Мы уже неоднократно писали о фейковых опросах от имени различных банков. Настало время «Почта-Банка».
Сам по себе сайт https://poctabank3.ru является классическим представителем своего вида, разве что опрос у него выполнен весьма красочно – с картинками. В остальном же все стандартно: после прохождения опроса вас попросят ввести ФИО, указать телефон и номер карты, затем потребуют 2 раза ввести код из СМС. Первый код – подтверждение авторизации банк-клиента на новом устройстве, второй – привязка его к новому номеру телефона.
Забавно, что СМС-сообщение мошенники обещают прислать в течение 5-10 минут. Это означает, что функция не автоматизирована и на другом конце провода кто-то получит оповещение, после чего будет пытаться вручную войти в онлайн-банк от имени жертвы.
@In4security
Сам по себе сайт https://poctabank3.ru является классическим представителем своего вида, разве что опрос у него выполнен весьма красочно – с картинками. В остальном же все стандартно: после прохождения опроса вас попросят ввести ФИО, указать телефон и номер карты, затем потребуют 2 раза ввести код из СМС. Первый код – подтверждение авторизации банк-клиента на новом устройстве, второй – привязка его к новому номеру телефона.
Забавно, что СМС-сообщение мошенники обещают прислать в течение 5-10 минут. Это означает, что функция не автоматизирована и на другом конце провода кто-то получит оповещение, после чего будет пытаться вручную войти в онлайн-банк от имени жертвы.
@In4security
На фоне новостей о запуске «Северного потока-2» и отказе «Газпрома» резервировать дополнительные мощности для транзита газа через Украину и Польшу в сети появилось более сотни доменов вида:
EUGAS4EU.ru
EUGASFOREU.ru
EUGASTRANSPORT.ru
EUORPE-NEEDS-GAS.ru
EUROPA-GAS.ru
EUROPE4GAS.ru
EUROPEANGASENERGY.ru
EUROPEANGASLINE.ru
EUROPEANGASLINES.ru
EUROPENEEDSGAS.ru
GERMANGAS4EU.ru
GERMANGASSTREAM.ru
GAS4EU.ru
GAS4EUROPE.ru
GASFOREU.ru
GASLINE4EU.ru
Каждый такой домен зарегистрирован в 5 доменных зонах: .RU, CH, .UK, .INFO, .ORG.
Анализ типовых сценариев интернет-мошенничеств подсказывает, что такие домены могут использоваться в процессе атак по типу «ложное партнерство» и Russian Oil Scam, в рамках которых мошенники пытаются заключить многомиллионные контракты от имени крупных компаний нефтегазовой отрасли.
Но не в этот раз. Как выяснилось, все доменные имена зарегистрированы швейцарской компанией Global IP action AG, специализирующейся на защите бренда, управлении портфелями доменных имен и борьбе с фишингом, а само мероприятие, по видимому, направлено на защиту интересов швейцарской дочки «Газпрома» Nord Stream 2 AG, занимающейся строительством «Северного Потока-2».
Если это так, то мы ценим труды наших швейцарских коллег, но подобную стратегию борьбы с фишингом видим крайне неэффективной, ведь фишинговых комбинаций, обыгрывающих транзит газа в Европу тысячи, зарегистрировать все возможные сочетания во всех доменных зонах точно не удастся. Впрочем, подобная стратегия может помочь защититься от киберсквоттеров и зарезервировать потенциально интересные для клиента домены в целях возможного дальнейшего использования.
@In4security
EUGAS4EU.ru
EUGASFOREU.ru
EUGASTRANSPORT.ru
EUORPE-NEEDS-GAS.ru
EUROPA-GAS.ru
EUROPE4GAS.ru
EUROPEANGASENERGY.ru
EUROPEANGASLINE.ru
EUROPEANGASLINES.ru
EUROPENEEDSGAS.ru
GERMANGAS4EU.ru
GERMANGASSTREAM.ru
GAS4EU.ru
GAS4EUROPE.ru
GASFOREU.ru
GASLINE4EU.ru
Каждый такой домен зарегистрирован в 5 доменных зонах: .RU, CH, .UK, .INFO, .ORG.
Анализ типовых сценариев интернет-мошенничеств подсказывает, что такие домены могут использоваться в процессе атак по типу «ложное партнерство» и Russian Oil Scam, в рамках которых мошенники пытаются заключить многомиллионные контракты от имени крупных компаний нефтегазовой отрасли.
Но не в этот раз. Как выяснилось, все доменные имена зарегистрированы швейцарской компанией Global IP action AG, специализирующейся на защите бренда, управлении портфелями доменных имен и борьбе с фишингом, а само мероприятие, по видимому, направлено на защиту интересов швейцарской дочки «Газпрома» Nord Stream 2 AG, занимающейся строительством «Северного Потока-2».
