Сегодня мы обнаружили 4 новых фишинговых сайта, эксплуатирующих бренд волонтерского движения «Мы вместе»:
https://gosvyplatyvmeste.ru/
https://rosfinpodderzhka.ru/
https://helpinghope.ru/
https://helpourpeople.ru/
Данные сайты являются представителями весьма нестандартного подхода к скам-схеме с фейковыми социальными выплатами. Во-первых, они пытаются охватить все категории людей сразу – практически каждый попадает в категорию, которой причитается выплата. Во-вторых они собирают весьма внушительный массив данных о человеке, начиная со СНИЛС и заканчивая ФИО, номером карты, телефона и кодом из СМС.
Более детальное изучение ресурсов показало, что это не единичная акция, а очередной фишинговый кит, работающий в связке с Telegram-ботом, так что можно ожидать массового появления такого рода сайтов.
Что характерно, в коде открытым текстом лежит и токен бота, и ID чата в Telegram, соответственно введенные данные улетают биороботу, который их потом обрабатывает.
После недолгого изучения ресурсы были отправлены на блокировку.
UPD: Вдогонку на блокировку отправлена еще пачка аналогичных сайтов, появившихся уже 19 января:
https://vmestemysilny.ru/
https://togetherstrength.ru/
https://victoryvolunteers.ru/
https://volunteersvictory.ru/
https://mi-vmeste.ru/
https://vyplatyvmeste.ru/
https://soc-pomosh.ru/
https://sotsvyplata.ru/
https://socfondhelp.ru/
https://publicrelieffund.ru/
https://programapomoshi.ru/
https://gosvyplatyvmeste.ru/
https://rosfinpodderzhka.ru/
https://helpinghope.ru/
https://helpourpeople.ru/
Данные сайты являются представителями весьма нестандартного подхода к скам-схеме с фейковыми социальными выплатами. Во-первых, они пытаются охватить все категории людей сразу – практически каждый попадает в категорию, которой причитается выплата. Во-вторых они собирают весьма внушительный массив данных о человеке, начиная со СНИЛС и заканчивая ФИО, номером карты, телефона и кодом из СМС.
Более детальное изучение ресурсов показало, что это не единичная акция, а очередной фишинговый кит, работающий в связке с Telegram-ботом, так что можно ожидать массового появления такого рода сайтов.
Что характерно, в коде открытым текстом лежит и токен бота, и ID чата в Telegram, соответственно введенные данные улетают биороботу, который их потом обрабатывает.
После недолгого изучения ресурсы были отправлены на блокировку.
UPD: Вдогонку на блокировку отправлена еще пачка аналогичных сайтов, появившихся уже 19 января:
https://vmestemysilny.ru/
https://togetherstrength.ru/
https://victoryvolunteers.ru/
https://volunteersvictory.ru/
https://mi-vmeste.ru/
https://vyplatyvmeste.ru/
https://soc-pomosh.ru/
https://sotsvyplata.ru/
https://socfondhelp.ru/
https://publicrelieffund.ru/
https://programapomoshi.ru/
В такой прекрасный весенний день не грех выйти из зимней спячки и написать о том, что злоумышленники стали использовать образ трэш-стримера Мелстроя для раскрутки очередной итерации скам-схемы с коробочками.
Такой инфоповод было сложно упустить, раз уж Мелстрой раздает деньги за приветы от знаменитостей и президентов, почему бы ему не раздать и другие подарки? К сожалению, это так не работает.
Зато мы пользуемся случаем и передаем привет Мелстрою от имени канала.
Такой инфоповод было сложно упустить, раз уж Мелстрой раздает деньги за приветы от знаменитостей и президентов, почему бы ему не раздать и другие подарки? К сожалению, это так не работает.
Зато мы пользуемся случаем и передаем привет Мелстрою от имени канала.
Хотите получить выплату от государства? Установите сертификат безопасности… то есть троян под Android! Но сперва введите ФИО, телефон и номер карты. А потом введите все это еще раз и заново скачайте тот же троян, ну так, для перестраховки.
Как это водится, в схеме задействовано сразу несколько ресурсов. Первый - gos-uslugi.biz (скоро прекратит существование) видится вполне самодостаточным, но после скачивания трояна-сертификата gs_uslg_1_0_5.apk жертву переадресовывают на https://n0wpay.world/ по уникальной ссылке, где нужно заново ввести те же самые сведения и скачать троян еще раз, ну вдруг в первый раз не вышло. Второй раз троян предстоит скачать уже с нового сайта: https://gos-uslugi.my1.ru.
Сайты отправлены на блок, образец трояна – в антивирусные и ИБ-компании. Не благодарите.
Как это водится, в схеме задействовано сразу несколько ресурсов. Первый - gos-uslugi.biz (скоро прекратит существование) видится вполне самодостаточным, но после скачивания трояна-сертификата gs_uslg_1_0_5.apk жертву переадресовывают на https://n0wpay.world/ по уникальной ссылке, где нужно заново ввести те же самые сведения и скачать троян еще раз, ну вдруг в первый раз не вышло. Второй раз троян предстоит скачать уже с нового сайта: https://gos-uslugi.my1.ru.
Сайты отправлены на блок, образец трояна – в антивирусные и ИБ-компании. Не благодарите.
