in2security
13.7K subscribers
895 photos
3 videos
4 files
502 links
Приветствуем вас на канале In2security! Наш канал – это погружение в безопасность, здесь мы рассказываем о новом и актуальном фишинге, анализируем громкие утечки, говорим про OSINT. Комментарии для СМИ и прочие вопросы: @infosecurityevil
Download Telegram
Сенсация: российские киберпреступники завоевывают ЦАР.

Правда пока лишь национальный домен Центральноафриканской Республики: .CF.
За последние полгода количество фишинговых ресурсов в этой зоне выросло на 320%. Причина проста. Домены в зоне .CF бесплатны, а процедура их разделегирования крайне сложна, тем более в условиях практически не прекращающейся гражданской войны в ЦАР.

Впрочем, противодействовать данному явлению весьма просто: видите русскоязычный сайт в домене .CF, смело закрывайте его. Это мошенники.

На картинке вы можете видеть фейковую платежную форму фишингового сайта, выдающего себя за сайт гипермаркета Leroy Merlin (https://lauramerlen.ru), располагающуюся по адресу: https://ougavherfunctoste.cf/merchant/z/alfabank/?order=182135&mdOrder=182135.

При попытке оплатить покупку вы окажетесь на другом сайте в домене .CF, причем «Альфабанк» волшебным образом поменяется на другую кредитную организацию из ТОП-20, а СМС с кодом и вовсе придет с оповещением об операции в пользу ВТБ.
@In4security
Пятничный тест на внимательность: шаблон фишингового сайта какого банка по всей видимости был использован для создания этого фейкового ресурса с опросами от «Почта Банка»?

Напишите ваше предположение в комментарии.
@In4security
Россия – родина не только слонов, но и мамонтов. О том, как одно слово и эмодзи в коде скрипта позволяют определить примерный возраст и национальность злоумышленников, а также почему поход с девушкой в театр не всегда является хорошей идеей, читайте в нашем новом материале: https://telegra.ph/Mamonty-dlya-zumerov-02-18
@In4security
В позапрошлом посте мы устраивали тест на внимательность. Правильным ответом был Банк ВТБ – именно его лого осталось в favicon на фейковом сайте Почта банка. Как оказалось, фишинг под ВТБ весьма популярен в качестве платформы для переделок. И вот очередной пример: классический сайт с опросами от имени банка. Открываем его исходный код и видим, что еще прошлым летом он был скопирован с сайта vtb-1000ru.ru и переделан под другой банк.

Создатели сайта даже поленились убрать из кода тег, оставляемый программой HTTrack Website Copier. Что ж, пословица «вор у вора дубинку украл» во всей красе. Не то чтобы одни мошенники перехитрили других, но уж точно отхватили часть пирога.

Несмотря на то, что схема с опросами весьма примитивна и легко реализуется, она представляет серьезную угрозу, так как в случае успеха злоумышленники не просто списывают деньги, а получают доступ в личный кабинет клиента банка, благополучно обходя двухфакторную аутентификацию.
@In4security
А вот и новости фуд-фишинга. В августе прошлого года мы писали про атаку на пользователей из ОАЭ. И вот продолжение: https://dominos-pizzauae.ru.

Формат схемы был благополучно обкатан на российских пользователях и пошел на экспорт. Помимо ОАЭ в феврале этого года мы зафиксировали аналогичные домены, нацеленные на пользователей из Ганы. Также обнаружились схожие доменные имена в зоне .COM, вероятно зарегистрированные про запас.
@In4security
Впрочем, в России фуд-фишинг тоже никуда не исчез. Вот вам появившийся вчера фейковый сайт Domino’s, ориентированный уже на русскоязычную аудиторию: https://dominozpizza.ru/.

Как говорится, найдите 10 отличий.
@In4security
С начала года в сети появилось более 200 доменных имен, содержащих упоминание Федеральной службы судебных приставов. Их анализ позволяет предположить, что большая часть из них используется для фишинговых рассылок от имени ФССП с информацией о несуществующих долгах.

