З кінця листопада наші клієнти почали отримувати листи від імені cPanel про те, що дисковий простір на їхньому хостингу закінчився. Клієнти зверталися до чату, щоб дізнатися подробиці, і ми вивчали їхні акаунти – з місцем на диску все було гаразд, його було достатньо.
Щоб розібратися, ми просили у клієнтів скріншоти та деталі листів, після чого перевіряли відправників. Виявилося, що листи масово відправляють шахраї, щоб отримати доступ до хостингу та сайтів жертв.
У статті розповідаємо, як відрізнити справжній лист від cPanel від фішингового, щоб не пійматися на обман.
Як відрізнити фішинговий лист від справжнього
У листі із попередженням вказано посилання для входу до cPanel. Якщо перейти за цим посиланням і ввести логін та пароль для входу, їх отримають шахраї. Зловмисники зможуть увійти в обліковий запис cPanel і розпоряджатися файлами сайтів.
Ось приклад листа від шахраїв щодо домену hostiq-blog.com:
cPanel дійсно може надіслати попередження, що закінчується одна з квот: місце на диску або ОЗП. Але якщо придивитися до листа вище, можна побачити дивну адресу відправника: cpanelonhostiq-blog.com@seia.lt. Хто такий seia.lt — невідомо, але це точно не компанія cPanel.
Іноді справжню адресу відправника може бути приховано. Тоді відправника можна буде знайти у технічному заголовку листа – хедері.
Інструкція для різних поштових клієнтів про те, як переглянути хедер листа.
Крім відправника є ще дві відмінності справжнього листа від фішингового:
- у справжньому листі в посиланні на cPanel буде вказано назву сервера, наприклад, uavip01.twinservers.net:2083;
- у листах від cPanel зазвичай вказано не тільки домен, а й логін до панелі управління.
⚠️ Шахраї не знають ні назву сервера, ні ваш логін, тому скрізь пишуть лише домен.
Звідки у зловмисника ваші дані
Зловмисники знаходять списки зареєстрованих доменів на певному ІР. Їм байдуже, чи є у власників сайтів cPanel чи ні, головне, щоб спрацювало почуття небезпеки – людина бачить, що її сайт під загрозою, і хоче це виправити.
Далі вони знаходять на сайтах email-адреси або генерують список розсилки, підставляючи admin@, administrator@, contact@, info@ до кожного домену. Частина листів піде в нікуди, частина все ж таки потрапить на поштові скриньки власників сайтів.
Підсумок: що робити, якщо отримали підозрілого листа
👉 Не вводіть логін та пароль від cPanel на сторонніх сайтах
Ви можете увійти до cPanel через Панель клієнта ― Мої послуги ― кнопка «Контрольна панель» навпроти потрібного хостингу. Так вам не потрібно буде вводити логін та пароль.
Якщо хочете заходити в cPanel напряму, знайдіть лист від HOSTiQ.ua з темою «Ваш хостинг готовий до використання». У цьому листі ми надсилали правильне посилання на панель керування вашим хостингом.
👉 Перевірте відправника
Завжди перевіряйте, від кого надійшов лист. У справжньому листі від cPanel відправником буде поштова скринька типу cpanel@ВАШДОМЕН, тобто після @ буде написано основний домен вашого cPanel-акаунта.
👉 Перевірте посилання в листі, але не натискайте на них
Якщо посилання повністю видно, то в ньому будуть помітні помилки та нестиковки. Якщо в листі кнопка, можна натиснути на неї правою кнопкою миші та скопіювати посилання, щоб детально розглянути її в текстовому редакторі. Також посилання та файли можна перевіряти на сайті VirusTotal.
👉 Якщо підозрюєте, що щось негаразд – запитайте пораду у підтримки
Якщо сумніваєтеся, фішинговий лист прийшов або реальний – напишіть в службу підтримки. Служба підтримки в будь-який час перевірить ваш обліковий запис cPanel і повідомить, чи дійсно дискова квота закінчується.
👉 Позначте лист як спам
Тоді ви не побачите наступних листів цього відправника і не перейдете випадково за фішинговим посиланням.
Дотримуйтесь безпеки в мережі та звертайтеся, якщо виникнуть питання!
