В нелегкие времена для экономики всегда найдутся мошенники, желающие «помочь» населению
Выдающий себя за ресурс Банка России сайт: https://aky4w.wyserej.xyz/ (на который пользователи попадают через редирект с других сайтов) предлагает всем желающим карту МИР от крупнейших российских банков с положительным балансом.
Достаточно выбрать банк, ввести свои данные (ФИО, телефон, email, адрес) и оплатить 100 рублей через Робокассу.
А кому же при этом уйдут деньги? Давайте посмотрим:
BIN банка-эквайера: 427600
ID мерчанта: 000000010006546
URL мерчанта: https://payment-3ds2.ru
UPD: Публикации на нашем канале имеют магическую силу. Буквально через час после обнародования информации вредоносный ресурс (не без нашей помощи) перестал работать.
@In4security
Выдающий себя за ресурс Банка России сайт: https://aky4w.wyserej.xyz/ (на который пользователи попадают через редирект с других сайтов) предлагает всем желающим карту МИР от крупнейших российских банков с положительным балансом.
Достаточно выбрать банк, ввести свои данные (ФИО, телефон, email, адрес) и оплатить 100 рублей через Робокассу.
А кому же при этом уйдут деньги? Давайте посмотрим:
BIN банка-эквайера: 427600
ID мерчанта: 000000010006546
URL мерчанта: https://payment-3ds2.ru
UPD: Публикации на нашем канале имеют магическую силу. Буквально через час после обнародования информации вредоносный ресурс (не без нашей помощи) перестал работать.
@In4security
Сегодня все российские и белорусские участники международного сообщества команд реагирования на компьютерные инциденты First (first.org), которые не перенесли свой головной офис за рубеж, получили «письма счастья» с информацией о приостановке их членства в организации со ссылкой на новые американские правила экспортного контроля.
Под удар попали 10 российских и белорусских Центров реагирования на компьютерные инциденты:
• BI.ZONE-CERT
• Financial CERT
• Infosecurity Incident Response Team (IN4-CERT)
• ISL-CSIRT
• Jet CSIRT
• Kaspersky ICS CERT
• RTSCERT
• RU-CERT
• BC-CERT BY
• CERT BY
Несмотря на то, что First являлась удобной площадкой для обмена опытом и информацией о новых угрозах, данный факт не окажет серьезного влияния на работу российских и белорусских ИБ-компаний и станет стимулом развивать альтернативные каналы информационного обмена.
@In4security
Под удар попали 10 российских и белорусских Центров реагирования на компьютерные инциденты:
• BI.ZONE-CERT
• Financial CERT
• Infosecurity Incident Response Team (IN4-CERT)
• ISL-CSIRT
• Jet CSIRT
• Kaspersky ICS CERT
• RTSCERT
• RU-CERT
• BC-CERT BY
• CERT BY
Несмотря на то, что First являлась удобной площадкой для обмена опытом и информацией о новых угрозах, данный факт не окажет серьезного влияния на работу российских и белорусских ИБ-компаний и станет стимулом развивать альтернативные каналы информационного обмена.
@In4security
Хакерская группировка Anonymous сегодня выложила обещанные файлы по итогам «взлома» ЦБ РФ. Размещенные файлы представляют собой почти 20 гигабайт общедоступной информации и различного устаревшего мусора, не представляющего никакой угрозы финансовой системе РФ. На фото прилагается пример одного из документов, опубликованных хакерской группой. Можете сами оценить степень его актуальности и конфиденциальности.
Как обычно бывает в таких случаях, пиар куда громче реальных дел. Мы проанализировали полсотни выложенных файлов и не нашли в них ничего кроме публичной отчетности 2010-2016 годов и открытых данных о лицензиях и бенефициарах. Вполне очевидно, что с таким уровнем квалификации выполнить обещание и взломать все российские банки будет нереально.
@In4security
Как обычно бывает в таких случаях, пиар куда громче реальных дел. Мы проанализировали полсотни выложенных файлов и не нашли в них ничего кроме публичной отчетности 2010-2016 годов и открытых данных о лицензиях и бенефициарах. Вполне очевидно, что с таким уровнем квалификации выполнить обещание и взломать все российские банки будет нереально.
@In4security
Самара – родина взломов телефонов и химического оружия! Кликбейтно звучит, не правда ли? На самом деле все не так страшно, но от того не менее интересно.
