From support на cs.msu.ru Sat Oct 20 14:50:21 2018 From: support на cs.msu.ru (=?UTF-8?Q?=D0=9A=D0=BE=D0=BD=D0=B4=D0=B0=D0=BA=D0=BE=D0=B2_=D0=A0?= =?UTF-8?Q?=D0=BE=D0=BC=D0=B0=D0=BD?=) Date: Sat, 20 Oct 2018 14:50:21 +0300 Subject: [Users] =?utf-8?b?0J/QuNGB0YzQvNCwLdCy0YvQvNC+0LPQsNGC0LXQu9C4?= Message-ID: <7e5725627736cee9a9e72783358ed693@cs.msu.ru> Добрый день, пользователи почтовой службы ВМК! В последнее время стали приходить письма, вымогающие деньги вида: ---- Greetings, my victim. I know your password - GRIUKAUY This is my last warning. I write you inasmuch as I put a trojan on the web page with pornography which you have visited. My malware grabbed all your personal data and switched on your webcam which captured the process of your masturbation. Just after that the trojan saved your contact list. I will remove the compromising video and data if you pay me 500 USD in bitcoin. This is wallet address for payment : 135qVXXBZb3v2tQcLJRA8UAndiUYNybh3J (you can google on "how to buy bitcoin") I give you 24 hours after you view my message for making the payment. As soon as you view the message I'll know it right away. It is not necessary to tell me that you have sent money to me. This address is connected to you, my system will delete everything automatically after transfer confirmation. You can visit the police office but no one can't help you. If you try to cheat me, I'll see it immediately! I don't live in your country. So nobody can't track my location even for 9 months. Don't forget about the disgrace and to ignore, Your life can be ruined. ---- Можете смело их удалять, только убедитесь, что пароль у вас не тот. Пара почтовый логин+пароль всегда имела ценность, но до этого использовалась только спамерами. Сейчас с развитием анонимных кошельков (практически невозможно выяснить кому принадлежит такой электронные кошелек, поэтому сложно наказать) появилось и такое вот вымогательство о якобы взломе. Лично я получил уже третье такое, в каждом был разный пароль, поэтому получение письма само по себе ни о чем не говорит. Просто мошенник рассчитывает на вашу панику, и даже если 1 из 100 заплатит, он будет в плюсе. Обратите внимание, в письме нет никаких привязок ни к личности (хотя из имени почты, как правило, уже можно понять, как человека зовут), ни, к якобы, взломанной операционной системе (пользователь ОС, версия ОС, какие-нибудь уникальные файлы — ничего). Если у вас есть сомнения по поводу какого-либо письма, вы всегда можете написать на support на cs.msu.ru. -- Служба техподдержки факультета ВМК Основной системный администратор факультета, Роман Кондаков From support на cs.msu.ru Sun Oct 21 18:05:20 2018 From: support на cs.msu.ru (=?UTF-8?Q?=D0=9A=D0=BE=D0=BD=D0=B4=D0=B0=D0=BA=D0=BE=D0=B2_=D0=A0?= =?UTF-8?Q?=D0=BE=D0=BC=D0=B0=D0=BD?=) Date: Sun, 21 Oct 2018 18:05:20 +0300 Subject: [Users] =?utf-8?b?0J/RgNC+INC/0LDRgNC+0LvQuA==?= Message-ID: <8f5da7479b8b75b339ffab70c3c23d52@cs.msu.ru> Добрый день, пользователи почтовой службы ВМК! По поводу паролей, откуда их могли узнать и чем это грозит. Сразу скажу, что не грозит ни чем. Чтобы подключиться к вашему компьютеру, надо чтобы была запущена служба входа, компьютер имел внешний адрес (выданный только ему), был известен логин входа и пароль. Поэтому даже если вы напишете свой пароль всюду, зайти к вам на личный ноутбук/компьютер злоумышленник не сможет. Немного особняком стоят службы типа Anydesk/Teamviewer (не требуется внешний адрес), но 1. их надо отдельно поставить и запустить (используйте официальные дистрибутивы, а не что-то вида ZverCD) 2. логин там, как правило, не совпадает с обычным, 3. пароль, как правило, случайный. Теперь откуда берутся пароли у злоумышленников. Очень редко, что пароль можно подобрать напрямую через почтовый сервер. Хотя какая-то вероятность этого есть, но для этого надо либо догадываться, как человек составляет пароли, либо чтобы он использовал простой пароль (123456, или совпадающий с логином). Чаще же пользователь придумывает сложный пароль (прямым перебором который быстро не подобрать), но использует его для разных сервисов. Проблема в том, что был взломан ряд крупных старых сервисов (например, qip). Почти любой интернет-сервис (форум, соцсеть, картинки, конференции и т.д.) хотят от вас почту и какой-нибудь пароль. Если администраторы/архитекторы сервиса безответственно подходят к этому вопросу, то пароль в их базе будет храниться в открытом или восстановимом виде, поэтому достаточно, чтобы бекап или дамп базы данных попал в плохие руки. После этого нужно лишь поискать поля «password» или аналогичные, и «email»/«login». Для примера: в нашей базе аутентификации почты ваш пароль хранится в виде значения необратимой хеш-функции, для примера слово «support» может представляться в ней как: Qx0KWc1B4W0lyql6H6ECZ2XJxHK+00Ze qb5hZq59vNAkS0H3ssZRCZ/pY+9tXAJ4 5cu5zxbEtrB/zJ8po98520Ly4nHtj3XU (используется защита от перебора по словарю (схема с «солью»), поэтому строки получаются разные, но слово одно). Если вы вдруг такой пользователь, что использует один пароль, то рекомендуется от такой схемы уйти и пароли сменить. Теперь на что менять. Варианта тут два: 1. использовать случайные/уникальные пароли и хранить в защищенном месте. 2. Если уж совсем сложно использовать совсем уникальные, то добавлять к паролю суффикс/префикс, связанные с сервисом. 2.1 Тут, конечно, есть аналогичная проблема, что если злоумышленник хочет насолить именно вам, то он может найти в взломанных базах пароли, понять способ создания и т.д., поэтому даже в этом схеме старайтесь использовать разные основы, скажем, по уровню серьезности/доверия к сервису. Кстати, браузер/почтовый клиент умеет хранить ваши пароли с шифрованием (через мастер-пароль), поэтому если храните в них, то используйте эту возможность, тогда без вас пароли просто так (без подбора мастер-пароля) не получить. -- Служба техподдержки факультета ВМК Основной системный администратор факультета, Роман Кондаков