Фишинг обрел новое дыхание с развитием криминальных партнерских программ, предлагающих неопытным, но многочисленным молодым охотникам за удачей все необходимые инструменты для теневого «бизнеса». Пока воркеры заманивают людей на сайты-ловушки, хозяева партнерок наслаждаются жизнью, получая процент с каждой обманутой жертвы.

Подготовка к фишинговой атаке – один из самых важных этапов для мошенника, ведь чем более продумана твоя схема, тем дольше она просуществует, а время это деньги. Такую подготовку как правило можно заметить, но вот конечную цель понять возможно далеко не всегда. Например, вчера 7% от всех зарегистрированных доменов в зоне RU составили однотипные домены, состоящие из фиксированного количества рандомных букв и цифр: https://pastebin.com/dAv4iuwD.

Обычно такие технические домены регистрируют для редиректа трафика в середине цепочки SCAM-проектов, когда мошенники вкладывают деньги в точку входа (чаще всего это созвучные с целевым ресурсом домены, или домены, редирект на которые осуществляется с заранее оплаченной рекламы в поисковиках, соцсетях или у блогеров), и старательно защищают её от возможных «страйков», путем переадресации трафика на вредоносные ресурсы через цепь вот таких прокладок. Второй вариант – использование такого домена в качестве конечной точки, непосредственно фишингового сайта, на который пользователь попадет по уникальной ссылке либо через iframe, размещенный на другом ресурсе. Третий вариант – использование таких доменов для адресации командного центра ботнета.

В данном случае преждевременно говорить о том, станут ли эти домены частью новой волны рассылок с опросами за вознаграждение или проявят себя в процессе атак на пользователей интернет-магазинов или сервисов доставки еды, с фейковыми сайтами которых мы активно боролись в 2021 году. Время покажет. А пока мы передаем эту информацию нашим коллегам из антивирусных компаний, ведь основания для блокировки доменов на настоящий момент отсутствуют, но факт того, что они будут использоваться не для благих дел, выглядит вполне очевидным.
@In4security

Капитан Врунгель говорил: «Как вы яхту назовете, так она и поплывет!» В случае с авиакомпанией «Победа» это не сработало. Вчера на известном теневом форуме была выложена база, содержащая сведения о 2268 сотрудниках авиакомпании.

Согласно данным из объявления, база содержит сведения о ФИО, дате рождения, серии и номере паспорта, ИНН, а также сумме дохода за 2021 год. Теперь рядовые сотрудники смогут узнать не только размер зарплаты их начальников, но и то, кто сколько бонусов получил по итогам года.
@In4security

В последние 3 года мы фиксируем небывалую популярность фейковых лотерей. Только в 2021 году количество подобных ресурсов превысило 14 тысяч. В большинстве случаев злоумышленники используют цепочки редиректов, отдельные домены для сайтов, информирующих о розыгрыше и сайтов, выдающих себя за платежные системы. В процессе одной вредоносной рассылки с легкостью может быть задействовано до 6 различных доменов, вредоносный контент на которых доступен лишь по уникальной ссылке.

В 2022 году тенденция продолжается: более 70 доменов лишь за первые 20 дней нового года без учета сотен вспомогательных ресурсов.

Например, на сайте https://rosloto2022.ru/443789221df.php используется всего один домен, а https://GOSLOTO25.ru, переадресовывает пользователя через промежуточный URL https://do4line.cyou/9bb7 на конечный вредоносный ресурс https://sonic-reach.buzz/erugame. С учетом того, что конечный домен существует аж с 25 сентября 2021 года, работа по противодействию фейковым лотереям ведется не слишком активно.
@In4security

Количество новых регистрируемых доменов созвучных с официальным доменом портала Госуслуг падает с каждым днем. В последние недели такие домены не доходят даже до отметки 10 штук в день. И это несмотря на то, что пандемия пока совершенно не торопится заканчиваться. Тут есть два варианта: либо фантазия тех, кто регистрирует такие домены, иссякла, либо люди наконец начали понимать, что фейковые QR-коды не работают. Но разве это может остановить нашего человека, из страны непобедимых хакеров?

