Сегодня все российские и белорусские участники международного сообщества команд реагирования на компьютерные инциденты First (first.org), которые не перенесли свой головной офис за рубеж, получили «письма счастья» с информацией о приостановке их членства в организации со ссылкой на новые американские правила экспортного контроля.
Под удар попали 10 российских и белорусских Центров реагирования на компьютерные инциденты:
• BI.ZONE-CERT
• Financial CERT
• Infosecurity Incident Response Team (IN4-CERT)
• ISL-CSIRT
• Jet CSIRT
• Kaspersky ICS CERT
• RTSCERT
• RU-CERT
• BC-CERT BY
• CERT BY
Несмотря на то, что First являлась удобной площадкой для обмена опытом и информацией о новых угрозах, данный факт не окажет серьезного влияния на работу российских и белорусских ИБ-компаний и станет стимулом развивать альтернативные каналы информационного обмена.
@In4security
Под удар попали 10 российских и белорусских Центров реагирования на компьютерные инциденты:
• BI.ZONE-CERT
• Financial CERT
• Infosecurity Incident Response Team (IN4-CERT)
• ISL-CSIRT
• Jet CSIRT
• Kaspersky ICS CERT
• RTSCERT
• RU-CERT
• BC-CERT BY
• CERT BY
Несмотря на то, что First являлась удобной площадкой для обмена опытом и информацией о новых угрозах, данный факт не окажет серьезного влияния на работу российских и белорусских ИБ-компаний и станет стимулом развивать альтернативные каналы информационного обмена.
@In4security
Хакерская группировка Anonymous сегодня выложила обещанные файлы по итогам «взлома» ЦБ РФ. Размещенные файлы представляют собой почти 20 гигабайт общедоступной информации и различного устаревшего мусора, не представляющего никакой угрозы финансовой системе РФ. На фото прилагается пример одного из документов, опубликованных хакерской группой. Можете сами оценить степень его актуальности и конфиденциальности.
Как обычно бывает в таких случаях, пиар куда громче реальных дел. Мы проанализировали полсотни выложенных файлов и не нашли в них ничего кроме публичной отчетности 2010-2016 годов и открытых данных о лицензиях и бенефициарах. Вполне очевидно, что с таким уровнем квалификации выполнить обещание и взломать все российские банки будет нереально.
@In4security
Как обычно бывает в таких случаях, пиар куда громче реальных дел. Мы проанализировали полсотни выложенных файлов и не нашли в них ничего кроме публичной отчетности 2010-2016 годов и открытых данных о лицензиях и бенефициарах. Вполне очевидно, что с таким уровнем квалификации выполнить обещание и взломать все российские банки будет нереально.
@In4security
Самара – родина взломов телефонов и химического оружия! Кликбейтно звучит, не правда ли? На самом деле все не так страшно, но от того не менее интересно.
О том, как пользователям рунета предлагают продать самые страшные яды, попутно взломав их смартфоны, и как Глеб магическим образом превращается в Ильдара, читайте в нашем новом материале: https://telegra.ph/Novichok-v-kriminalnom-biznese-03-19
@In4security
О том, как пользователям рунета предлагают продать самые страшные яды, попутно взломав их смартфоны, и как Глеб магическим образом превращается в Ильдара, читайте в нашем новом материале: https://telegra.ph/Novichok-v-kriminalnom-biznese-03-19
@In4security
Telegraph
Новичок на Волге
Что бы вы подумали, если бы вам предложили травить грызунов ядом "Новичок"? Ну или цианидом. Наверняка вы бы решили, что тот, кто предлагает нечто подобное, немного не в себе. Вот и мы так подумали, когда увидели сайт https://otravila.ru/. Впрочем, нас не…
Количество фейковых сайтов по продаже бумаги выросло на ___ процентов. Тут можно подставить любое число, так как еще месяц назад таких сайтов не было в принципе, а теперь мы насчитали их более пяти десятков.
Пример живого сайта - https://a4mag.ru. Домен зарегистрирован 23 марта, сам сайт прячется за CloudFlare. Обязательно прочитайте раздел «О компании» (https://a4mag.ru/about-us/) – безумно увлекательное чтение в лучших традициях мошенников из подземных переходов.