Если это так, то мы ценим труды наших швейцарских коллег, но подобную стратегию борьбы с фишингом видим крайне неэффективной, ведь фишинговых комбинаций, обыгрывающих транзит газа в Европу тысячи, зарегистрировать все возможные сочетания во всех доменных зонах точно не удастся. Впрочем, подобная стратегия может помочь защититься от киберсквоттеров и зарезервировать потенциально интересные для клиента домены в целях возможного дальнейшего использования.
@In4security
2 года назад мы находили фейковый сайт сервиса «Безопасная сделка» от Сбербанка, теперь же пришла очередь Альфабанка. Сайт https://alfabank-sdelka.ru еще не доделан, кнопки на нем не работают, но намерения его создателей вполне понятны. Фейковый аккредитив – не так часто встречающееся в мире российского фишинга явление, в отличие от нечистых на руку гарантов в даркнете, однако схема вполне рабочая, тем более что гарант обычно требуется тогда, когда сделка заключается на достаточно крупную сумму.
С учетом того, что сайт был обнаружен еще до того, как его начали использовать по назначению, можно оперативно «убить» его, тем самым предотвратив появление жертв.
@In4security
С учетом того, что сайт был обнаружен еще до того, как его начали использовать по назначению, можно оперативно «убить» его, тем самым предотвратив появление жертв.
@In4security
В начале августа мы делали подборку фишинговых сайтов, нацеленных на посетителе соцсети «Вконтакте». Если пропустили, рекомендуем с ней ознакомиться, тем более, что некоторые фишинговые сайты из той подборки живы до сих пор. Именно тогда мы впервые столкнулись с фейковой страницей PornHub, предназначенной для кражи логинов и паролей от VK.
С тех пор мало что изменилось и фейковый PornHub остается отличной приманкой для кражи паролей, тем более в период пандемии и самоизоляции, когда люди думают, чем бы заняться долгими осенними вечерами.
С начала ноября в сети появилось уже более 60 доменов, эксплуатирующих бренд PornHub, но наибольший интерес у нас вызвали два следующих фишинговых ресурса https://ponhubpublic.ru и https://porn-hub-nastyashiskina.ru. Они интересны забавным артефактом в коде страницы в виде невидимого блока с текстом: «…Противоположная точка зрения подразумевает, что сторонники тоталитаризма в науке могут быть объективно рассмотрены соответствующими инстанциями…».
Данный текст встречается в качестве стандартного текста для заполнения полей заготовки сайта на самых разных ресурсах, включая сайт посвященный Владимиру Далю: https://xn----7sbbflb0aaxhg3c8j.xn--p1ai/novosti/tema-dnya/, сайт по продаже мангалов: https://xn----8sbalwgfofl0ama0a.xn--p1ai/products/koptilnya-angler и прочие. На фишинговом сайте же он не несет никакой нагрузки.
Еще интереснее выглядит страница авторизации VK, доступная после нажатия соответствующей кнопки. Её код обфусцирован, содержит огромное количество неотображаемых блоков, заполненных произвольными терминами, и при этом не имеет ни одного ключевого слова, связанного с соцсетью. Вероятнее всего это сделано для того, чтобы автоматизированная система поиска, которая спарсит страницу, не нашла на ней признаков угрозы.
Но парсинг страницы – это всего лишь одна из 5 основных методик выявления ключевых маркеров фишинга, так что нас подобными трюками не обмануть.
@In4security
С тех пор мало что изменилось и фейковый PornHub остается отличной приманкой для кражи паролей, тем более в период пандемии и самоизоляции, когда люди думают, чем бы заняться долгими осенними вечерами.
С начала ноября в сети появилось уже более 60 доменов, эксплуатирующих бренд PornHub, но наибольший интерес у нас вызвали два следующих фишинговых ресурса https://ponhubpublic.ru и https://porn-hub-nastyashiskina.ru. Они интересны забавным артефактом в коде страницы в виде невидимого блока с текстом: «…Противоположная точка зрения подразумевает, что сторонники тоталитаризма в науке могут быть объективно рассмотрены соответствующими инстанциями…».
Данный текст встречается в качестве стандартного текста для заполнения полей заготовки сайта на самых разных ресурсах, включая сайт посвященный Владимиру Далю: https://xn----7sbbflb0aaxhg3c8j.xn--p1ai/novosti/tema-dnya/, сайт по продаже мангалов: https://xn----8sbalwgfofl0ama0a.xn--p1ai/products/koptilnya-angler и прочие. На фишинговом сайте же он не несет никакой нагрузки.
Еще интереснее выглядит страница авторизации VK, доступная после нажатия соответствующей кнопки. Её код обфусцирован, содержит огромное количество неотображаемых блоков, заполненных произвольными терминами, и при этом не имеет ни одного ключевого слова, связанного с соцсетью. Вероятнее всего это сделано для того, чтобы автоматизированная система поиска, которая спарсит страницу, не нашла на ней признаков угрозы.
Но парсинг страницы – это всего лишь одна из 5 основных методик выявления ключевых маркеров фишинга, так что нас подобными трюками не обмануть.