В середине декабря на некоторых даркнет-форумах появилась услуга по подбору QR-кода, максимально соответствующего данным заказчика, благо сделать это вполне реально, ведь открываемая по коду страница содержит лишь первые буквы ФИО, дату рождения и фрагмент номера паспорта. Вероятно, к тому времени база действующих QR-кодов была уже каким-то образом получена и проанализирована третьими лицами. Конечно, подобрать страницу, в которой будут совпадать не только первые буквы фамилии, имени и отчества, но также дата рождения и серия и номер паспорта проблематично, но ведь всегда можно сослаться на ошибку в системе или предъявить вместо паспорта другой документ.

Изначально за подбор QR-кода просили 4 000 рублей при условии совпадения даты рождения и 1000, если дата не совпадает. Однако вскоре автор объявлений создал сайт сайт ****usel.com (не будем его рекламировать), на котором подобрать подходящий сертификат можно уже совершенно бесплатно.

И вот похоже бизнес с QR-кодами приблизился к финалу. Сегодня на популярном даркнет-форуме появилось предложение продать всю базу реальных QR-кодов, содержащую 48 миллионов записей, за смешные по меркам услуги 100 000 долларов США (окупаемость 2 000 человек по 4 000 рублей). Пока что желающих перекупить модный стартап не нашлось.
@In4security

Ежедневно вступая в бой с фишингом, блокируя тысячи вредоносных сайтов и раскрывая самые разнообразные схемы по выводу денежных средств, мы редко задумываемся о том, что по ту сторону фронта тоже находятся люди, имеющие собственную мотивацию и обладающие некоторыми талантами. Они неохотно говорят о своем криминальном ремесле, так что, когда один из наших подписчиков предложил дать нам интервью и рассказать об изнанке криминального бизнеса, связанного с фуд-фишингом, мы сразу же согласились.

Итак, история человека, укравшего вашу пиццу и ваши деньги в новом материале: https://telegra.ph/CHuzhoj-banket-za-vash-schet---intervyu-s-ideologom-rossijskogo-fud-fishinga-01-26
@In4security

Еще не успела утихнуть история с утечкой данных сотрудников авиакомпании «Победа», как на том же форуме появилась база очередного российского авиаперевозчика – Azur Air.

Структура данных ничем не отличается от «Победы». Те же ФИО, дата рождения, серия и номер паспорта, ИНН и сумма дохода за год. База также распространяется в формате Excel. Количество сотрудников, чьи данные попали в открытый доступ – 3173 человека, почти на 1000 больше, чем в случае с «Победой».

База размещена новым пользователем, в списке услуг которого значатся: доступ к московским камерам видеонаблюдения, получения списков сотрудников юридических лиц с суммами их доходов, получение данных о собственности и счетах российских граждан и компаний.
@In4security

Очередная утечка персональных данных. На этот раз под раздачу попали волонтеры оппозиционных движений.

Сегодня в одном из свежесозданных Telegram-каналов появились ссылки на:

Базу волонтеров с машинами за 2019 год (118 записей, ФИО, телефон, email и особые навыки). Некоторые волонтеры в качестве "скилла" указывают: "Чертовски хитер", "был на Кубе", "готов поддержать медитацией на созидательном уровне единого поля всех законов природы".

Базу волонтеров, которые отправили заявки на работу в 2021 году (35 записей, ФИО, телефон, email, место работы).

Список из 642 подписей за кандидата в Мосгордуму (ФИО, год рождения, адрес прописки, номер паспорта), не прошедших проверку.
@In4security

Прошлый год стал рекордным по количеству мошенничеств в интернете. При этом самым массовым и популярным сценарием стал обман пользователей торговых площадок. За 12 месяцев 2021 года мы выявили более 5 с половиной тысяч ресурсов, задействованных в данной схеме.

С начала пандемии мошенническая схема активно развивалась: сперва она была успешна экспортирована за рубеж, а потом вышла далеко за пределы торговых ресурсов, охватив самые разные сегменты, например сервисы по аренде жилья или поиску попутчиков для путешествия на авто. Поэтому, к сожалению, от встречи с сетевыми мошенниками сейчас не застрахован абсолютно никто, а единственными эффективными способами защиты являются собственные благоразумие и внимательность.