О том, как пользователям рунета предлагают продать самые страшные яды, попутно взломав их смартфоны, и как Глеб магическим образом превращается в Ильдара, читайте в нашем новом материале: https://telegra.ph/Novichok-v-kriminalnom-biznese-03-19
@In4security
О том, как пользователям рунета предлагают продать самые страшные яды, попутно взломав их смартфоны, и как Глеб магическим образом превращается в Ильдара, читайте в нашем новом материале: https://telegra.ph/Novichok-v-kriminalnom-biznese-03-19
@In4security
Telegraph
Новичок на Волге
Что бы вы подумали, если бы вам предложили травить грызунов ядом "Новичок"? Ну или цианидом. Наверняка вы бы решили, что тот, кто предлагает нечто подобное, немного не в себе. Вот и мы так подумали, когда увидели сайт https://otravila.ru/. Впрочем, нас не…
Количество фейковых сайтов по продаже бумаги выросло на ___ процентов. Тут можно подставить любое число, так как еще месяц назад таких сайтов не было в принципе, а теперь мы насчитали их более пяти десятков.
Пример живого сайта - https://a4mag.ru. Домен зарегистрирован 23 марта, сам сайт прячется за CloudFlare. Обязательно прочитайте раздел «О компании» (https://a4mag.ru/about-us/) – безумно увлекательное чтение в лучших традициях мошенников из подземных переходов.
Мошенники активно работают с юридическими лицами, присылая коммерческие предложения и счета. Только вот счета выставлены от имени компаний, не имеющих никакого отношения к торговле канцелярскими товарами. Кроме того, они публикуют фейковые отзывы на специально созданном сайте, имитирующем Яндекс.Маркет по адресу https://yandex.market-shop.sale/shop--a4mag-ru-ofisnaya-bumaga-9895-reviews.htm.
Злоумышленники умело используют любые инфоповоды для собственного обогащения. Будьте внимательны и тщательно проверяйте своих контрагентов.
@In4security
Пример живого сайта - https://a4mag.ru. Домен зарегистрирован 23 марта, сам сайт прячется за CloudFlare. Обязательно прочитайте раздел «О компании» (https://a4mag.ru/about-us/) – безумно увлекательное чтение в лучших традициях мошенников из подземных переходов.
Мошенники активно работают с юридическими лицами, присылая коммерческие предложения и счета. Только вот счета выставлены от имени компаний, не имеющих никакого отношения к торговле канцелярскими товарами. Кроме того, они публикуют фейковые отзывы на специально созданном сайте, имитирующем Яндекс.Маркет по адресу https://yandex.market-shop.sale/shop--a4mag-ru-ofisnaya-bumaga-9895-reviews.htm.
Злоумышленники умело используют любые инфоповоды для собственного обогащения. Будьте внимательны и тщательно проверяйте своих контрагентов.
@In4security
Громкий взлом! Данные россиян снова оказались в открытом доступе!
Не все так страшно. Просто «киберпреступники» не брезгуют размещать фейковые данные вместо настоящих во имя хайпа. Пример того, как живущий в России проукраинский педоактивист выкладывает откровенный мусор читайте в нашем новом материале: https://telegra.ph/O-fejkovyh-bazah-zamolvite-slovo-04-15
@In4security
Не все так страшно. Просто «киберпреступники» не брезгуют размещать фейковые данные вместо настоящих во имя хайпа. Пример того, как живущий в России проукраинский педоактивист выкладывает откровенный мусор читайте в нашем новом материале: https://telegra.ph/O-fejkovyh-bazah-zamolvite-slovo-04-15
@In4security
Telegraph
О фейковых базах замолвите слово
В последнее время в информационном фоне появляется огромное количество свежих вбросов о громких взломах. Только вот зачастую под этим соусом подаются откровенные фейки. То кто-то ЦБ взломает (а на самом деле выложит пакет никому не нужных общедоступных документов…
Кабинет Министров Украины ввел ограничительные меры в России, в результате чего стало невозможно купить билеты в театральных кассах...
Звучит абсурдно, но именно это утверждают создатели новой волны фейковых сайтов по продаже театральных билетов. Похоже, что в процессе переделки фишингового сайта под другую страну, кто-то просто забыл поменять всю необходимую информацию. И так сойдет.
