(Это продолжение предыдущей темы)

S@rge
Голосовой шлюз?

База для DECT-трубок.

Aik
База для DECT-трубок.
Так чего конкретно хотите добиться - чтобы DECT-трубки работали "на другой стороне"? Тогда туда же и надо переносить базу, а "засовывать в IP-поток" сигнал с АТС-ки. Выражайтесь яснее.

S@rge

Так чего конкретно надо то - чтобы DECT-трубки работали "на другой стороне"? Тогда туда же и надо переносить базу, а "засовывать в IP-поток" сигнал с АТС-ки. Выражайтесь яснее.

Подключение выглядит так:
АТС <-ethernet-> DECT-модуль <- кабель -> база.

К базе цепляются трубки, база к дект-модулю АТС подключена условной лапшой. Физически витая пара, но используются только две пары - питание и данные.
Если бы база была только одна, тогда я бы просто перенёс дект-модуль в нужное место и не мучался бы.
Но баз у меня четыре. И три из них находятся в том здании, где и АТС, а вот четвёртая - в трёхстах метрах. И с проводом этим трёхсотметровым постоянные проблемы - то его затопит, то сосульки вырастут, то зацепит кто.
А безопасный путь, по которому оптика лежит, уже не 300 метров, а все 600. И тащить по нему витую пару совсем не хочется. Потому и есть желание - может несбыточное - как-то завернуть сигнал между АТС и базой если не в IP, то хотя бы в оптику - одну-две жилы можно под это отвести. Если, конечно, оно вообще технически возможно.

Aik
А что за модели DECT-модуля и базы?

S@rge
А что за модели DECT-модуля и базы?

Базу не посмотрю сейчас, модуль - IPECS LIK-WTIM4

У нас уведомления об окончании пароля через lansweeper рассылаются

Добавление от 26.01.2024 11:03:

Точнее лансвиппер формирует CSV со списком пользователей у которых пароль истекает в ближайшую неделю, а скрипт по списку пробегается и рассылает им уведомления

Может в заголовке письма вообще отсутствовать IP отправителя?
Получил на mail.ru письмо "от gosuslugi.ru" совершенно очевидно что подделка. "Обновлен адрес почты" все сильно-сильно похоже на настоящее, внешне только одно выдает подделку- Vam perevod 343 434 RUB Poluchit' - все ссылки куда надо. Правда пришло на адрес, который не имеет отношения к гоуслугам
Так вот- в заголовках только один IP и он госуслуговый. Логи, естественно, никто не даст посмотреть.

А еше mail.ru говорит что оно настоящее

Любой из релеев может убирать любые заголовки (по сути они тот же текст письма, просто его служебная часть)
Но по идее последний заголовок received должен присутствовать, в котором сам сервер мэйла пишет от кого он получил письмо. (ну или несколько последних показывающих как идет по инфраструктуре мэйла)
К сожалению у меня нет почты на мэйле чтобы поглядеть как там выглядит
На яндексе вот так

Received: from mail-wm1-x347.google.com (mail-wm1-x347.google.com [2a00:1450:4864:20::347])
by mail-nwsmtp-mxfront-production-main-41.iva.yp-c.yandex.net (mxfront/Yandex) with ESMTPS id vaO2ZUDSNGk0-TMoz5F0A;
Fri, 26 Jan 2024 09:36:57 +0300

А это именно mail.ru так говорит или просто в теле письма картинка с плашкой, похожей на настоящую?

Так-то интересно было бы глянуть именно на служебную область с заголовками.