Мошенники активно работают с юридическими лицами, присылая коммерческие предложения и счета. Только вот счета выставлены от имени компаний, не имеющих никакого отношения к торговле канцелярскими товарами. Кроме того, они публикуют фейковые отзывы на специально созданном сайте, имитирующем Яндекс.Маркет по адресу https://yandex.market-shop.sale/shop--a4mag-ru-ofisnaya-bumaga-9895-reviews.htm.
Злоумышленники умело используют любые инфоповоды для собственного обогащения. Будьте внимательны и тщательно проверяйте своих контрагентов.
@In4security
Пример живого сайта - https://a4mag.ru. Домен зарегистрирован 23 марта, сам сайт прячется за CloudFlare. Обязательно прочитайте раздел «О компании» (https://a4mag.ru/about-us/) – безумно увлекательное чтение в лучших традициях мошенников из подземных переходов.
Мошенники активно работают с юридическими лицами, присылая коммерческие предложения и счета. Только вот счета выставлены от имени компаний, не имеющих никакого отношения к торговле канцелярскими товарами. Кроме того, они публикуют фейковые отзывы на специально созданном сайте, имитирующем Яндекс.Маркет по адресу https://yandex.market-shop.sale/shop--a4mag-ru-ofisnaya-bumaga-9895-reviews.htm.
Злоумышленники умело используют любые инфоповоды для собственного обогащения. Будьте внимательны и тщательно проверяйте своих контрагентов.
@In4security
Громкий взлом! Данные россиян снова оказались в открытом доступе!
Не все так страшно. Просто «киберпреступники» не брезгуют размещать фейковые данные вместо настоящих во имя хайпа. Пример того, как живущий в России проукраинский педоактивист выкладывает откровенный мусор читайте в нашем новом материале: https://telegra.ph/O-fejkovyh-bazah-zamolvite-slovo-04-15
@In4security
Не все так страшно. Просто «киберпреступники» не брезгуют размещать фейковые данные вместо настоящих во имя хайпа. Пример того, как живущий в России проукраинский педоактивист выкладывает откровенный мусор читайте в нашем новом материале: https://telegra.ph/O-fejkovyh-bazah-zamolvite-slovo-04-15
@In4security
Telegraph
О фейковых базах замолвите слово
В последнее время в информационном фоне появляется огромное количество свежих вбросов о громких взломах. Только вот зачастую под этим соусом подаются откровенные фейки. То кто-то ЦБ взломает (а на самом деле выложит пакет никому не нужных общедоступных документов…
Кабинет Министров Украины ввел ограничительные меры в России, в результате чего стало невозможно купить билеты в театральных кассах...
Звучит абсурдно, но именно это утверждают создатели новой волны фейковых сайтов по продаже театральных билетов. Похоже, что в процессе переделки фишингового сайта под другую страну, кто-то просто забыл поменять всю необходимую информацию. И так сойдет.
Сайт kassirland.ru (созданный 14.04.2022) построен на давно известном нам шаблоне и предлагает приобрести билеты на самые разные спектакли. После ввода данных о покупателе он переадресовывает на отдельный платежный ресурс: https://kassir-3d.ru/?t=minimal&sum=2500. Сумма оплаты в открытом виде доступна в адресной строке и её можно менять по собственному усмотрению. Впрочем, платежный сайт все равно на данный момент не работает корректно.
Все выявленные в рамках данной схемы домены отправлены на блокировку:
kassirland.ru
kassir-3ds.ru
kassir-3d.ru
kasirtickets.ru
kassaoplat.ru
kassabiletr.ru
@In4security
Звучит абсурдно, но именно это утверждают создатели новой волны фейковых сайтов по продаже театральных билетов. Похоже, что в процессе переделки фишингового сайта под другую страну, кто-то просто забыл поменять всю необходимую информацию. И так сойдет.
Сайт kassirland.ru (созданный 14.04.2022) построен на давно известном нам шаблоне и предлагает приобрести билеты на самые разные спектакли. После ввода данных о покупателе он переадресовывает на отдельный платежный ресурс: https://kassir-3d.ru/?t=minimal&sum=2500. Сумма оплаты в открытом виде доступна в адресной строке и её можно менять по собственному усмотрению. Впрочем, платежный сайт все равно на данный момент не работает корректно.