@In4security
Telegraph
Вы продаете рыбов? Нет, мы их ловим соцсетями
Продолжаем рубрику: «Как нынче взламывают учетки Вконтакте». Почему мы затронули эту тему? Да просто в июле было зарегистрировано примерно 200 ну очень подозрительных доменов, использующих частицы vk, vkontakte и т.д., и на многих из них висят вполне живые…
В преддверии 11.11 наши старые «друзья», создающие клоны Ozon.ru, решили переключиться на Wildberries: https://wildberries-promo.ru
https://wildberies-sale.ru
https://wildberries-wb.ru
Схема такая же, что и раньше: для получения скидки следует написать боту, который в настоящий момент использует номер +79778633217, а тот уже пришлет ссылку на фишинговую страницу оплаты покупки. Для создания сайтов использован все тот же конструктор Tilda, а дизайн… они просто взяли свой клон Озона и назвали его Wildberries. При этом все ссылки кроме заветной кнопки ведут на сохраненную в веб-архиве страницу официального сайта Wildberries по состоянию на 22 сентября (и при этом не работают). В коде страницы можно найти еще упоминание доменов Wildberries-discount.ru и Wildberries-30.ru (данные домены в настоящее время свободны).
В целом же сайты являются довольно грубой поделкой, что, впрочем, не помешает им найти свою целевую аудиторию даже в таком виде.
@In4security
https://wildberies-sale.ru
https://wildberries-wb.ru
Схема такая же, что и раньше: для получения скидки следует написать боту, который в настоящий момент использует номер +79778633217, а тот уже пришлет ссылку на фишинговую страницу оплаты покупки. Для создания сайтов использован все тот же конструктор Tilda, а дизайн… они просто взяли свой клон Озона и назвали его Wildberries. При этом все ссылки кроме заветной кнопки ведут на сохраненную в веб-архиве страницу официального сайта Wildberries по состоянию на 22 сентября (и при этом не работают). В коде страницы можно найти еще упоминание доменов Wildberries-discount.ru и Wildberries-30.ru (данные домены в настоящее время свободны).
В целом же сайты являются довольно грубой поделкой, что, впрочем, не помешает им найти свою целевую аудиторию даже в таком виде.
@In4security
«Северный поток 2» еще не успели запустить, а мошенники уже предлагают на нем зарабатывать. Схема хорошо известна, это все та же история про то, что «правительство разрешило россиянам торговать газом», о которой мы уже неоднократно писали. Только теперь эксплуатируется новая модная история, которая у всех на слуху: https://ssev.nevprofmax.site/index.html.
После регистрации жертва попадет на страницу фейковой валютной биржи, которая уже несколько лет переезжает с домена на домен, попутно меняя свое название. В данном случае она называется Datum Finance Limited и располагается по адресу: https://webtrader.datum-finance-limited.com
Самое забавное в этой ситуации то, что биржа эта – валютная и газом там и не пахнет, но кого волнуют такие мелочи?
@In4security
После регистрации жертва попадет на страницу фейковой валютной биржи, которая уже несколько лет переезжает с домена на домен, попутно меняя свое название. В данном случае она называется Datum Finance Limited и располагается по адресу: https://webtrader.datum-finance-limited.com
Самое забавное в этой ситуации то, что биржа эта – валютная и газом там и не пахнет, но кого волнуют такие мелочи?
@In4security
Персональные данные людей, оформивших ЭЦП, находятся в безопасности? Как выяснилось, не всегда.
Все дело в том, что сертификат ключа проверки ЭЦП содержит массу интересных данных, например, ОГРН, СНИЛС, ФИО и email лица, которому выдан сертификат, а в случае, если человек является индивидуальным предпринимателем, еще и его домашний адрес.
В обычных условиях эти данные доступны разве что удостоверяющему центру, но что делать, если требуется проверить, является ли сертификат действительным? И вот тут все зависит от подхода удостоверяющего центра.
Подход здорового человека: обработка запросов на проверку серийного номера сертификата.
Подход курильщика: просто взять и выложить в общий доступ все выданные удостоверяющим центром сертификаты, включая те, срок действия которых давно истек.
Именно второй путь выбрали такие организации, как Удостоверяющий центр ГКУ ЛО «ОЭП» и ООО «АНК», на страницах которых выложены десятки тысяч сертификатов, содержащих все сопутствующие персональные данные. И если в случае с «АНК» (>3 тысяч сертификатов в общем доступе) это можно объяснить ошибкой в настройке веб-сервера, которая привела к возможности индексации файлов, то в случае с ГКУ ЛО «ОЭП» (без малого 47 тысяч сертификатов в общем доступе) все интереснее – это полноценный реестр с возможностью поиска по имени или организации, а также скачивания сертификата.