Sola
Delivered-To: aym@mail.ru
Return-path: <no-reply@gosuslugi.ru>
Received-SPF: pass (mx252.i.mail.ru: domain of gosuslugi.ru designates 213.59.254.1 as permitted sender) client-ip=213.59.254.1; envelope-from=no-reply@gosuslugi.ru; helo=smtp68.gosuslugi.ru;
Received: from smtp68.gosuslugi.ru ([213.59.254.1]:50132)
by mx252.i.mail.ru with esmtp (envelope-from <no-reply@gosuslugi.ru>
id 1rTC0u-008WVB-2g
for aym+gaz@mail.ru; Fri, 26 Jan 2024 05:32:17 +0300
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
DKIM-Signature: v=1; a=rsa-sha256; d=gosuslugi.ru; s=mail; c=simple/simple;
t=1706236329; h=from:subject:to ate:message-id;
bh=BUWO+0XP8rfGuQ77yJR9ftITS0vpPXe9Es5gTNbnhcA=;
b=aqzVM9NOGQ45d+77qtN8+1YAOenyypO3aJbOAOEQY7RQyHajVusr8ubkGFK9k6WZhVHag9tpJij
E3Vv0RxahKIT2h8h194sOsV2Tx7cdbjSt9u8hqcNqIwR+zqjOP6NRlOqRzOg9I/c9DIf4EaF8TB2J
GjqFZ/alvcV+MrBjVYgpnG8VTWTIUifh7SOHZO+hmHIT4UpkDj+Xu+yBRC/2B7Hn45zmHVaoKOFUc
FCm/nJntJec2MLGE3D4M9zN7pZN3oibV6U/5JD4NREu4jkFTbh1ryCIwjku9z4FcnOaoEdPA0shPK
vC9FzhElhujjs6M8QuSY+luJ4Ie2JLD7zhKg==
Date: Fri, 26 Jan 2024 05:32:09 +0300
From: =?UTF-8?B?0JPQvtGB0YPRgdC70YPQs9C4?= <no-reply@gosuslugi.ru>
Reply-To: =?UTF-8?B?0JPQvtGB0YPRgdC70YPQs9C4?= <no-reply@gosuslugi.ru>
To: <aym+gaz@mail.ru>
Message-ID: <393995907.23795803.1706236329701@gosuslugi.ru>
Subject: =?UTF-8?B?0J/QvtC00YLQstC10YDQtNC40YLQtSDQsNC00YDQtdGB?=
=?UTF-8?B?INGN0LvQtdC60YLRgNC+0L3QvdC+0Lkg0L/QvtGH0YLRiw==?=


только реальный адрес я заменил на aym а вот aym+gaz это реальный +gaz и мне не знаком.

Вообще очень похоже на письмо полученное через валидный сервер госуслуг.
В SPF у них действительно есть этот IP
"v=spf1 mx a:mail.ntt.ru ip4:109.207.0.0/20 ip4:195.28.32.3 ip4:213.59.253.1 ip4:213.59.253.2 ip4:213.59.254.1 ip4:213.59.254.2 -all"
AYM
aym+gaz это реальный +gaz и мне не знаком.
плюс в адресе это что-то типа "соли для хеша". Такая защита от утекающих адресов. Все что после + и до @ почтовыми серверами не учитывается
https://winitpro.ru/index.php/2022/08/17/plyus-adres…D0%B8%D0%BA%D0%B0.

Будет забавно, если инфраструктуру госуслуг кто-то хакнул.
Правда, если оно даже и правда, то мы вряд ли об этом на хабре прочитаем в ближайшее время.

А не может быть какой-то типа госпочты. Через которую (по инфраструктуре госуслуг) заслали фишинг. То есть поломали не сами госуслуги а кого-то кто мог через них рассылки делать (типа гаевни со штрафами)

Sola
Вообще очень похоже на письмо полученное через валидный сервер госуслуг.
вот и я о том. Да и mail.ru говорит оригинал.
IP я тоже виду по dns


А не может быть какой-то типа госпочты. Через которую (по инфраструктуре госуслуг) заслали фишинг.
Нет. повторюсь- госуслуги у меня не на этом адресе

Добавление от 26.01.2024 13:48:

Sola
Все что после + и до @ почтовыми серверами не учитывается
проверил на рабочем- отшивает

AYM
проверил на рабочем- отшивает
Возможно ваш рабочий почтовик не обучен такому фокусу.
На мэйл сейчас написал на ваш адрес с добавкой через плюс

Добавление от 26.01.2024 14:05:

По письму, как в привате написал, судя по всему был задействован скрипт смены привязанного емайл с вашего (куда пришло письмо, который +gaz) на текст который в письме
"Vam perevod 343 434 RUB Poluchit' - www.xn--c1aidpv.xn--p1ai " и это типовое письмо подтверждения смены адреса. А у госуслуг не стоит верификации того, что то на что предлагают сменить почтовый адрес является email адресом.

