in2security
13.7K subscribers
895 photos
3 videos
4 files
502 links
Приветствуем вас на канале In2security! Наш канал – это погружение в безопасность, здесь мы рассказываем о новом и актуальном фишинге, анализируем громкие утечки, говорим про OSINT. Комментарии для СМИ и прочие вопросы: @infosecurityevil
Download Telegram
Ну хоть что-то относительно новое на рынке скама. Фейковый сайт акции от Системы быстрых платежей, якобы предлагающей призы за оплату товаров банковской картой. И ничего, что «акция» длится с 1 по 28 февраля, а сайт создан 21 числа.

Интересным здесь видится то, что помимо бонусов участникам, здесь предлагается зарегистрировать личный кабинет для приема платежей от физических лиц, а это значит, что логины и пароли страждущих вскоре пополнят собой базы данных публичных утечек.

Ну а в целом все стандартно – пафос и орфографические ошибки в каждом третьем слове: «Гарантом проводимой акции является 10-ти летняя безупречная репутация нашей компании, а так же наши генеральные спонсоры VISA MasterCard и карты МИР , включая международную платежную систему Яндекс.Деньги и Яндекс.Банк».

Как это нередко бывает, домен связан с еще несколькими доменными именами весьма сомнительного характера.
@In4security
На фоне новостей о возможном блокировании Фейсбука в России многие пользователи бросились публиковать свои номера телефонов, адреса электронной почты и прочие персональные данные для того, чтобы их друзья и подписчики знали, где их найти.

Мы настоятельно не рекомендуем так делать. Помимо ваших друзей, многие из которых скорее всего даже не заметят такой пост, ваши данные попадут в базы данных, распространяемые в даркнете, тем более что в нынешних условиях это особенно актуально. Если вы хотите поделиться своими данными, отправьте их личным сообщением. Помните о настройках конфиденциальности в сети. Вся информация, которую вы сообщаете о себе, может быть использована против вас.
@In4security
Обзор рынка мошенничеств в условиях нынешнего непростого времени: рост интереса к картам «МИР» и резкое сокращение активности мошенников на торговых площадках.

Известные события оказывают влияние на ландшафт киберугроз в России. Так, например, 24 февраля было зарегистрировано сразу 6 доменов под фейковые платежные шлюзы со словом «МИР» и ни одного со словами VISA и MASTERCARD:
mirpay.site
mirpay24.online
mirpay24.ru
mirpayment.online
mirpayment.ru
karta-mironline.ru

Анализ данных доменов показывает, что все они зарегистрированы людьми, не первый год крутящимся в криминальном интернет-бизнесе, в частности, имеющим отношение к продаже трафика, мошенничествам на торговых площадках и т.д.

А вот с этими мошенничествами все не так просто. Начиная с 24 февраля количество успешных скам-операций упало на 30%, а вчера, 26 февраля и вовсе составило менее 50% от среднеянварского и среднефевральского количества хищений в этой сфере.

С учетом сложившейся ситуации прогнозируем дальнейшее повышение интереса российских мошенников к Национальной платежной системе.
@In4security
Естественно, существуют люди, стремящиеся извлечь выгоду из сложившейся ситуации.

За последние 3 дня в рунете появились домены, эксплуатирующие тематики:

Помощи беженцам:
fond-pomoshi-bejentsam.ru
fond-pomoshi.ru
фонд-помощи-беженцам.рф

Организации «Комитет солдатских матерей»:
soldiers-mothers-rus.ru

Российских военных подразделений:
army-z.ru
zarmy.ru
armyz.ru
z-army.ru

Домены пока неактивны и похоже ждут своего часа.

Но и без откровенных злоумышленников не обошлось. Мы многократно писали о том, какие способы используют для взлома учетных записей социальной сети ВКонтакте. Сайт https://ukraine-shockingnews.ru/ подтверждает, что для этого годится любой инфоповод. Превью шокирующей новости, ссылка на фишинговый сайт и… ваш пароль уже не только ваш.
@In4security
Minecraft без войны
На фоне любого конфликта появляется масса сайтов по сбору денег для помощи конфликтующим сторонам. Нынешняя ситуация не исключение. Только вот немалое количество таких сайтов – это откровенные фейки, создаваемые мошенниками. Рассказываем вам о данной схеме на примере одного из них: https://telegra.ph/Minecraft-bez-vojny-02-28
Мониторинг новостной повестки у мошенников всегда стоит на первом месте, но только те из них, кто сумеет предугадать грядущие события, по-настоящему сумеют снять сливки.

Так, вчера из каталога DNS исчезли все телефоны Apple, а сегодня Apple и вовсе прекратила продажу своих устройств в России и ... российская киберпреступная отрасль отреагировала на это появлением сайта m-dns-shop.ru со слоганом: «При заказе онлайн вы получаете возможность купить товар по старой цене».