Сайт kassirland.ru (созданный 14.04.2022) построен на давно известном нам шаблоне и предлагает приобрести билеты на самые разные спектакли. После ввода данных о покупателе он переадресовывает на отдельный платежный ресурс: https://kassir-3d.ru/?t=minimal&sum=2500. Сумма оплаты в открытом виде доступна в адресной строке и её можно менять по собственному усмотрению. Впрочем, платежный сайт все равно на данный момент не работает корректно.
Все выявленные в рамках данной схемы домены отправлены на блокировку:
kassirland.ru
kassir-3ds.ru
kassir-3d.ru
kasirtickets.ru
kassaoplat.ru
kassabiletr.ru
@In4security
Звучит абсурдно, но именно это утверждают создатели новой волны фейковых сайтов по продаже театральных билетов. Похоже, что в процессе переделки фишингового сайта под другую страну, кто-то просто забыл поменять всю необходимую информацию. И так сойдет.
Сайт kassirland.ru (созданный 14.04.2022) построен на давно известном нам шаблоне и предлагает приобрести билеты на самые разные спектакли. После ввода данных о покупателе он переадресовывает на отдельный платежный ресурс: https://kassir-3d.ru/?t=minimal&sum=2500. Сумма оплаты в открытом виде доступна в адресной строке и её можно менять по собственному усмотрению. Впрочем, платежный сайт все равно на данный момент не работает корректно.
Все выявленные в рамках данной схемы домены отправлены на блокировку:
kassirland.ru
kassir-3ds.ru
kassir-3d.ru
kasirtickets.ru
kassaoplat.ru
kassabiletr.ru
@In4security
Мошенники запустили очередную фейковую криптовалютную платформу, воспользовавшись брендом почившего 2 года назад проекта Павла Дурова TON.
Появившиеся 16 апреля сайты акции:
https://telegram-bonus.com/
https://telegram-bonus.pro/
https://telegram-bonus.info/
https://telegram-bonus.fun/
https://telegram-bonus.org/
предлагают бонус от Telegram любому, кто зарегистрируется на платформе GramWallet по адресу https://gramwallet.one.
Естественно, что данная платформа (запущенная в один день с сайтами акции) – это банальный развод. После формирования личного кабинета пользователю предлагают внести деньги путем перевода на Bitcoin-кошелек, а потом ждать у моря погоды. Естественно, указанный на сайте кошелек принадлежит злоумышленникам и деньги уйдут в неизвестном направлении.
@In4security
Появившиеся 16 апреля сайты акции:
https://telegram-bonus.com/
https://telegram-bonus.pro/
https://telegram-bonus.info/
https://telegram-bonus.fun/
https://telegram-bonus.org/
предлагают бонус от Telegram любому, кто зарегистрируется на платформе GramWallet по адресу https://gramwallet.one.
Естественно, что данная платформа (запущенная в один день с сайтами акции) – это банальный развод. После формирования личного кабинета пользователю предлагают внести деньги путем перевода на Bitcoin-кошелек, а потом ждать у моря погоды. Естественно, указанный на сайте кошелек принадлежит злоумышленникам и деньги уйдут в неизвестном направлении.
@In4security
Можно бесконечно смотреть на три вещи. Как горит огонь, как течет вода и как один скамер упорно пытается окупить приобретенный в дарке простейший фишинговый шаблон.
Начав свой путь в ноябре 2021 года, он успел наплодить как минимум 119 доменов (https://pastebin.com/m13FpRZk), большая часть из которых использовалась для однотипного фишинга, направленного на одну и ту же целевую аудиторию. Особую любовь этот человек питает к банку УБРиР (86 доменов), остальные домены равномерно распределены между Почта Банком, банком Тинькофф, Альфабанком, Райффайзен и Столото. В эту компанию внезапно затесался белорусский БелВЭБ (https://m-belveb.ru/) – интересно, как скамер планирует выводить деньги в условиях отсутствия трансграничных переводов по картам…
Мы давно следили за активностью этого скамера, регулярно отправляя домены на блокировку, и нам казалось, что нас уже ничем не удивить. Но вчера в его копилке доменов появился government scam - https://gosudarstvennaya-duma.ru и https://dengi-gosuslugi.ru (переадресовывает на фейковый сайт https://e5cyt.vyxokym.xyz/, предлагающий компенсацию НДС). Данный шаблон тоже далеко не новый и давно продается в дарке, так что, видимо, наш герой устал от постоянных блокировок банковского фишинга и решил вложиться во что-то новое.