Все выявленные в рамках данной схемы домены отправлены на блокировку:
kassirland.ru
kassir-3ds.ru
kassir-3d.ru
kasirtickets.ru
kassaoplat.ru
kassabiletr.ru
@In4security
Мошенники запустили очередную фейковую криптовалютную платформу, воспользовавшись брендом почившего 2 года назад проекта Павла Дурова TON.
Появившиеся 16 апреля сайты акции:
https://telegram-bonus.com/
https://telegram-bonus.pro/
https://telegram-bonus.info/
https://telegram-bonus.fun/
https://telegram-bonus.org/
предлагают бонус от Telegram любому, кто зарегистрируется на платформе GramWallet по адресу https://gramwallet.one.
Естественно, что данная платформа (запущенная в один день с сайтами акции) – это банальный развод. После формирования личного кабинета пользователю предлагают внести деньги путем перевода на Bitcoin-кошелек, а потом ждать у моря погоды. Естественно, указанный на сайте кошелек принадлежит злоумышленникам и деньги уйдут в неизвестном направлении.
@In4security
Появившиеся 16 апреля сайты акции:
https://telegram-bonus.com/
https://telegram-bonus.pro/
https://telegram-bonus.info/
https://telegram-bonus.fun/
https://telegram-bonus.org/
предлагают бонус от Telegram любому, кто зарегистрируется на платформе GramWallet по адресу https://gramwallet.one.
Естественно, что данная платформа (запущенная в один день с сайтами акции) – это банальный развод. После формирования личного кабинета пользователю предлагают внести деньги путем перевода на Bitcoin-кошелек, а потом ждать у моря погоды. Естественно, указанный на сайте кошелек принадлежит злоумышленникам и деньги уйдут в неизвестном направлении.
@In4security
Можно бесконечно смотреть на три вещи. Как горит огонь, как течет вода и как один скамер упорно пытается окупить приобретенный в дарке простейший фишинговый шаблон.
Начав свой путь в ноябре 2021 года, он успел наплодить как минимум 119 доменов (https://pastebin.com/m13FpRZk), большая часть из которых использовалась для однотипного фишинга, направленного на одну и ту же целевую аудиторию. Особую любовь этот человек питает к банку УБРиР (86 доменов), остальные домены равномерно распределены между Почта Банком, банком Тинькофф, Альфабанком, Райффайзен и Столото. В эту компанию внезапно затесался белорусский БелВЭБ (https://m-belveb.ru/) – интересно, как скамер планирует выводить деньги в условиях отсутствия трансграничных переводов по картам…
Мы давно следили за активностью этого скамера, регулярно отправляя домены на блокировку, и нам казалось, что нас уже ничем не удивить. Но вчера в его копилке доменов появился government scam - https://gosudarstvennaya-duma.ru и https://dengi-gosuslugi.ru (переадресовывает на фейковый сайт https://e5cyt.vyxokym.xyz/, предлагающий компенсацию НДС). Данный шаблон тоже далеко не новый и давно продается в дарке, так что, видимо, наш герой устал от постоянных блокировок банковского фишинга и решил вложиться во что-то новое.
Это отличный пример того, как лень скамера заводить новые учетки помогает совершенствовать наши алгоритмы выявления фишинга.
@In4security
Начав свой путь в ноябре 2021 года, он успел наплодить как минимум 119 доменов (https://pastebin.com/m13FpRZk), большая часть из которых использовалась для однотипного фишинга, направленного на одну и ту же целевую аудиторию. Особую любовь этот человек питает к банку УБРиР (86 доменов), остальные домены равномерно распределены между Почта Банком, банком Тинькофф, Альфабанком, Райффайзен и Столото. В эту компанию внезапно затесался белорусский БелВЭБ (https://m-belveb.ru/) – интересно, как скамер планирует выводить деньги в условиях отсутствия трансграничных переводов по картам…
Мы давно следили за активностью этого скамера, регулярно отправляя домены на блокировку, и нам казалось, что нас уже ничем не удивить. Но вчера в его копилке доменов появился government scam - https://gosudarstvennaya-duma.ru и https://dengi-gosuslugi.ru (переадресовывает на фейковый сайт https://e5cyt.vyxokym.xyz/, предлагающий компенсацию НДС). Данный шаблон тоже далеко не новый и давно продается в дарке, так что, видимо, наш герой устал от постоянных блокировок банковского фишинга и решил вложиться во что-то новое.