И если такой подход был в порядке вещей лет 10 назад, когда безопасность персональных данных мало кого волновала, то сейчас это выглядит, мягко говоря, дико. Для того, чтобы скачать все сертификаты, не требуется быть хакером, равно как и для того, чтобы автоматически вытащить из них необходимые сведения об ответственных лицах самых разных частных и государственных организаций. Так почему же мы потом удивляемся, когда на адрес электронной почты гендира или главного бухгалтера прилетает фишинговое письмо? Или когда организация оказывается втянута в мошенническую схему, связанную с ложным партнерством...
Ну и естественно, такие данные могут стать подарком для любого сейлз-менеджера, шутка ли, 50 тысяч адресов электронной почты руководителей?
@In4security
Все дело в том, что сертификат ключа проверки ЭЦП содержит массу интересных данных, например, ОГРН, СНИЛС, ФИО и email лица, которому выдан сертификат, а в случае, если человек является индивидуальным предпринимателем, еще и его домашний адрес.
В обычных условиях эти данные доступны разве что удостоверяющему центру, но что делать, если требуется проверить, является ли сертификат действительным? И вот тут все зависит от подхода удостоверяющего центра.
Подход здорового человека: обработка запросов на проверку серийного номера сертификата.
Подход курильщика: просто взять и выложить в общий доступ все выданные удостоверяющим центром сертификаты, включая те, срок действия которых давно истек.
Именно второй путь выбрали такие организации, как Удостоверяющий центр ГКУ ЛО «ОЭП» и ООО «АНК», на страницах которых выложены десятки тысяч сертификатов, содержащих все сопутствующие персональные данные. И если в случае с «АНК» (>3 тысяч сертификатов в общем доступе) это можно объяснить ошибкой в настройке веб-сервера, которая привела к возможности индексации файлов, то в случае с ГКУ ЛО «ОЭП» (без малого 47 тысяч сертификатов в общем доступе) все интереснее – это полноценный реестр с возможностью поиска по имени или организации, а также скачивания сертификата.
И если такой подход был в порядке вещей лет 10 назад, когда безопасность персональных данных мало кого волновала, то сейчас это выглядит, мягко говоря, дико. Для того, чтобы скачать все сертификаты, не требуется быть хакером, равно как и для того, чтобы автоматически вытащить из них необходимые сведения об ответственных лицах самых разных частных и государственных организаций. Так почему же мы потом удивляемся, когда на адрес электронной почты гендира или главного бухгалтера прилетает фишинговое письмо? Или когда организация оказывается втянута в мошенническую схему, связанную с ложным партнерством...
Ну и естественно, такие данные могут стать подарком для любого сейлз-менеджера, шутка ли, 50 тысяч адресов электронной почты руководителей?
@In4security
Реестр сертификатов ГКУ ЛО «ОЭП» уже всплывал в публикациях, посвященных безопасности персональных данных в сети. Как видите, это не мешает ему успешно работать. Последние сертификаты выданы… сегодня!
@In4security
@In4security
В октябре-ноябре 2021 года количество доменов со словом «Кинопоиск» выросло в 2 раза по сравнению с показателями августа и сентября. Причиной такого роста скорее всего явилась нерабочая ноябрьская неделя, а также действующие в различных регионах ограничения на работу кинотеатров.
Подавляющее большинство выявленных доменов сформировано по принципу добавления одной или нескольких букв до или после слова «Кинопоиск». Такие ресурсы используются нелегальными онлайн-кинотеатрами, позволяющими посмотреть или скачать фильмы из каталога «Кинопоиска». По мере блокирования доменов их владельцы регистрируют новые, двигаясь все дальше по алфавиту.
Данная схема активно рекламируется в Telegram, сообщества подобных нелегальных онлайн-кинотеатров насчитывают десятки тысяч участников.
На фоне однотипных сайтов выделяется полноценный фейковый кинотеатр https://kinopoisk.cyou, гордо именующий себя «Кинопоиск v. 2». Впрочем, он толком не работает, так что в данном случае правообладателям не о чем беспокоиться.
@In4security
Подавляющее большинство выявленных доменов сформировано по принципу добавления одной или нескольких букв до или после слова «Кинопоиск». Такие ресурсы используются нелегальными онлайн-кинотеатрами, позволяющими посмотреть или скачать фильмы из каталога «Кинопоиска». По мере блокирования доменов их владельцы регистрируют новые, двигаясь все дальше по алфавиту.
Данная схема активно рекламируется в Telegram, сообщества подобных нелегальных онлайн-кинотеатров насчитывают десятки тысяч участников.
На фоне однотипных сайтов выделяется полноценный фейковый кинотеатр https://kinopoisk.cyou, гордо именующий себя «Кинопоиск v. 2». Впрочем, он толком не работает, так что в данном случае правообладателям не о чем беспокоиться.
@In4security
Последнее время мы фиксируем сайты, публикующие фейковые новости от имени российских СМИ. Свежие примеры – сайты lenta.pw и meduza.press, использовавшиеся для распространения информации, не имеющей отношения к реальности.
