почтовой программе в настройках указано, чтобы дополнительно к теме письма и отправителю отображался ID письма. (Если письмо отправляется с сервера, а не почтовой программой, то, чаще всего, ему присваивается ID, содержащий имя домена или IP сервера.) Как оказалось, эти письма рассылаются с домена taukita.com, располагающегося на серверах компании Петерхост.

Как защититься

  • Обязательно смотреть, с какого адреса было отправлено письмо. Эти два письма, например, были отправлены с [email protected] и [email protected]
  • Смотреть тему письму и имя отправителя. В этих письмах тема письма и имя отправителя совпадали, что само по себе вызывает подозрения.
  • Смотреть на адрес ссылки, по которой предлагается перейти. Ссылка может быть замаскирована, если письмо в HTML формате. Просматривая почту через веб-интерфейс, вы вряд ли сможете отличить обычный текстовый формат от HTML.
  • Смотреть ID письма, обратный адрес и обратный путь.

Материалы по теме

  • Что такое фишинг
  • Ещё о фишинге на Вебпланете

P.S.  Пользуйтесь Gmail.