Это отличный пример того, как лень скамера заводить новые учетки помогает совершенствовать наши алгоритмы выявления фишинга.
@In4security
Pastebin
2021-10-23
ybrr.ru2021-11-10
pizza-pochtabank.ru2021-11-10
sushi-pizza-roly. - Pastebin.com
ybrr.ru2021-11-10
pizza-pochtabank.ru2021-11-10
sushi-pizza-roly. - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
В апреле-мае этого года в тренды фишинга вернулась почта. Новые домены с таким словом появлялись в сети практически ежедневно. При этом две трети доменов так или иначе связаны с финансовой деятельностью, в частности, с Почта Банком. Это либо подарки от банка за прохождение опроса, либо фейковые платежные шлюзы, используемые в сочетании с другими скам-схемами (https://3ds-pochtabank.ru/).
Но есть и более интересные варианты. Например, сайт https://pochta-vozvrat.ru - возврат средств за отправленную посылку. Вполне очевидно, что это тоже часть более глобального развода в стиле «Авито 3.0», позволяющего второй раз обмануть уже и так обманутого человека. Просто в данном случае все предельно лаконично: просто введите имя, фамилию, номер карты и код из СМС.
@In4security
Но есть и более интересные варианты. Например, сайт https://pochta-vozvrat.ru - возврат средств за отправленную посылку. Вполне очевидно, что это тоже часть более глобального развода в стиле «Авито 3.0», позволяющего второй раз обмануть уже и так обманутого человека. Просто в данном случае все предельно лаконично: просто введите имя, фамилию, номер карты и код из СМС.
@In4security
Другим забавным примером, найденным по слову «почта», является очередной фейковый сервис по взлому любого емейла… ой, простите, «восстановлению забытого пароля» - https://pochtarecovery.ru.
Просто вводит адрес ящика, сайт имитирует консоль и операцию по перебору пароля, после чего предлагает оплатить услугу через зарегистрированный 24 февраля платежный шлюз https://mirpayment.ru. Банком эквайером при этом является «Сбер», а мерчантом выступает сервис Mykassa. При этом сумма указанная на странице не совпадает с реальной суммой списания.
Фейковые сайты по взлому чего-либо – это проверенная годами классика, не теряющая своей актуальности. Ну действительно, ведь не пойдете же вы жаловаться в полицию на то, что вас обманули при попытке вскрыть адрес электронной почты!
@In4security
Просто вводит адрес ящика, сайт имитирует консоль и операцию по перебору пароля, после чего предлагает оплатить услугу через зарегистрированный 24 февраля платежный шлюз https://mirpayment.ru. Банком эквайером при этом является «Сбер», а мерчантом выступает сервис Mykassa. При этом сумма указанная на странице не совпадает с реальной суммой списания.
Фейковые сайты по взлому чего-либо – это проверенная годами классика, не теряющая своей актуальности. Ну действительно, ведь не пойдете же вы жаловаться в полицию на то, что вас обманули при попытке вскрыть адрес электронной почты!
@In4security
Ситуация с утечкой данных клиентов сети лабораторий «Гемотест» хоть и серьезная, но не является каким-то из ряда вон выходящим событием. В последние годы в мире в целом и в России в частности было зафиксировано такое количество утечек персональных данных и финансовой информации, что удивить кого-то этим весьма непросто. Главная неприятность в данном случае заключается в том, что сведения о состоянии здоровья относятся к специальной группе персональных данных и должны охраняться особенно хорошо, но, как известно, на каждый сейф найдется своя отмычка. Давайте разберемся, так ли ценны утекшие данные?
На черном рынке прежде всего популярны те данные, которые проще всего использовать и монетизировать с минимальными трудовыми, временными и финансовыми затратами. Например, если эти данные позволяют сразу же вывести деньги из чужих кошельков без дополнительных манипуляций – они будут в приоритете.