Сайты эти интересны тем, что их домены были зарегистрированы с разницей в 1 секунду, а сами ресурсы использовали Cloud Flare для сокрытия реальных IP-адресов.
Визуально они копировали страницы известных СМИ, при этом необходимый контент был доступен лишь по уникальной ссылке, при попытке перейти на сайт по доменному имени пользователь попадал на официальный сайт СМИ.
Тематика сообщений была призвана повлиять на котировки ценных бумаг атакуемых компаний. Например, статья на фейковой Lenta.ru содержала сведения о якобы планируемом поглощении СДЭК со стороны Сбербанка.
Оба ресурса были оперативно заблокированы. Данная практика свидетельствует об увеличивающемся количестве попыток манипулирования финансовым рынком через публикацию недостоверной информации на фейковых ресурсах.
@In4security
Сайты эти интересны тем, что их домены были зарегистрированы с разницей в 1 секунду, а сами ресурсы использовали Cloud Flare для сокрытия реальных IP-адресов.
Визуально они копировали страницы известных СМИ, при этом необходимый контент был доступен лишь по уникальной ссылке, при попытке перейти на сайт по доменному имени пользователь попадал на официальный сайт СМИ.
Тематика сообщений была призвана повлиять на котировки ценных бумаг атакуемых компаний. Например, статья на фейковой Lenta.ru содержала сведения о якобы планируемом поглощении СДЭК со стороны Сбербанка.
Оба ресурса были оперативно заблокированы. Данная практика свидетельствует об увеличивающемся количестве попыток манипулирования финансовым рынком через публикацию недостоверной информации на фейковых ресурсах.
@In4security
Сколько фейковых интернет-магазинов может создать один человек за 3 месяца? 10? 20? На самом деле, куда больше. О том, насколько тщательно мошенники подготовились к черной пятнице и какое отношение к этому имеет славный город Расчленоград, читайте в нашем новом материале: https://te.legra.ph/ScamStation-11-24
@In4security
@In4security
Telegraph
ScamStation
Осенью 2020 года мы начали фиксировать массовое появление фейковых сайтов по продаже Sony PlayStation 5. На фоне всеобщего ажиотажа вокруг выхода новой версии консоли их количество выросло в разы. Спустя год ничего особенно не изменилось, мы по прежнему массово…
Мы зафиксировали начало массированной фишинговой атаки, нацеленной на клиентов крупнейших российских банков.
Используя типовые шаблоны, вроде сайтов бюро переводов или студий обучения быстрому чтению, злоумышленники скрывают вредоносный контент от обнаружения.
Впрочем, применяемые нами механизмы машинного обучения позволяют без труда обнаруживать и оперативно блокировать подобного рода ресурсы.
@In4security
Используя типовые шаблоны, вроде сайтов бюро переводов или студий обучения быстрому чтению, злоумышленники скрывают вредоносный контент от обнаружения.
Впрочем, применяемые нами механизмы машинного обучения позволяют без труда обнаруживать и оперативно блокировать подобного рода ресурсы.
@In4security
Если вы устали искать дропов в Даркнете и на Авито стандартными методами, то можно использовать более продвинутые идеи, например вариант mystery businessman. Именно к такой мысли скорее всего пришел уроженец Украины Свечинский Артем Владиславович, пытаясь последние 5 лет реализовать себя через сайт https://businessprocess.biz, на котором он предлагает уникальную программу VipVip (цитата с сайта): «каждому предпринимателю, каждой точке продаж в течение 30 минут БЕСПЛАТНО создать приложение, которое будет доступно мгновенно в App Store и Google Play...»; уникальный прибор для диагностики всего организма WebWellness и уникальный токен VipGold. К сожалению, ничего кроме негативных отзывов в Интернете он не заработал. Успешный успех уже не успешен.
И вот Свечинский придумал новый маркетинговый ход по привлечению дропов, обещая заплатить до 45 000 рублей (но это не в договоре, а на сайте) за тайную проверку банков из топ-20.
Проверка тайного покупателя заключается в простых шагах.
1 – Зарегистрировать ИП или ООО
2 – Открыть счет в банке
3 – Передать ЭЦП на электронном носителе
4 – Закрыть ИП или ООО
Именно об этом говорится в договоре, размещенном на свежем сайте: https://secretentrepreneur.ru/ (сам текст договора по ссылке (https://docs.google.com/document/d/1Nyef30e2YHEmu6uYyf1H-76bJmBauoBi). Помимо всего прочего договор содержит обязательство оплатить 5 000 рублей за услуги регистрации и оформление ЭПЦ, но если клиент выполнит все требования заказчика в рамках проекта «Тайный предприниматель», оплачивать ничего не потребуется
Деньги любят тишину как мы знаем, поэтому в соответствии с п.п. 2.1.7, 2.2.2, 3.1 и 3.2. Договора Заказчик и Исполнитель обязуются не раскрывать никакой информации третьим лицам, даже государственным органам. Первое правило «Тайного предпринимателя»: никому не говори, что ты «Тайный предприниматель».