Поэтому мы полностью поддерживаем наших коллег из «Авито», запустивших кампанию «Правила финансовой безопасности от Леонида Агутина» в рамках которой Леонид простым и понятным языком рассказывает основы финансовой безопасности в интернете. Уверены, многие из вас и так знают эти правила, но ничто не мешает вам переслать ссылку на этот ролик тем, кому он действительно пригодится, тем, у кого слова Леонида надолго останутся в памяти.

Как когда-то пел Леонид Агутин: «все в твоих руках!»
https://www.youtube.com/watch?v=YrME3nqLBtQ
@In4security

Многие скам-схемы годами эксплуатируются без изменений: ну а зачем что-то менять, если все и так работает? Тем более, когда речь идет о шаблоне фейкового сайта Газпрома, купленного в даркнете за копейки. Люди, которые эксплуатируют схему, связанную с фейковыми инвестиционными платформами под лозунгом «Россиянам разрешили торговать газом», не слишком запариваются. Сидят себе, регистрируют домены и покупают хостинги, на которых впоследствии размещают один и тот же уже давно надоевший всем шаблон. Все равно все расходы окупаются за счет ранее обманутых, а сайты приносят хоть какой-то, но доход.

Подобные сайты давно выявляются нами по шаблону в автоматическом режиме без вмешательства человека. Когда лендинги сайтов мошенников сделаны под копирку, реализовать это ничуть не сложно. Но встречаются и те, кто пытается что-то изменить и доработать схему. Обычно их усилий хватает лишь на создание дополнительной страницы-лендинга, которую мы тут же заносим в нашу базу. Хоть какое-то разнообразие.

На последних сайтах https://gazpromovest.live и https://gasinvestows.live для создания видимости легитимности ресурса на первой странице используются фейковые реквизиты компаний, контактные адреса электронной почты и, что самое интересное, согласие на использование куки-файлов (cookies) с весьма интересной формулировкой. Несмотря на то, что эти сайты используют единый стиль лендинга, визуально они отличаются.

А еще владельцы таких сайтов по "инвестированию" очень заботятся об авторских правах, о чем свидетельствует надпись "копирование контента запрещено". Мечтаем увидеть битву в суде двух групп мошенников, обвиняющих друг друга в краже контента.
@In4security

И снова наша любимая рубрика «1001 способ взломать пользователя VK».

Сайт vkcompromat.ru существует уже неделю. При этом сперва на нем предлагалось поискать компромат на самого себя ВКонтакте (схема существует уже года 3), а теперь на этом же домене вас встретит объявление о том, что анонимный пользователь дарит вам стикерпак. И в первом и во втором случае придется ввести логин и пароль от своей страницы VK для того, чтобы все ваши друзья на следующий день получили сообщение о том, что вы просите их одолжить пару тысяч на карту, или о том, что вашим родственникам требуется срочная и дорогостоящая операция, на которую у вас опять же нет денег.

Фишинговые домены по VK являются одними из самых долгоживущих. За последний год мы фиксировали фишинговые сайты, работавшие на протяжение полутора месяцев с момента создания, что в целом необычно для фишинга, тем более нацеленного на клиентов самой популярной российской соцсети.
@In4security

Один вариант взлома VK, о котором мы как-то уже писали. Правда тогда он упоминался в составе большой подборки, и многие могли его не заметить.

Pornhub использует авторизацию в VK для подтверждения возраста, а значит можно отправить доверчивому человеку ссылку на супер-мега ролик или пообещать бесплатный премиум, и он без колебаний введет свои логин и пароль на фишинговом сайте типа irt-pornhub.ru.

Такого рода фишинг тоже весьма живуч. Например, фишинговому сайту из нашей ноябрьской подборки, porn-hub-nastyashiskina.ru, сегодня исполняется ровно 3 месяца, а он все еще бодр и весел.