Проголосуйте за детский рисунок и лишитесь аккаунта в Telegram? Устарело! Смотрите, какая изящная схема угона Telegram-аккаунтов через поиск по картинкам вскрылась. Мы прям снимаем шляпу.
Вот ищете вы мемасики/аниме/прон/пиццу, черт побери, в Яндексе и выскакивает вам картинка по вашему запросу. Вы кликаете на нее, а вам предлагают подписаться на канал «Тебе понравится». Естественно придется залогиниться, отправить код из СМС и… прощай родная телега.
Для того, чтобы нужная картинка выдавалась практически по любому запросу, злоумышленники создали несколько сотен сайтов на одном шаблоне, каждый из которых является по сути просто каталогом изображений с описаниями, взятыми из других источников. Магия SEO, прикрученная Яндекс.Метрика и вот уже по запросу «Гарри Поттер и Гермиона фанфик» в списке поисковой выдачи вы увидите заветную ссылку.
Что характерно, сайт с картинками проверяет, перешли ли вы на него по ссылке из поисковика или нет. Если нет, то вы не увидите никакого фишинга, вот вам картинка, что вы запрашивали; если да, вас редиректит на фишинговую страницу под Telegram, ссылка на которую регулярно меняется.
Пожалуй, это самая крутая схема по взлому TG, которую мы видели за последний год. В совокупности сеть сайтов содержит в районе миллиона картинок с описаниями, то есть шанс нарваться на фейк крайне велик.
Снимаем шляпу перед криминальным талантом, но вынуждены огорчить создателей схемы: мы знаем о них несколько больше, чем они думают, так что ожидайте продолжения этой истории в нашем канале. А пока – сайты на блок!
Вот ищете вы мемасики/аниме/прон/пиццу, черт побери, в Яндексе и выскакивает вам картинка по вашему запросу. Вы кликаете на нее, а вам предлагают подписаться на канал «Тебе понравится». Естественно придется залогиниться, отправить код из СМС и… прощай родная телега.
Для того, чтобы нужная картинка выдавалась практически по любому запросу, злоумышленники создали несколько сотен сайтов на одном шаблоне, каждый из которых является по сути просто каталогом изображений с описаниями, взятыми из других источников. Магия SEO, прикрученная Яндекс.Метрика и вот уже по запросу «Гарри Поттер и Гермиона фанфик» в списке поисковой выдачи вы увидите заветную ссылку.
Что характерно, сайт с картинками проверяет, перешли ли вы на него по ссылке из поисковика или нет. Если нет, то вы не увидите никакого фишинга, вот вам картинка, что вы запрашивали; если да, вас редиректит на фишинговую страницу под Telegram, ссылка на которую регулярно меняется.
Пожалуй, это самая крутая схема по взлому TG, которую мы видели за последний год. В совокупности сеть сайтов содержит в районе миллиона картинок с описаниями, то есть шанс нарваться на фейк крайне велик.
Снимаем шляпу перед криминальным талантом, но вынуждены огорчить создателей схемы: мы знаем о них несколько больше, чем они думают, так что ожидайте продолжения этой истории в нашем канале. А пока – сайты на блок!
Если ваши деньги похитили телефонные мошенники, то вернуть их скорее всего уже не получится. Однако желающих повторно нажиться на человеке, тешащим себя надеждой получить назад свои кровные, всегда найдутся.
Сегодняшний сайт – классический пример повторного обмана жертв фейковых криптоинвесторов, о которых мы писали на канале уже десятки раз. По факту это такие же телефонные мошенники, действующие из колл-центров, только в этой схеме никто никого не пугает и не предлагает перевести деньги на защищенный счет, а напротив – предлагает хорошо подзаработать. Если вы оставите данные на таком «инвестиционном» сайте, вас замучают звонками добрые менеджеры. А когда вы внесете на счет «биржи» свои сбережения и поймете, что вернуть их оттуда не выйдет, настанет черед вот такого юриста Никулина. Иногда мошенники сами звонят своим же жертвам, предлагая помощь в возврате денег, иногда – заманивают людей на такие сайты через рекламу и спам-рассылки. По факту человека просто обманут еще раз.
И точно так же, как карета золушки в полночь превращается в тыкву, всемирно известный юрист Никулин по мановению Яндекса превращается в популярную модель с бесплатных фотостоков.
Сегодняшний сайт – классический пример повторного обмана жертв фейковых криптоинвесторов, о которых мы писали на канале уже десятки раз. По факту это такие же телефонные мошенники, действующие из колл-центров, только в этой схеме никто никого не пугает и не предлагает перевести деньги на защищенный счет, а напротив – предлагает хорошо подзаработать. Если вы оставите данные на таком «инвестиционном» сайте, вас замучают звонками добрые менеджеры. А когда вы внесете на счет «биржи» свои сбережения и поймете, что вернуть их оттуда не выйдет, настанет черед вот такого юриста Никулина. Иногда мошенники сами звонят своим же жертвам, предлагая помощь в возврате денег, иногда – заманивают людей на такие сайты через рекламу и спам-рассылки. По факту человека просто обманут еще раз.
И точно так же, как карета золушки в полночь превращается в тыкву, всемирно известный юрист Никулин по мановению Яндекса превращается в популярную модель с бесплатных фотостоков.