Думаю, нашим читателям не нужно рассказывать, как подобные юрлица можно использовать для отмывания денег через расчетные счета, а адрес регистрации Исполнителя в лице ООО «Бизнес Процесс Технологии» (ИНН 2000000325, ОГРН 1212000000156 от 21 января 2021 года): Чеченская Республика, г. Грозный, проспект Имени Хусейна Абубакаровича Исаева д.36, офис 7, как бы намекает на то, что приезжать в офис с вопросом: где мои деньги, пожалуй, не стоит.
@In4security
И вот Свечинский придумал новый маркетинговый ход по привлечению дропов, обещая заплатить до 45 000 рублей (но это не в договоре, а на сайте) за тайную проверку банков из топ-20.
Проверка тайного покупателя заключается в простых шагах.
1 – Зарегистрировать ИП или ООО
2 – Открыть счет в банке
3 – Передать ЭЦП на электронном носителе
4 – Закрыть ИП или ООО
Именно об этом говорится в договоре, размещенном на свежем сайте: https://secretentrepreneur.ru/ (сам текст договора по ссылке (https://docs.google.com/document/d/1Nyef30e2YHEmu6uYyf1H-76bJmBauoBi). Помимо всего прочего договор содержит обязательство оплатить 5 000 рублей за услуги регистрации и оформление ЭПЦ, но если клиент выполнит все требования заказчика в рамках проекта «Тайный предприниматель», оплачивать ничего не потребуется
Деньги любят тишину как мы знаем, поэтому в соответствии с п.п. 2.1.7, 2.2.2, 3.1 и 3.2. Договора Заказчик и Исполнитель обязуются не раскрывать никакой информации третьим лицам, даже государственным органам. Первое правило «Тайного предпринимателя»: никому не говори, что ты «Тайный предприниматель».
Думаю, нашим читателям не нужно рассказывать, как подобные юрлица можно использовать для отмывания денег через расчетные счета, а адрес регистрации Исполнителя в лице ООО «Бизнес Процесс Технологии» (ИНН 2000000325, ОГРН 1212000000156 от 21 января 2021 года): Чеченская Республика, г. Грозный, проспект Имени Хусейна Абубакаровича Исаева д.36, офис 7, как бы намекает на то, что приезжать в офис с вопросом: где мои деньги, пожалуй, не стоит.
@In4security
axioma.life
Axioma life
Axioma Life - компания, которая соединила все преимущества сферы IT и прямых продаж. Сильнейшие профессионалы разработчики и сотни тысяч партнеров со всего мира.
К концу года все любят подводить итоги, вот и мы в поисках кандидата на самый дешевый скам-проект.
Пока в лидерах сайт https://www.netflixstore.ru/ - вложения - 250 рублей.
В эту сумму входят: доменное имя, хостинг и время, затраченное на создание сайта в бесплатном конструкторе.
На сайте в очень простой форме предлагается за 49 рублей приобрести 30-дневную подписку на популярные видео-ресурсы - NETFLIX, MEGOGO, IVI, OKKO, MORE TV. Отправить деньги нужно на Яндекс-кошелек физического лица, причем вне зависимости от того, что вы выберете, в описании платежа будет написано: «Подписка на Okko», и ... ждать.
Конечно же, никаких подтверждений того, что вы приобрели подписку NETFLIX или OKKO - нет.
Просто оплати и жди.
Лао-цзы сказал: «Если кто-то причинил тебе зло, не мсти. Сядь на берегу реки, и вскоре ты увидишь, как мимо тебя проплывет труп твоего врага». А вот подписка не проплывет, гарантируем.
@In4security
Пока в лидерах сайт https://www.netflixstore.ru/ - вложения - 250 рублей.
В эту сумму входят: доменное имя, хостинг и время, затраченное на создание сайта в бесплатном конструкторе.
На сайте в очень простой форме предлагается за 49 рублей приобрести 30-дневную подписку на популярные видео-ресурсы - NETFLIX, MEGOGO, IVI, OKKO, MORE TV. Отправить деньги нужно на Яндекс-кошелек физического лица, причем вне зависимости от того, что вы выберете, в описании платежа будет написано: «Подписка на Okko», и ... ждать.
Конечно же, никаких подтверждений того, что вы приобрели подписку NETFLIX или OKKO - нет.
Просто оплати и жди.
Лао-цзы сказал: «Если кто-то причинил тебе зло, не мсти. Сядь на берегу реки, и вскоре ты увидишь, как мимо тебя проплывет труп твоего врага». А вот подписка не проплывет, гарантируем.
@In4security
Пока одни закупаются алкоголем к новогодним праздникам, другие готовятся бороться с последствиями длинных выходных, массово регистрируя домены, посвященные лечению алкоголизма. Так, в первых числах декабря в зоне .RU появилось более 80 доменов со словом ALKOGOLIZM.
