Кто читает вашу почту

Уже в который раз при проведении оценки осведомленности пользователей замечаю, как в наш сценарий атаки через некоторое время вмешивается некто (или нечто) со стороны диапазонов IP-адресов бесплатной почтовой системы, которую мы используем для рассылки электронных писем (eq сервис mail.ru). Причем, все указывает на то, что вмешательство происходит именно человеком, а не автоматизированной системой, т.е. вмешательство происходит вполне себе осознанно.

Вот и сегодня при проведении подобного тестирования после отправки небольшого числа писем с веб-морды mail.ru, содержащих ссылку на "заряженный" сайт "тихим" анализатором защищенности клиента (aka webspider), в логах появилась "левая" запись:


Whois показал, что источник ведет напрямую в сеть Mail.ru, а вовсе не к сети из диапазона исследования:


Из пользовательского соглашения Mail.ru: "п.12 12. Тайна переписки и конфиденциальность Mail.ru
В пределах функционирования Mail.ru обеспечивается тайна сообщений и соблюдается конфиденциальность информации о пользователях Mail.ru, за исключением случаев, предусмотренных законодательством Российской Федерации.". Однако, противоречие на лицо.

15 комментариев :

  1. Хм. Можно пофантазировать: стоит мега-фильтр на исходящие почтовые сообщения, который выцепляет ссылки и отдает роботу. Робот дальше делает свои дела:
    - индексирует на предмет того-сего-пятого-десятого
    - проверяет на наличие валвари и прочей гадости по указанным ссылкам и, например, отдает указанные ссылки в блеклисты поисковикам или банит почтовый ящик отправителя.

    Нереальный сценарий, как думаешь?

    ОтветитьУдалить
  2. У кого-то из адресатов целевой аудитории могла быть настроена пересылка с рабочего на личный mail.ru'шный почтовый ящик с которого он, прочитав письмо и прошел по этой ссылке.

    ОтветитьУдалить
  3. Кочетков Владимир, так откуда тогда маил.ру-шный айпи?

    ОтветитьУдалить
  4. Андрей,

    Да, возможно... а возможно и нет:)

    Возникает только вопрос, а почему "робот" не прошелся по всем ссылкам? Ведь у них были разные параметры. В прошлом, "робот" был более активным. См. mail.jpg

    С другой стороны, даже если это робот... представь, человек отправляет мега конфиденциальную ссылку, а робот с мейла закеширует контент по этой ссылке :) а если контентом являются приватные фотографии? ;))

    ОтветитьУдалить
  5. имхо проверить робот это или человек можно той же капчей :) отправив ссылку в виде картинки

    ОтветитьУдалить
  6. ловля на живца:) стоит попробовать;)

    ОтветитьУдалить
  7. хотя... с картинкой наверое будет слишком явно, да и набирать может оказаться просто влом... а вот если цветом фона или по тексту логически разделить :)

    ОтветитьУдалить
  8. > а если контентом являются приватные фотографии? ;))

    Приватные фотографии - не самая большая проблема.

    ОтветитьУдалить
  9. >> а вот если цветом фона или по тексту логически разделить

    ...или контент интересный и кликабельный для сотрудников мейл.ру...

    >> Приватные фотографии - не самая большая проблема.

    да, наверное. но в любом случае не приятно, если по отправляемым письмам шарят.

    ОтветитьУдалить
  10. интересные описания своих сетей дают некоторые администраторы
    Description: MAILRU-MRAS

    http://stat.geres.ge/nettools/whois.html?lang=en&ip=217.69.132.0

    ОтветитьУдалить
  11. Тайна связи нарушается только в том случае, если по ссылкам ходил человек. А робот субъектом права не является - ему почти всё можно. ;)

    Сможете доказать, что человек?

    ОтветитьУдалить
  12. >> Сможете доказать, что человек?

    сейчас нет, но на будущее пара мыслей имеется :)

    ОтветитьУдалить
  13. Кстати Дмитрий, а Вы не пробовали выяснить сколько времени незваные гости находятся онлайн? А то, я думаю, что чем больше они в сети, тем меньше вероятность что они люди :)

    p.s. Сканируя вышеуказанные IP-адреса с помощью nmap, я получил одинаковые результаты.

    ОтветитьУдалить
  14. >> сколько времени незваные гости находятся онлайн?

    возьму на заметку

    ОтветитьУдалить
  15. Ta je situaciya:
    Otpravil snifer na milnik odnovo "znakomovo" a vzamen polucil:


    IP ADRESI: 217.69.132.201
    User Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)



    Windows NT 6.1 Operating System: Windows 7
    Internet Explorer version 9.0



    100% uveren cto "znakomiy" bil v to vremya offline.

    Tak cto mail.ru spionit+ citaet vse pisma.


    ОтветитьУдалить