Вот здесь можно посмотреть 197 доменов, имеющих прямое вхождение аббревиатуры ФССП. Наибольшее количество (98) расположено в зоне .RU, на втором месте зона .XYZ (29 доменов), на третьем (18 доменов) внезапно оказалась доменная зона .STORE.

При этом можно четко выделить домены, предназначенные для отправки писем и домены для адресации непосредственно фишинговых сайтов. Многие из таких доменов при попытке открыть ресурс используют редирект на Яндекс, это говорит о том, что вредоносный контент будет доступен жертве лишь по уникальной ссылке из письма.
@In4security
Ну хоть что-то относительно новое на рынке скама. Фейковый сайт акции от Системы быстрых платежей, якобы предлагающей призы за оплату товаров банковской картой. И ничего, что «акция» длится с 1 по 28 февраля, а сайт создан 21 числа.

Интересным здесь видится то, что помимо бонусов участникам, здесь предлагается зарегистрировать личный кабинет для приема платежей от физических лиц, а это значит, что логины и пароли страждущих вскоре пополнят собой базы данных публичных утечек.

Ну а в целом все стандартно – пафос и орфографические ошибки в каждом третьем слове: «Гарантом проводимой акции является 10-ти летняя безупречная репутация нашей компании, а так же наши генеральные спонсоры VISA MasterCard и карты МИР , включая международную платежную систему Яндекс.Деньги и Яндекс.Банк».

Как это нередко бывает, домен связан с еще несколькими доменными именами весьма сомнительного характера.
@In4security
На фоне новостей о возможном блокировании Фейсбука в России многие пользователи бросились публиковать свои номера телефонов, адреса электронной почты и прочие персональные данные для того, чтобы их друзья и подписчики знали, где их найти.

Мы настоятельно не рекомендуем так делать. Помимо ваших друзей, многие из которых скорее всего даже не заметят такой пост, ваши данные попадут в базы данных, распространяемые в даркнете, тем более что в нынешних условиях это особенно актуально. Если вы хотите поделиться своими данными, отправьте их личным сообщением. Помните о настройках конфиденциальности в сети. Вся информация, которую вы сообщаете о себе, может быть использована против вас.
@In4security
Обзор рынка мошенничеств в условиях нынешнего непростого времени: рост интереса к картам «МИР» и резкое сокращение активности мошенников на торговых площадках.

Известные события оказывают влияние на ландшафт киберугроз в России. Так, например, 24 февраля было зарегистрировано сразу 6 доменов под фейковые платежные шлюзы со словом «МИР» и ни одного со словами VISA и MASTERCARD:
mirpay.site
mirpay24.online
mirpay24.ru
mirpayment.online
mirpayment.ru
karta-mironline.ru

Анализ данных доменов показывает, что все они зарегистрированы людьми, не первый год крутящимся в криминальном интернет-бизнесе, в частности, имеющим отношение к продаже трафика, мошенничествам на торговых площадках и т.д.

А вот с этими мошенничествами все не так просто. Начиная с 24 февраля количество успешных скам-операций упало на 30%, а вчера, 26 февраля и вовсе составило менее 50% от среднеянварского и среднефевральского количества хищений в этой сфере.

С учетом сложившейся ситуации прогнозируем дальнейшее повышение интереса российских мошенников к Национальной платежной системе.
@In4security
Естественно, существуют люди, стремящиеся извлечь выгоду из сложившейся ситуации.

За последние 3 дня в рунете появились домены, эксплуатирующие тематики:

Помощи беженцам:
fond-pomoshi-bejentsam.ru
fond-pomoshi.ru
фонд-помощи-беженцам.рф

Организации «Комитет солдатских матерей»:
soldiers-mothers-rus.ru

Российских военных подразделений:
army-z.ru
zarmy.ru
armyz.ru
z-army.ru

Домены пока неактивны и похоже ждут своего часа.