Это отличный пример того, как лень скамера заводить новые учетки помогает совершенствовать наши алгоритмы выявления фишинга.
@In4security
Начав свой путь в ноябре 2021 года, он успел наплодить как минимум 119 доменов (https://pastebin.com/m13FpRZk), большая часть из которых использовалась для однотипного фишинга, направленного на одну и ту же целевую аудиторию. Особую любовь этот человек питает к банку УБРиР (86 доменов), остальные домены равномерно распределены между Почта Банком, банком Тинькофф, Альфабанком, Райффайзен и Столото. В эту компанию внезапно затесался белорусский БелВЭБ (https://m-belveb.ru/) – интересно, как скамер планирует выводить деньги в условиях отсутствия трансграничных переводов по картам…
Мы давно следили за активностью этого скамера, регулярно отправляя домены на блокировку, и нам казалось, что нас уже ничем не удивить. Но вчера в его копилке доменов появился government scam - https://gosudarstvennaya-duma.ru и https://dengi-gosuslugi.ru (переадресовывает на фейковый сайт https://e5cyt.vyxokym.xyz/, предлагающий компенсацию НДС). Данный шаблон тоже далеко не новый и давно продается в дарке, так что, видимо, наш герой устал от постоянных блокировок банковского фишинга и решил вложиться во что-то новое.
Это отличный пример того, как лень скамера заводить новые учетки помогает совершенствовать наши алгоритмы выявления фишинга.
@In4security
Pastebin
2021-10-23
ybrr.ru2021-11-10
pizza-pochtabank.ru2021-11-10
sushi-pizza-roly. - Pastebin.com
ybrr.ru2021-11-10
pizza-pochtabank.ru2021-11-10
sushi-pizza-roly. - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
В апреле-мае этого года в тренды фишинга вернулась почта. Новые домены с таким словом появлялись в сети практически ежедневно. При этом две трети доменов так или иначе связаны с финансовой деятельностью, в частности, с Почта Банком. Это либо подарки от банка за прохождение опроса, либо фейковые платежные шлюзы, используемые в сочетании с другими скам-схемами (https://3ds-pochtabank.ru/).
Но есть и более интересные варианты. Например, сайт https://pochta-vozvrat.ru - возврат средств за отправленную посылку. Вполне очевидно, что это тоже часть более глобального развода в стиле «Авито 3.0», позволяющего второй раз обмануть уже и так обманутого человека. Просто в данном случае все предельно лаконично: просто введите имя, фамилию, номер карты и код из СМС.
@In4security
Но есть и более интересные варианты. Например, сайт https://pochta-vozvrat.ru - возврат средств за отправленную посылку. Вполне очевидно, что это тоже часть более глобального развода в стиле «Авито 3.0», позволяющего второй раз обмануть уже и так обманутого человека. Просто в данном случае все предельно лаконично: просто введите имя, фамилию, номер карты и код из СМС.
@In4security
Другим забавным примером, найденным по слову «почта», является очередной фейковый сервис по взлому любого емейла… ой, простите, «восстановлению забытого пароля» - https://pochtarecovery.ru.
Просто вводит адрес ящика, сайт имитирует консоль и операцию по перебору пароля, после чего предлагает оплатить услугу через зарегистрированный 24 февраля платежный шлюз https://mirpayment.ru. Банком эквайером при этом является «Сбер», а мерчантом выступает сервис Mykassa. При этом сумма указанная на странице не совпадает с реальной суммой списания.
Фейковые сайты по взлому чего-либо – это проверенная годами классика, не теряющая своей актуальности. Ну действительно, ведь не пойдете же вы жаловаться в полицию на то, что вас обманули при попытке вскрыть адрес электронной почты!
@In4security
Просто вводит адрес ящика, сайт имитирует консоль и операцию по перебору пароля, после чего предлагает оплатить услугу через зарегистрированный 24 февраля платежный шлюз https://mirpayment.ru. Банком эквайером при этом является «Сбер», а мерчантом выступает сервис Mykassa. При этом сумма указанная на странице не совпадает с реальной суммой списания.
Фейковые сайты по взлому чего-либо – это проверенная годами классика, не теряющая своей актуальности. Ну действительно, ведь не пойдете же вы жаловаться в полицию на то, что вас обманули при попытке вскрыть адрес электронной почты!
@In4security