Ассортимент, конечно, небольшой: всего восемь вариантов IPhone 12 и 13 модели, но соблазнительная цена и общий ажиотаж помогают сайту найти своего клиента, который опасаясь повышения цен в ту же минуту введет номер карты и будет ждать заветного курьера...
@In4security
Уход с российского рынка Visa и Mastercard, а также «гражданская война», разразившаяся в стане сетевых мошенников и разделившая их на два воинствующих лагеря, привели к тому, что сейчас на рынке кардинга наблюдается небывалый ажиотаж.

Во-первых, за последние 3 дня в сеть были слиты данные более 100 тысяч карт российских банков. Причем сделано это было из идеологических соображений и на безвозмездной основе.

Во-вторых, в условиях, когда российскими картами стало невозможно воспользоваться на зарубежных площадках, резко вырос спрос на карты иностранных банков. Вчера, видимо, в рамках помощи российским мужчинам с оплатой подарков на 8 марта, в сети появилось более ста новых магазинов по продаже данных скомпрометированных зарубежных карт. Примером такого сайта является: https://cardcvv.ru.

С учетом того, что в нынешних реалиях международное взаимодействие в правоохранительной сфере явно будет переживать не лучшие времена, спрос на дампы карт западных банков будет только расти.
@In4security
Пока одни переживают из-за ухода с российского рынка мировых брендов, другие используют это событие для повышения собственного благосостояния. 8 марта в рунете появилось почти три десятка новых доменов со словом «доставка» и названиями покидающих нашу страну известных брендов:

oyshodostavka.ru
hmdostavka.ru
pullbeardostavka.ru
guccidostavka.ru
yvessaintlaurendostavka.ru
chaneldostavka.ru
nikedostavka.ru
cartierdostavka.ru
massimoduttidostavka.ru
balenciagadostavka.ru
importdostavka.ru
mangodostavka.ru
zaradostavka.ru
ysldostavka.ru
zaratorussia.ru
asosdostavka.ru
bershkadostavka.ru
harley-davidsondostavka.ru
porschedostavka.ru
louisvuittondostavka.ru
volvodostavka.ru
marksspencerdostavka.ru
stradivariusdostavka.ru
swarovskidostavka.ru
hmtorussia.ru
ikeadostavka.ru
adidasdostavka.ru

В условиях текущего ажиотажа такие домены легко можно использовать для фейковых сайтов, обещающих исчезнувшие с полок магазинов товары. И если раньше мошенники завлекали жертв низкой ценой, то теперь они могут смело устанавливать самые высокие цены, эксклюзив же! В лучшем случае покупатель получит низкокачественную подделку (хотя сложно представить, например, подделку под Harley Davidson), но скорее всего он просто потеряет деньги.

Согласно нашим оценкам, в ближайшие месяцы стоит ожидать существенного увеличения числа подобных ресурсов.
@In4security
Уход крупнейших мировых платежных систем с российского рынка стимулирует развитие нового бизнеса.
Правда не слишком легального бизнеса.

В последние дни появляется все больше noname-сайтов посредников, готовых провести через себя оплату любого зарубежного сервиса. Схема проста: вы осуществляете платеж в адрес российского юридического лица, а посредник обещает оплатить нужный вам сервис. Естественно, никаких сведений о посреднике вы не узнаете, джентльменам нужно верить на слово. Тем более джентльменам удачи. Классический пример такого сайта: OHMYBILLS.RU.

На волне хайпа выплыл и очередной "Успешный успех", решивший помочь российским гражданам с локальными картами VISA и MASTERCARD оплачивать блага западной цивилизации, в частности билеты иностранных авиакомпаний. Для этого он склепал на коленке сайт https://internationalpay.ru/.

Как выяснилось, спасителем россиян от санкций является «успешный сетевой бизнесмен», как пишет о нем пара СМИ (продавал гипс, но благополучно обанкротил компании) и успешный криптоинвестор (там тоже все плохо). За небольшую маржу он готов лично (вот, что значит клиентоориентированность) оторваться от управления своим успешным бизнесом, чтобы оплатить вам игру в Steam в течение 24 часов с момента поступления денег на его счет.
Впрочем, учитывая недавние массовые сливы российских карт, его услуги посредника (или говоря иначе - дропа) будут пользоваться большим спросом.
@In4security
Instagram еще не успели заблокировать, а .RU зона пополнилась тремя десятками новых доменов, связанных с популярной соцсетью. При этом многие из них недвусмысленно намекают на возможные сценарии их использования.

В ближайшие дни стоит ожидать массовых рассылок с инструкциями, как перенести аудиторию на другие платформы, обойти блокировки или сохранить монетизацию своего аккаунта. Такие рассылки будут использованы как для взлома самих аккаунтов, так и для кражи платежных данных их владельцев.