Но и без откровенных злоумышленников не обошлось. Мы многократно писали о том, какие способы используют для взлома учетных записей социальной сети ВКонтакте. Сайт https://ukraine-shockingnews.ru/ подтверждает, что для этого годится любой инфоповод. Превью шокирующей новости, ссылка на фишинговый сайт и… ваш пароль уже не только ваш.
@In4security
Minecraft без войны
На фоне любого конфликта появляется масса сайтов по сбору денег для помощи конфликтующим сторонам. Нынешняя ситуация не исключение. Только вот немалое количество таких сайтов – это откровенные фейки, создаваемые мошенниками. Рассказываем вам о данной схеме на примере одного из них: https://telegra.ph/Minecraft-bez-vojny-02-28
Мониторинг новостной повестки у мошенников всегда стоит на первом месте, но только те из них, кто сумеет предугадать грядущие события, по-настоящему сумеют снять сливки.

Так, вчера из каталога DNS исчезли все телефоны Apple, а сегодня Apple и вовсе прекратила продажу своих устройств в России и ... российская киберпреступная отрасль отреагировала на это появлением сайта m-dns-shop.ru со слоганом: «При заказе онлайн вы получаете возможность купить товар по старой цене».

Ассортимент, конечно, небольшой: всего восемь вариантов IPhone 12 и 13 модели, но соблазнительная цена и общий ажиотаж помогают сайту найти своего клиента, который опасаясь повышения цен в ту же минуту введет номер карты и будет ждать заветного курьера...
@In4security
Уход с российского рынка Visa и Mastercard, а также «гражданская война», разразившаяся в стане сетевых мошенников и разделившая их на два воинствующих лагеря, привели к тому, что сейчас на рынке кардинга наблюдается небывалый ажиотаж.

Во-первых, за последние 3 дня в сеть были слиты данные более 100 тысяч карт российских банков. Причем сделано это было из идеологических соображений и на безвозмездной основе.

Во-вторых, в условиях, когда российскими картами стало невозможно воспользоваться на зарубежных площадках, резко вырос спрос на карты иностранных банков. Вчера, видимо, в рамках помощи российским мужчинам с оплатой подарков на 8 марта, в сети появилось более ста новых магазинов по продаже данных скомпрометированных зарубежных карт. Примером такого сайта является: https://cardcvv.ru.

С учетом того, что в нынешних реалиях международное взаимодействие в правоохранительной сфере явно будет переживать не лучшие времена, спрос на дампы карт западных банков будет только расти.
@In4security
Пока одни переживают из-за ухода с российского рынка мировых брендов, другие используют это событие для повышения собственного благосостояния. 8 марта в рунете появилось почти три десятка новых доменов со словом «доставка» и названиями покидающих нашу страну известных брендов:

oyshodostavka.ru
hmdostavka.ru
pullbeardostavka.ru
guccidostavka.ru
yvessaintlaurendostavka.ru
chaneldostavka.ru
nikedostavka.ru
cartierdostavka.ru
massimoduttidostavka.ru
balenciagadostavka.ru
importdostavka.ru
mangodostavka.ru
zaradostavka.ru
ysldostavka.ru
zaratorussia.ru
asosdostavka.ru
bershkadostavka.ru
harley-davidsondostavka.ru
porschedostavka.ru
louisvuittondostavka.ru
volvodostavka.ru
marksspencerdostavka.ru
stradivariusdostavka.ru
swarovskidostavka.ru
hmtorussia.ru
ikeadostavka.ru
adidasdostavka.ru

В условиях текущего ажиотажа такие домены легко можно использовать для фейковых сайтов, обещающих исчезнувшие с полок магазинов товары. И если раньше мошенники завлекали жертв низкой ценой, то теперь они могут смело устанавливать самые высокие цены, эксклюзив же! В лучшем случае покупатель получит низкокачественную подделку (хотя сложно представить, например, подделку под Harley Davidson), но скорее всего он просто потеряет деньги.

Согласно нашим оценкам, в ближайшие месяцы стоит ожидать существенного увеличения числа подобных ресурсов.
@In4security
Уход крупнейших мировых платежных систем с российского рынка стимулирует развитие нового бизнеса.
Правда не слишком легального бизнеса.