Но не все предпочитают вкладывать деньги в рекламу, некоторые стараются просто устранить конкурентов. 3 декабря в Telegram появился канал, в котором предлагают 70-гигабайтную базу данных 250 тысяч пациентов наркологической клиники Verimed, включающую в себя даже истории болезни. Для рекламы канала был создан домен, максимально похожий на официальное доменное имя клиники.
Если эти сведения окажутся достоверными, клинике могут грозить не только проблемы со стороны регулятора, ведь речь идет о первой категории персональных данных, но и судебные иски от VIP-пациентов, внезапно оказавшихся совсем не анонимными алкоголиками.
Клиника была оповещена об инциденте. На момент публикации реакции с ее стороны не поступало.
@In4security
Но не все предпочитают вкладывать деньги в рекламу, некоторые стараются просто устранить конкурентов. 3 декабря в Telegram появился канал, в котором предлагают 70-гигабайтную базу данных 250 тысяч пациентов наркологической клиники Verimed, включающую в себя даже истории болезни. Для рекламы канала был создан домен, максимально похожий на официальное доменное имя клиники.
Если эти сведения окажутся достоверными, клинике могут грозить не только проблемы со стороны регулятора, ведь речь идет о первой категории персональных данных, но и судебные иски от VIP-пациентов, внезапно оказавшихся совсем не анонимными алкоголиками.
Клиника была оповещена об инциденте. На момент публикации реакции с ее стороны не поступало.
@In4security
Мошенники, еще недавно пытавшиеся развести людей, предлагая им бесплатную пиццу и суши от топовых московских банков, расширяют горизонты и идут в регионы.
Например, за последние 14 дней мы зафиксировали появление более полудюжины ресурсов, предлагающих суши от имени УБРиР:
sushi-ot-ubrr.ru
dostavka-sushi-ubrr.ru
sushi-dlya-ubrr.ru
set-sushi-ubrr.ru
sushi-klientam-ubrr.ru
sushi-darom-ubrr.ru
sushi-ubrr.ru
sushi-ubrr.ru
Для получения подарка, как водится, нужно всего лишь ввести данные банковской карты и 2 кода из СМС, после чего вашим банковским счетом будете распоряжаться уже не вы…
@In4security
Например, за последние 14 дней мы зафиксировали появление более полудюжины ресурсов, предлагающих суши от имени УБРиР:
sushi-ot-ubrr.ru
dostavka-sushi-ubrr.ru
sushi-dlya-ubrr.ru
set-sushi-ubrr.ru
sushi-klientam-ubrr.ru
sushi-darom-ubrr.ru
sushi-ubrr.ru
sushi-ubrr.ru
Для получения подарка, как водится, нужно всего лишь ввести данные банковской карты и 2 кода из СМС, после чего вашим банковским счетом будете распоряжаться уже не вы…
@In4security
Наряду с откровенным фишингом от имени известных кредитных организаций в сети уже несколько лет процветает такое явление, как фейковые банки. Мы уже неоднократно писали о них, но имя им легион и нет им числа: новые сайты появляются буквально ежедневно.
В нашей коллекции содержится уже более полусотни типовых шаблонов фейковых сайтов, и она продолжает пополняться. Свежие примеры вы можете изучить самостоятельно:
https://regionrfbank.ru/
https://regionrfbnk.ru/
https://rubinexpert.ru/
https://rubinexpertbank.ru/
Впрочем, в то время, пока мошенники создают страницы несуществующих банков, действующие кредитные организации тоже придумывают, чем нас удивить. Так, «Модульбанк» вероятно создал сайт https://corp-modulbank.ru/voting, на страницах которого можно проголосовать за лучшего сотрудника, изучив перед этим его персональные данные: фамилию, имя, должность и место работы, а также фото. В числе номинантов можно найти даже сотрудников подразделений безопасности. Размещение в открытом доступе подобной информации, как вы понимаете, открывает бесконечные просторы для социотехнических атак на сотрудников банка.
На сайте честно предупреждают о том, что голосовать могут только работники кредитной организации, только вот проверка адреса электронной почты отсутствует, а значит полагаться можно лишь на честность голосующего. Кроме того, на сайте можно записаться еще и на новогодний корпоратив, оставив свои персданные.
Мы понимаем, что на носу новогодние праздники, волшебство и Дед Мороз, но все-таки подобные мероприятия стоит проводить в своей внутренней корпоративной сети, а не то на корпоратив придет Гринч, украв попутно и персональные данные или продолбит дырку в корпоративную сеть через социнженерию.
