Столкнулся сегодня с забавной ситуацией, в результате которой, как лох, отправил мошенникам 42.59 руб. Много раз слышал про других жертв мошенничества, но ни разу не сталкивался с этим сам. Ниже я буду писать некоторые банальные для сис.админов ссылки и команды, но которые могут пригодиться рядовым пользователям при решении подобной проблемы.
Но обо всем по порядку: при авторизации в ВК появилось сообщение, что меня пытаются взломать, но все хорошо, мой аккаунт в сохранности, введите номер телефона для получения кода доступа.Только вчера приехал из Штатов и почти всегда при перелете через Атлантику ВК начинает спрашивать доп. информацию, поэтому у меня не вызвало это сообщение никаких подозрений.
Смотрю на урл: vk.com, все в порядке. Ввожу номер телефона и получаю смс о том, что “Данный вид платежа недоступен до такого-то времени”… Попробовал сделать то же самое через 6 часов, пришло сообщение с предложением оплатить 42,59 за восстановление доступа. Подумал, что ВК совсем, видимо, охренел без Дурова и еще вспомнил Телеграм, который, едва ли, когда-то в обозримом будущем попросит за что-то заплатить. Отправил “1” в ответе на смс, списались деньги, а в ВК появилось сообщение о том, что все хорошо, проверка прошла, но для подтверждения требуется скачать на компьютер файл с расширением .exe!
В голове мелькнуло две мысли: разработчики ВК совсем перестали думать про пользователей Mac и меня все-таки взломали?! Я полез смотреть IP адрес. Делается это командой “ping vk.com” в любом терминале(в Windows вызывается командой cmd). Мой vk.com ссылается на американский IP адрес 191.101.14.113, когда настоящий VK имеет адрес 87.240.131.99. Проверить данные того или иного IP адреса можно здесь https://www.nic.ru/whois/
Появилось две гипотезы. Либо я что-то все-таки привез из аэропорта в Стамбуле, где тусил в незащищенной сети 5 часов, либо проблема в домашнем роутере. Проверил компьютер жены, тот же поддельный IP-адрес. Расшарил с телефона интернет на свой компьютер и увидел, что IP-адрес нормальный, значит проблема в роутере, который подменяет адреса.
Залез на роутер, увидел, что DNS-сервера отличаются от рекомендованных моим провайдером, также увидел, что на роутере очень слабый пароль. Поменял DNS на нормальные, усилил пароль и стало в порядке, кроме, конечно, ушедших навсегда 42.59 рублей в карман мошенников. СМС пришло с номера 6996, код подтверждения с SMSC.RU, где видимо,я заказал какую-то услугу.
Могу сказать, что мошенники становятся все более изощреннее, и кстати, большой вопрос, что за приложение предлагалось скачать, и какой урон оно могло нанести домашней сети. Наверняка, я купился бы и на это, если бы предложили скачать приложение для мага, а не для Windows.
Еще остается все-таки большим вопросом откуда взялся вирус, который подменил DNS. Остался ли он в сети и как с ним бороться. Я пользуюсь Маком, жена пользуется Ubuntu, вроде бы они слабо поддаются взлому. На компьютере жены есть Windows, иногда она переключается на него. Также бывают гости с Windows. Какие мысли?