Не дайте гормонам взять власть над разумом, проверяйте ссылки!
@In4security

Ну и в продолжение темы фуд-фишинга. Вы читали наше интервью с создателем данной схемы? Если нет, обязательно почитайте. А тем временем фейковые сайты пиццерий продолжают появляться, и ресурс www-pizzpapadjons.ru является отличным тому подтверждением.

Сайт выполнен предельно просто и не является полной копией оригинала. Карусель картинок со спецпредложениями, например, взята с зарубежной версии ресурса. Его владельцы даже поленились сделать отдельную страницу для ввода данных банковской карты и получить SSL-сертификат. И так сойдет.

Все это говорит о том, что на рынок фуд-фишинга приходят новые люди, которые несмотря на низкую квалификацию и кривые руки, стараются отхватить свой кусок пирога… то есть пиццы.
@In4security

Раскрываем новую схему обмана наивных инвесторов.

Дело успешного бизнесмена «Виталия Куколки», обманувшего тысячи людей в Instagram и прикинувшегося невинным актером, живет и процветает. Вот только представьте: тысячи сайтов, миллионы рублей на раскрутку - все ради того, чтобы вы подписались на канал очередного миллионера, плейбоя и филантропа и вложили деньги.

В качестве того самого миллионера, плейбоя и филантропа на этот раз выступает самый настоящий актер – Александр Люман, променявший карьеру в кино и театре на съемки для скам-проектов. Интересно? Читайте наш новый материал:
https://te.legra.ph/Zarabotat-15-millionov-v-mesyac-Legko-Vam-pomozhet-Piramida-02-03
@In4security

Едва мы успели написать, что мошенники, продвигающие фейковые инвестиционные платформы от имени Газпрома наконец включили фантазию и внесли хоть какие-то изменения в существующие годами шаблоны, как они решили поразить нас новым креативом. Теперь им требуются не инвесторы, а тестировщики новой инвестиционной платформы, запускаемой в рамках старта «Северного Потока – 2».

Если пройти нехитрый тест, окажется, что это все тот же фейковый «Газпром Инвест», на все том же самом старом шаблоне. Однако, есть одно отличие: новоявленным инвесторам сразу говорят, что участие в проекте платное, но для жителей Москвы предусмотрена скидка – вместо 350 долларов за вход они могут заплатить всего 250. Это позволяет посчитать, что каждый новый адепт инвестиций приносит создателям схемы как минимум 20 тысяч рублей. Таким образом, при затратах на размещение сайта, не превышающих тысячи рублей, для его двадцатикратной окупаемости достаточно всего одного доверчивого человека. Такие вот инвестиции.
@In4security

Во второй половине 2021 года активно проявилась тенденция, связанная с миграцией российских кибермошенников на Запад.

Эта тенденция отлично прослеживается согласно нашим данным мониторинга, а в недавнем интервью её подтвердил и один из организаторов преступного бизнеса. Не читали интервью? Обязательно ознакомьтесь.

Но несмотря на ориентированность на Западную аудиторию злоумышленники продолжают использовать услуги российских регистраторов доменных имен и не брезгуют зоной .RU для размещения сайтов, нацеленных на зарубежных пользователей.

Особенно наглядно это проявляется на примере последней атаки на клиентов испанских банков. С начала года мы фиксируем появление десятков фишинговых сайтов, имитирующих страницы входа в личный кабинет расположенных на Иберийском полуострове банков, многие из которых хоть и открываются исключительно с испанских IP-адресов, но расположены в российской национальной доменной зоне.

В качестве примера можно привести сайт https://div-seguridad-bancaria.ru/login, как две капли воды похожий на страницу сайта банка BBVA и доступный с территории РФ. При более пристальном изучении были обнаружены еще 4 домена, связанных с банком

Домен div-seguridad-bancaria.ru, зарегистрирован 7 февраля 2022 года через регистратора R01, сам ресурс привычно скрывается за CloudFlare.