Ну и надо отдельно разобраться как адрес +gaz оказался адресом на который прилетел запрос на смену.
Возможно работает сценарий завести учетку с почтовым адресом и сразу заказать смену адреса без подтверждения заведенного. Но по идее должно было прилететь сперва оповещение что на ваш адрес почты регистрируются госуслуги.
В любом случае я бы попробовал написать в техподдержку госуслуг и пробиться сквозь первую линию "Маринок" чтобы достучаться до тех кто поймет в чем у них проблема.

Sola
Пришел оригинальный спам от госуслуг. С этого IP и с похожим заголовком. Естественно, ID и DKIM другие.
Значит и в самом деле от госуслуг.
Звонить пробовал, у разработчика вообще трубку не берут

Провел эксперимент - заказал смену почты на своих госуслугах.
Итого приходит письмо на ту почту на которую ХОЧЕШЬ СМЕНИТЬ. И в нем имя отчество указано.
То есть злоумышленник берет любую свою учетку. Указывает в ней имя отчество
"Vam perevod 343 434 RUB Poluchit' - www.xn--c1aidpv.xn--p1ai " и выбирает ваш email с +gaz как адрес на который надо сменить почту.
Вот так и прилетит такое письмо и отчество автоматически перепишется в ссылку.

Из того что можно сделать гадость людям - жамкнуть кнопку согласен на смену и потом заказать сброс пароля через почту эту и угнать их аккаунт. Правда там скорее всего будет валидация смены пароля по смс которую не пройдете

Добавление от 26.01.2024 14:38:

P.S. Кстати огромное спасибо за случай. Добавлю этот пример в свою лекцию для сотрудников по ИТ безопасности в раздел фишинга

Sola
Спасибо за проделанную работу.

Sola
Из того что можно сделать гадость людям - жамкнуть кнопку согласен на смену и потом заказать сброс пароля через почту эту и угнать их аккаунт.

Если отправитель письма не полный идиот, она УЖЕ угнана (им).

IRZ
Если отправитель письма не полный идиот, она УЖЕ угнана (им).

Ну, на самом деле там в интерфейсе госуслуг сразу появляется кнопка отменить процесс смены и при этом более никаких писем не высылается. И жулики наверняка сразу нажимают и следующую цель после этого обрабатывают

Я к тому, что слать подобные письма со СВОЕЙ учетки ГУ может только непуганый идиот. Потому что отследить такую учетку для самих ГУ и органов проблемы никакой (разумеется, если этим озаботиться).

IRZ
Зачем со своей? Есть разные уровни записи.

IRZ
Я к тому, что слать подобные письма со СВОЕЙ учетки ГУ может только непуганый идиот. Потому что отследить такую учетку для самих ГУ и органов проблемы никакой (разумеется, если этим озаботиться).
Да понятно, что либо с угнанной либо с левой.

Не сталкивался кто-нибудь с проблемой при подключении Shadow RDP к Win11 с машины Win10 - черный экран, видно только курсор мыши. Если подключаться с опцией /control, то нажатия мыши на удаленный хост проходят, но изображения также нет. А вот с server2019 подключение нормально проходит Беда в том, что не гуглится проблема даже на инглише.

Sola
насколько помню - что-то подобное уже использовали в 22-м для примитивных PsiOps,
подробности надо искать, а мне это сейчас делать не хочется...

AMD Fanatic
Shadow RDP

В смысле - в пользовательскую сессию надо попасть?

Sola
жамкнуть кнопку согласен на смену и потом заказать сброс пароля через почту эту и угнать их аккаунт.

"Добрые и умные" правозащитники могут за это и статью прикрутить...

Здравствуйте.
Если наш антиспам пропустил какое-то "мусорное" письмо, нажмите кнопку «Спам» — это улучшит наши алгоритмы.
Также вы можете создать дополнительный фильтр, который сразу будет удалять такие письма: https://help.mail.ru/mail/security/spam/protect
Вы можете присылать оригиналы таких писем нам, чтобы мы дополнительно приняли меры.

Для этого скачайте письмо в формате EML и отправьте его нам через форму:
https://help.mail.ru/surveys/claims
Как скачать письмо:
https://help.mail.ru/mail/helpful/eml

Яна Громова