Мошенники с дефолтным паролем на сервисе рассылок
UPD:
В конце поста ссылки на сайт мошенников для рассылки писем и логин/пароль к ним.
Позвонили на днях мошенники супруге со стандартным разводом - "У вас планируется смена домофона. У нас готовы для вас ключи, но чтобы их активировать вам нужно назвать код из СМС." Т.к. супруга была занята, а также потеряла ключи день назад, она решила что это я где-то заказал ключи и указал её номер телефона.
Поэтому не почувствовав подвоха - она назвала код из СМС. Но благо, это был развод двухступенчатый и эта СМС роли не играла. Это была только приманка.
Через некоторое время приходят на почту 2 письма - первое, что на вас оформлена доверенность. Вторая, уведомление от оператора, что вам звонили мошенники.
Позже они позвонили со словами - вам вчера был звонок, вам звонили мошенники, вы им не называли никаких номеров? Но супруга не стала с ними разговаривать.
Естественно, письма тоже от мошенников. Но в заголовке письма палится URL, с которого была отправка. Домен свежий, был зарегистрирован буквально в день звонка.
Открываю сайт и там поля для авторизации. Без надежды - я перебрал несколько паролей и я даже не сразу поверил, когда пароль admin/admin123 подошел
Что мы видим в системе.
Во, первых зарегано два пользователя. Кроме админа - есть еще некий Den. Также есть история отправок. За полгода было более 700 отправок.
Есть также шаблоны писем - о доверенности(с названием DEN) и от разных операторов
В первую очередь, я испортил шаблон - удалил контактные телефоны и добавил во все шаблоны надпись "ЭТО ПИСЬМО ОТ МОШЕННИКОВ. НЕ ВЕДИТЕСЬ".
И стал наблюдать - отправки продолжились, но уже с моим шаблоном.
На следующий день, они обновили шаблон (скорее всего его обновляют периодически т.к. телефоны быстро блочат и приходится их менять). Думаю это делает робот. Затер все шаблоны, а также грохнул пользователя DEN.
Чуть позже я погуглил что это за "Space Spoofer" и к моему удивлению нагуглил еще с десяток таких же сайтов, часть из которых уже мертвые, а часть живые и с аналогичными шаблонами. И да, везде тот же логин/пароль. И везде второй пользователь Den.
Судя по истории мошенники периодически меняют домены и сервера т.к. их палят почтовые сервисы. А так - это письмо не было помечено как спам и более того, было написано, что там скорее всего содержится важная информация. С того сервера, на который я обнаружил первым были отправки в ноябре, потом в январе, потом в июне.
Кому интересно, держите
admin/admin123
На момент написания - актуальны, но думаю их быстро поменяют после наплыва пикабушников. Или когда обнаружат, что пользователя нет.
P.S. Также забыл добавить, что сделал с их сайта с их шаблоном и номером телефона отправки в минцифры и еще пару федеральных органов. Надеюсь их заинтересуют владельцы сайта и номеров телефона т.к. у меня доступа к такой информации, естественно нет...
