С конца ноября наши клиенты стали получать письма от имени cPanel о том, что дисковое пространство на их хостинге закончилось. Клиенты обращались в чат, чтобы узнать подробности, и мы изучали их аккаунты — с местом на диске все было в порядке, его было достаточно.
Чтобы разобраться, мы просили у клиентов скриншоты и детали писем, после чего проверяли отправителей. Оказалось, что письма массово отправляют мошенники, чтобы получить доступ к хостингу и сайтам жертв.
В статье рассказываем, как отличить настоящее письмо от cPanel от фишингового, чтобы не попасться на обман.
Как отличить фишинговое письмо от настоящего
В письме с предупреждением указана ссылка для входа в cPanel. Если перейти по этой ссылке и ввести логин и пароль для входа, то их получат мошенники. Злоумышленники смогут войти в аккаунт cPanel и распоряжаться файлами сайтов.
Вот пример письма от мошенников по домену hostiq-blog.com:
cPanel действительно может отправить предупреждение о том, что заканчивается одна из квот: место на диске или ОЗУ. Но если присмотреться к письму выше, можно заметить странный адрес отправителя: cpanelonhostiq-blog.com@seia.lt. Кто такой seia.lt ― неизвестно, но это точно не компания cPanel.
Иногда настоящий адрес отправителя может быть скрыт. Тогда отправителя можно будет найти в техническом заголовке письма ― хедере.
Инструкция для разных почтовых клиентов о том, как просмотреть хедер письма.
Кроме отправителя есть еще два отличия настоящего письма от фишингового:
- в настоящем письме в ссылке на cPanel будет указано название сервера, например, uavip01.twinservers.net:2083;
- в письмах от cPanel обычно указан не только домен, но и логин в панель управления.
⚠️ Мошенники не знают ни название сервера, ни ваш логин, поэтому везде пишут только домен.
Откуда у злоумышленника ваши данные
Злоумышленники находят списки зарегистрированных доменов на определенном IP. Им все равно, есть ли у владельцев сайтов cPanel или нет, главное, чтобы сработало чувство опасности ― человек видит, что его сайт под угрозой, и хочет это исправить.
Дальше они находят на сайтах email-адреса или генерируют список рассылки, подставляя admin@, administrator@, contact@, info@ к каждому домену. Часть писем уйдет в никуда, часть все же попадет на почтовые ящики владельцев сайтов.
Итого: что делать, если получили подозрительное письмо
👉 Не вводите логин и пароль от cPanel на посторонних сайтах
Вы можете войти в cPanel через Панель клиента ― Мои услуги ― кнопка «Контрольная панель» напротив нужного хостинга. Так вам не нужно будет вводить логин и пароль.
Если предпочитаете заходить в cPanel напрямую, найдите письмо от HOSTiQ.ua с темой «Ваш хостинг готов к использованию». В этом письме мы отправляли правильную ссылку на панель управления вашим хостингом.
👉 Проверьте отправителя
Всегда проверяйте, от кого пришло письмо. У настоящего письма от cPanel в отправителе будет почтовый ящик вида cpanel@ВАШДОМЕН, то есть после @ будет написан основной домен вашего cPanel-аккаунта.
👉 Проверьте ссылки в письме, но не нажимайте на них
Если ссылку полностью видно, то в ней будут заметны опечатки и нестыковки. Если в письме кнопка, то можно нажать по ней правой кнопкой мыши и скопировать ссылку, чтобы детально рассмотреть ее в текстовом редакторе. Также ссылки и файлы можно проверять на сайте VirusTotal.
👉 Если подозреваете что-то неладное ― спросите совет у поддержки
Если сомневаетесь, фишинговое письмо пришло или реальное ― напишите ребятам из службы поддержки. Служба поддержки в любое время проверит ваш аккаунт cPanel и сообщит, действительно ли дисковая квота заканчивается.
👉 Пометьте письмо как спам
Тогда вы не увидите следующие письма этого отправителя и не перейдете случайно по фишинговой ссылке.
Соблюдайте безопасность в сети и обращайтесь, если возникнут вопросы!