Наша аналитическая система проанализировала домены, задействованные в «испанской схеме», в результате чего мы обнаружили, что их владелец отнюдь не ограничивается Испанией. За последние месяцы только им было зарегистрировано более полутора тысяч доменных имен, тематика которых не имеет ничего общего с легальным бизнесом, зато напрямую затрагивает банковский фишинг (30+ доменов, в том числе: https://customer-security-team.ru/login/, ), мошенничества на торговых площадках (170+ доменов), фейковые сайты государственных органов, включая Минфин (9+ доменов) и множество других интересных ресурсов, включая зеркала магазина по продаже скомпрометированных банковских карт (https://bvcc.ru/) и прочих даркнет-ресурсов (https://darknetweb.ru/, https://loxcc.ru/), фейковые магазины по продаже швейцарских часов (https://tagheuerreplica.ru/, https://omegareplica.ru/) и модных аксессуаров (https://www.philipppleinreplica.ru/, https://www.rimowareplica.ru/, https://www.pradareplica.ru/, https://www.alexandermcqueenreplica.ru/, https://www.valentinoreplica.ru/). Многие сайты уже внесены в черный список Google Safe Browsing или заблокированы, другие же напротив – живее всех живых. При средней стоимости домена в 590 рублей, количество потраченных на регистрацию доменов денег может вплотную приближаться к 1 миллиону рублей.

Но самое интересное то, что все эти домены имеют статус: REGISTERED, DELEGATED, VERIFIED, а это означает, что их владелец предоставил регистратору R01 некие удостоверяющие документы и несмотря на откровенно противоправный контент продолжает спокойно пачками регистрировать новые доменные имена, поддерживая, так сказать, отечественного производителя.
@In4security

В этом месяце мы фиксируем волну атак на клиентов российского ритейла. Например, за последние две недели всего один человек зарегистрировал 7 предназначенных для фейковых магазинов доменов, 5 из которых имеют в своем составе слово «Связной». Вот они:

ru-discount-service.ru
ru-discount-store-svyaznoy.ru
ru-store-discount-svyaznoy.ru
ru-shop-discount-svyaznoy.ru
ru-store-service.ru
ru-discount-store.ru
ru-discount-shop-svyaznoy.ru

Действующий на данный момент фишинговый сайт сети магазинов «Связной» располагается по адресу: https://ru-shop-discount-svyaznoy.ru и представляет собой классический образчик фейкового интернет-магазина. Скидки на товары – 50%, бесплатный SSL-сертификат, ну и Сергей Жуков из «Руки Вверх», призывающий вас поскорее заказать подарки на 23 февраля и 8 марта пока не кончилась распродажа. Оригинальный сайт на этом фоне смотрится куда банальнее.
@In4security

Сенсация: российские киберпреступники завоевывают ЦАР.

Правда пока лишь национальный домен Центральноафриканской Республики: .CF.
За последние полгода количество фишинговых ресурсов в этой зоне выросло на 320%. Причина проста. Домены в зоне .CF бесплатны, а процедура их разделегирования крайне сложна, тем более в условиях практически не прекращающейся гражданской войны в ЦАР.

Впрочем, противодействовать данному явлению весьма просто: видите русскоязычный сайт в домене .CF, смело закрывайте его. Это мошенники.

На картинке вы можете видеть фейковую платежную форму фишингового сайта, выдающего себя за сайт гипермаркета Leroy Merlin (https://lauramerlen.ru), располагающуюся по адресу: https://ougavherfunctoste.cf/merchant/z/alfabank/?order=182135&mdOrder=182135.

При попытке оплатить покупку вы окажетесь на другом сайте в домене .CF, причем «Альфабанк» волшебным образом поменяется на другую кредитную организацию из ТОП-20, а СМС с кодом и вовсе придет с оповещением об операции в пользу ВТБ.
@In4security

Пятничный тест на внимательность: шаблон фишингового сайта какого банка по всей видимости был использован для создания этого фейкового ресурса с опросами от «Почта Банка»?

Напишите ваше предположение в комментарии.
@In4security

Россия – родина не только слонов, но и мамонтов. О том, как одно слово и эмодзи в коде скрипта позволяют определить примерный возраст и национальность злоумышленников, а также почему поход с девушкой в театр не всегда является хорошей идеей, читайте в нашем новом материале: https://telegra.ph/Mamonty-dlya-zumerov-02-18
@In4security