Что же скрывает утекшая база «Гемотеста»? Начнем с того, что согласно проанализированным нами семплам, она не содержит, собственно, медицинских данных. В ней имеются: ФИО, дата рождения, адрес, телефон, электронная почта, сведения о паспорте… То есть по факту эта база не особенно отличается от утекшей базы интернет-магазина или курьерской службы. Несомненно, подобные сведения ценнее, чем список номеров банковских карт, утекших из сервиса Joom, но путь монетизации подобной информации будет весьма долог и тернист. Да и способы превращения этой информации в реальные деньги доступны далеко не каждому.
Тот факт, что за базу, содержащую 31 миллион строк, злоумышленники хотят получить всего 650 долларов, то есть порядка 40 с небольшим тысяч рублей (или 1 рубль примерно за 700+ записей), говорит о том, что её продавцы не видят в ней особой ценности и просто хотят получить хоть какие-то деньги по итогам успешного взлома. И конечно дополнительным фактором, снижающим ценность данной информации, является и то, что утечка стала общеизвестной, а значит «Гемотест» может проинформировать своих клиентов о возможной угрозе.
С учетом того, что утекшие данные не содержат сведений о здоровье граждан, единственным вероятным применением данной базы видится её использование в целях OSINT или социальной инженерии. Именно поэтому мы можем прогнозировать рост числа адресных телефонных мошенничеств и спам-рассылок в отношении людей, чьи данные содержатся в утекшей базе. Ну а то, что адресные рассылки и звонки показывают большую эффективность по сравнению с «холодными» обзвонами, думаем, ни для кого не секрет. При этом наибольшая активность злоумышленников как правило наблюдается в течение 10-12 дней с момента появления инфоповода, поэтому мы в превентивном порядке перенастроили наши фильтры в целях обнаружения и блокирования вредоносных ресурсов, эксплуатирующих тематику «Гемотеста». Так что в ближайшие две недели мы намерены активно выявлять и безвозмездно нейтрализовывать все обнаруженные нами фишинговые угрозы, связанные с этой утечкой.
@In4security
На черном рынке прежде всего популярны те данные, которые проще всего использовать и монетизировать с минимальными трудовыми, временными и финансовыми затратами. Например, если эти данные позволяют сразу же вывести деньги из чужих кошельков без дополнительных манипуляций – они будут в приоритете.
Что же скрывает утекшая база «Гемотеста»? Начнем с того, что согласно проанализированным нами семплам, она не содержит, собственно, медицинских данных. В ней имеются: ФИО, дата рождения, адрес, телефон, электронная почта, сведения о паспорте… То есть по факту эта база не особенно отличается от утекшей базы интернет-магазина или курьерской службы. Несомненно, подобные сведения ценнее, чем список номеров банковских карт, утекших из сервиса Joom, но путь монетизации подобной информации будет весьма долог и тернист. Да и способы превращения этой информации в реальные деньги доступны далеко не каждому.
Тот факт, что за базу, содержащую 31 миллион строк, злоумышленники хотят получить всего 650 долларов, то есть порядка 40 с небольшим тысяч рублей (или 1 рубль примерно за 700+ записей), говорит о том, что её продавцы не видят в ней особой ценности и просто хотят получить хоть какие-то деньги по итогам успешного взлома. И конечно дополнительным фактором, снижающим ценность данной информации, является и то, что утечка стала общеизвестной, а значит «Гемотест» может проинформировать своих клиентов о возможной угрозе.
С учетом того, что утекшие данные не содержат сведений о здоровье граждан, единственным вероятным применением данной базы видится её использование в целях OSINT или социальной инженерии. Именно поэтому мы можем прогнозировать рост числа адресных телефонных мошенничеств и спам-рассылок в отношении людей, чьи данные содержатся в утекшей базе. Ну а то, что адресные рассылки и звонки показывают большую эффективность по сравнению с «холодными» обзвонами, думаем, ни для кого не секрет. При этом наибольшая активность злоумышленников как правило наблюдается в течение 10-12 дней с момента появления инфоповода, поэтому мы в превентивном порядке перенастроили наши фильтры в целях обнаружения и блокирования вредоносных ресурсов, эксплуатирующих тематику «Гемотеста». Так что в ближайшие две недели мы намерены активно выявлять и безвозмездно нейтрализовывать все обнаруженные нами фишинговые угрозы, связанные с этой утечкой.
@In4security