@In4security
В нашей коллекции содержится уже более полусотни типовых шаблонов фейковых сайтов, и она продолжает пополняться. Свежие примеры вы можете изучить самостоятельно:
https://regionrfbank.ru/
https://regionrfbnk.ru/
https://rubinexpert.ru/
https://rubinexpertbank.ru/
Впрочем, в то время, пока мошенники создают страницы несуществующих банков, действующие кредитные организации тоже придумывают, чем нас удивить. Так, «Модульбанк» вероятно создал сайт https://corp-modulbank.ru/voting, на страницах которого можно проголосовать за лучшего сотрудника, изучив перед этим его персональные данные: фамилию, имя, должность и место работы, а также фото. В числе номинантов можно найти даже сотрудников подразделений безопасности. Размещение в открытом доступе подобной информации, как вы понимаете, открывает бесконечные просторы для социотехнических атак на сотрудников банка.
На сайте честно предупреждают о том, что голосовать могут только работники кредитной организации, только вот проверка адреса электронной почты отсутствует, а значит полагаться можно лишь на честность голосующего. Кроме того, на сайте можно записаться еще и на новогодний корпоратив, оставив свои персданные.
Мы понимаем, что на носу новогодние праздники, волшебство и Дед Мороз, но все-таки подобные мероприятия стоит проводить в своей внутренней корпоративной сети, а не то на корпоратив придет Гринч, украв попутно и персональные данные или продолбит дырку в корпоративную сеть через социнженерию.
@In4security
В нынешнее трудное время кто только не старается «поддержать» наших соотечественников. Мы уже писали об очередном всплеске количества сайтов, действующих от имени несуществующей компании «Газпром Инвестиции», теперь же очередь за ритейлом.
С наступлением декабря мы зафиксировали целый шквал новых ресурсов, предлагающих за полцены приобрести подарочные карты торговых сетей «Лента», «Пятерочка», «Перекресток» и «Л’Этуаль». Зачастую сайты под разные ритейл-сети даже висят на одном домене:
https://onlinbert.site
https://onlinbert.site/pyterochk/
https://onlinbert.site/perekrestok/
https://onlinbert.site/letual/
Впрочем, не единым ритейлом живы наши мошенники, поэтому на том же сервере висят фейковый сайт розыгрыша призов среди пользователей Instagram и ресурс, предлагающий выплату в 50 тысяч рублей за вакцинацию (на картинке выше).
@In4security
С наступлением декабря мы зафиксировали целый шквал новых ресурсов, предлагающих за полцены приобрести подарочные карты торговых сетей «Лента», «Пятерочка», «Перекресток» и «Л’Этуаль». Зачастую сайты под разные ритейл-сети даже висят на одном домене:
https://onlinbert.site
https://onlinbert.site/pyterochk/
https://onlinbert.site/perekrestok/
https://onlinbert.site/letual/
Впрочем, не единым ритейлом живы наши мошенники, поэтому на том же сервере висят фейковый сайт розыгрыша призов среди пользователей Instagram и ресурс, предлагающий выплату в 50 тысяч рублей за вакцинацию (на картинке выше).
@In4security
Все хотят войти в новый год без долгов, в том числе и перед налоговой. Этим активно пользуются злоумышленники, рассылающие письма от имени Федеральной службы судебных приставов. Письма содержат информацию о якобы имеющейся налоговой задолженности и ссылку на сайт, на котором эту задолженность можно немедленно погасить. Естественно, сайт, на который попадает пользователь, является откровенно фишинговым.
Начиная с 10 декабря мы фиксируем очередной всплеск подобных фишинговых рассылок, а количество новых доменов, используемых в рамках данной схемы, за последние 5 дней уже превысило полтора десятка. Вот лишь некоторые из них:
FSSP-PAYMENTS.ru
GU-FSSP.ru
YFSSPRF.ru
FSSP-CABINET.ru
FSSP-ISKI.ru
FSSP-LK.ru
FSSP-RFS.ru
FSSPCABINET.ru
OPLATA-FSSPS.ru
FSSP-000009134.ru
FSSP-00000917.ru
FSSP-00001478.ru
FSSP-GOSV.ru
FSSPSM.ru
Предыдущая крупная волна фейковых налоговых уведомлений фиксировалась нами во второй половине октября. Тогда рассылка осуществлялась от имени Федеральной налоговой службы.
@In4security
Начиная с 10 декабря мы фиксируем очередной всплеск подобных фишинговых рассылок, а количество новых доменов, используемых в рамках данной схемы, за последние 5 дней уже превысило полтора десятка. Вот лишь некоторые из них:
FSSP-PAYMENTS.ru
GU-FSSP.ru
YFSSPRF.ru
FSSP-CABINET.ru
FSSP-ISKI.ru
FSSP-LK.ru
FSSP-RFS.ru
FSSPCABINET.ru
OPLATA-FSSPS.ru
FSSP-000009134.ru
FSSP-00000917.ru
FSSP-00001478.ru
FSSP-GOSV.ru
FSSPSM.ru
Предыдущая крупная волна фейковых налоговых уведомлений фиксировалась нами во второй половине октября. Тогда рассылка осуществлялась от имени Федеральной налоговой службы.
@In4security