Кроме того, на волне блокировок популярных ресурсов вполне очевидным видится всплеск активности фейковых VPN-сервисов. Пользуясь тем, что значительное количество людей слабо представляет механизмы работы VPN, злоумышленники воплотят в жизнь самые разные сценарии: начиная от банальной кражи денег под видом оплаты и заканчивая перехватом трафика тех, кто решит воспользоваться их сервисом.
@In4security
И снова рубрика «Ленивый фишинг».
Создатель фишингового сайта, некий Павел из Крыма, прошел долгий путь от охранника (так он записан в Numbuster) и садовника (такие услуги он предлагал на Авито) до веб-разработчика и SEO-оптимизатора, а потом и вовсе решил уйти на темную сторону, зарегистрировав такие домены, как avito-dostavka-online.ru, youla-dostavka.ru, gosuslugi19.ru

Почему же фишинг ленивый? Да просто Павел не стал париться и зарегистрировал фишинговые домены с теми же данными и с тех же учеток, что он использовал для регистрации доменов своих клиентов и собственного сайта: продвижение-сайтов-севастополь.рф, на котором указаны его личный телефон и email.

Давайте поможем Паше вернуться к жизни SEO-шника и отказаться от планов по обману пользователей Blablacar!
@In4security
This media is not supported in your browser
VIEW IN TELEGRAM
Прогнозы ведущих экспертов оправдались. Русскому инстаграму быть. Надо подождать всего 2 недели. Сайт https://rossgram.ru предлагает заполнить форму чтобы получить ранний доступ к новой площадке и узнать сокровенную информацию. При этом можно выбрать одну из 3 ролей: пользователь, топовый блогер или партнер.

Создателями сайта являются сокурсник Павла Дурова (+100 к успеху, и наплевать, что учились они в разные годы) Александр Зобов, в 2009 году создавший бартерную соцсеть «Вебкоммуна», освещенную в ряде СМИ (спойлер: не взлетела). И генеральный директор турфирмы «Русская Италия» Кирилл Филимонов. Как это может помочь созданию русского инстаграма – непонятно. Никаких сведений о юридических лицах или операторах обработки персональных данных вы все равно не найдете.

«Мы ищем партнеров - информационных (СМИ), спонсоров и инвесторов,» – говорит нам сайт проекта. Ну а если не взлетит, то тут уж простите. Мир бизнеса суров и беспощаден, особенно когда ты тренер-консультант по интернет-маркетингу.
@In4security
Мошенники переориентировались на российские платежные сервисы

Сайт https://service-sbp.ru/ - это клон официального ресурса Системы быстрых платежей, на котором кнопка «Банки-участники» заменена на «Подключить». После нажатия на кнопку сначала предлагается ввести номер телефона, потом данные карты, а после – код из СМС на странице, похожей на страницу 3D Secure.

Введенные данные обрабатываются мошенниками вручную: они просто берут телефон и данные карты и используют их для оплаты требующихся им сервисов, например рекламы в Яндекс.Директ.

Сайты используют маскировку фишингового контента "Хамелеон": они открывается в зависимости от параметров устройства жертвы.

Другие задействованные в фишинговой атаке домены:
pizzasok.ru
bestchange-ru-official.ru
aorofiot.ru
sbp-service.ru


@In4security
В сети стали появляться сайты, предлагающие россиянам оформить карту Visa или Mastercard в одном из зарубежных банков

Примером такого сайта является https://openworldcard.ru/, домен которого был зарегистрирован вчера. Схема работы предельно проста: вы связываетесь с куратором проекта в Telegram, платите ему 130 тысяч, заполняете анкету и записываетесь на экспресс-собеседование в некоем иностранном банке. После прохождения собеседования вы получаете данные для доступа в личный кабинет, а еще через семь дней и саму карту, которая будет доставлена курьером.

На сайте отсутствует информация о владельцах. Единственная ссылка ведет на Telegram-аккаунт с ником Alexey Cardmanager.

Стоит ли объяснять, чем опасна подобная схема и почему не следует пользоваться услугами подобных сервисов? Мало того, что вы рискуете потерять 130 тысяч, вы передаете в руки владельцев ресурса огромный массив своих персональных данных и конфиденциальных сведений, которые легко могут быть использованы против вас.
@In4security
Буквально пару дней назад мы писали о новой пока еще несуществующей соцсети «Россграм», активно пытающийся привлечь инвестиции, в том числе путем заказа публикаций в СМИ.

Тот факт, что её создатели решили с нуля создать соцсеть уровня Instagram за две недели, уже несколько напрягает. Но далее выясняются еще более интересные подробности. Например то, что логотип для своей сети они просто взяли из интернета.

Согласно данным ФНС, стоящее за соцсетью ООО «Русская Италия» де факто не ведет финансово хозяйственной деятельности. Среднесписочная численность сотрудников – 1, уплаченных налогов за 2020 год – 0, виды деятельности никак не связаны с IT-сферой.

Наш канал напоминает о том, что перед тем, как инвестировать во что-либо, требуется провести оценку инвестиционного проекта на предмет возможных рисков. Проект Россграм вряд ли выдержит такую проверку.

Тем временем до его запуска осталось 9 дней...
@In4security