В последние дни появляется все больше noname-сайтов посредников, готовых провести через себя оплату любого зарубежного сервиса. Схема проста: вы осуществляете платеж в адрес российского юридического лица, а посредник обещает оплатить нужный вам сервис. Естественно, никаких сведений о посреднике вы не узнаете, джентльменам нужно верить на слово. Тем более джентльменам удачи. Классический пример такого сайта: OHMYBILLS.RU.

На волне хайпа выплыл и очередной "Успешный успех", решивший помочь российским гражданам с локальными картами VISA и MASTERCARD оплачивать блага западной цивилизации, в частности билеты иностранных авиакомпаний. Для этого он склепал на коленке сайт https://internationalpay.ru/.

Как выяснилось, спасителем россиян от санкций является «успешный сетевой бизнесмен», как пишет о нем пара СМИ (продавал гипс, но благополучно обанкротил компании) и успешный криптоинвестор (там тоже все плохо). За небольшую маржу он готов лично (вот, что значит клиентоориентированность) оторваться от управления своим успешным бизнесом, чтобы оплатить вам игру в Steam в течение 24 часов с момента поступления денег на его счет.
Впрочем, учитывая недавние массовые сливы российских карт, его услуги посредника (или говоря иначе - дропа) будут пользоваться большим спросом.
@In4security
Instagram еще не успели заблокировать, а .RU зона пополнилась тремя десятками новых доменов, связанных с популярной соцсетью. При этом многие из них недвусмысленно намекают на возможные сценарии их использования.

В ближайшие дни стоит ожидать массовых рассылок с инструкциями, как перенести аудиторию на другие платформы, обойти блокировки или сохранить монетизацию своего аккаунта. Такие рассылки будут использованы как для взлома самих аккаунтов, так и для кражи платежных данных их владельцев.

Кроме того, на волне блокировок популярных ресурсов вполне очевидным видится всплеск активности фейковых VPN-сервисов. Пользуясь тем, что значительное количество людей слабо представляет механизмы работы VPN, злоумышленники воплотят в жизнь самые разные сценарии: начиная от банальной кражи денег под видом оплаты и заканчивая перехватом трафика тех, кто решит воспользоваться их сервисом.
@In4security
И снова рубрика «Ленивый фишинг».
Создатель фишингового сайта, некий Павел из Крыма, прошел долгий путь от охранника (так он записан в Numbuster) и садовника (такие услуги он предлагал на Авито) до веб-разработчика и SEO-оптимизатора, а потом и вовсе решил уйти на темную сторону, зарегистрировав такие домены, как avito-dostavka-online.ru, youla-dostavka.ru, gosuslugi19.ru

Почему же фишинг ленивый? Да просто Павел не стал париться и зарегистрировал фишинговые домены с теми же данными и с тех же учеток, что он использовал для регистрации доменов своих клиентов и собственного сайта: продвижение-сайтов-севастополь.рф, на котором указаны его личный телефон и email.

Давайте поможем Паше вернуться к жизни SEO-шника и отказаться от планов по обману пользователей Blablacar!
@In4security
This media is not supported in your browser
VIEW IN TELEGRAM
Прогнозы ведущих экспертов оправдались. Русскому инстаграму быть. Надо подождать всего 2 недели. Сайт https://rossgram.ru предлагает заполнить форму чтобы получить ранний доступ к новой площадке и узнать сокровенную информацию. При этом можно выбрать одну из 3 ролей: пользователь, топовый блогер или партнер.

Создателями сайта являются сокурсник Павла Дурова (+100 к успеху, и наплевать, что учились они в разные годы) Александр Зобов, в 2009 году создавший бартерную соцсеть «Вебкоммуна», освещенную в ряде СМИ (спойлер: не взлетела). И генеральный директор турфирмы «Русская Италия» Кирилл Филимонов. Как это может помочь созданию русского инстаграма – непонятно. Никаких сведений о юридических лицах или операторах обработки персональных данных вы все равно не найдете.

«Мы ищем партнеров - информационных (СМИ), спонсоров и инвесторов,» – говорит нам сайт проекта. Ну а если не взлетит, то тут уж простите. Мир бизнеса суров и беспощаден, особенно когда ты тренер-консультант по интернет-маркетингу.
@In4security