in2security
13.7K subscribers
895 photos
3 videos
4 files
502 links
Приветствуем вас на канале In2security! Наш канал – это погружение в безопасность, здесь мы рассказываем о новом и актуальном фишинге, анализируем громкие утечки, говорим про OSINT. Комментарии для СМИ и прочие вопросы: @infosecurityevil
Download Telegram
Хотите получить выплату от государства? Установите сертификат безопасности… то есть троян под Android! Но сперва введите ФИО, телефон и номер карты. А потом введите все это еще раз и заново скачайте тот же троян, ну так, для перестраховки.

Как это водится, в схеме задействовано сразу несколько ресурсов. Первый - gos-uslugi.biz (скоро прекратит существование) видится вполне самодостаточным, но после скачивания трояна-сертификата gs_uslg_1_0_5.apk жертву переадресовывают на https://n0wpay.world/ по уникальной ссылке, где нужно заново ввести те же самые сведения и скачать троян еще раз, ну вдруг в первый раз не вышло. Второй раз троян предстоит скачать уже с нового сайта: https://gos-uslugi.my1.ru.

Сайты отправлены на блок, образец трояна – в антивирусные и ИБ-компании. Не благодарите.
Проголосуйте за детский рисунок и лишитесь аккаунта в Telegram? Устарело! Смотрите, какая изящная схема угона Telegram-аккаунтов через поиск по картинкам вскрылась. Мы прям снимаем шляпу.

Вот ищете вы мемасики/аниме/прон/пиццу, черт побери, в Яндексе и выскакивает вам картинка по вашему запросу. Вы кликаете на нее, а вам предлагают подписаться на канал «Тебе понравится». Естественно придется залогиниться, отправить код из СМС и… прощай родная телега.

Для того, чтобы нужная картинка выдавалась практически по любому запросу, злоумышленники создали несколько сотен сайтов на одном шаблоне, каждый из которых является по сути просто каталогом изображений с описаниями, взятыми из других источников. Магия SEO, прикрученная Яндекс.Метрика и вот уже по запросу «Гарри Поттер и Гермиона фанфик» в списке поисковой выдачи вы увидите заветную ссылку.

Что характерно, сайт с картинками проверяет, перешли ли вы на него по ссылке из поисковика или нет. Если нет, то вы не увидите никакого фишинга, вот вам картинка, что вы запрашивали; если да, вас редиректит на фишинговую страницу под Telegram, ссылка на которую регулярно меняется.

Пожалуй, это самая крутая схема по взлому TG, которую мы видели за последний год. В совокупности сеть сайтов содержит в районе миллиона картинок с описаниями, то есть шанс нарваться на фейк крайне велик.

Снимаем шляпу перед криминальным талантом, но вынуждены огорчить создателей схемы: мы знаем о них несколько больше, чем они думают, так что ожидайте продолжения этой истории в нашем канале. А пока – сайты на блок!
Если ваши деньги похитили телефонные мошенники, то вернуть их скорее всего уже не получится. Однако желающих повторно нажиться на человеке, тешащим себя надеждой получить назад свои кровные, всегда найдутся.

Сегодняшний сайт – классический пример повторного обмана жертв фейковых криптоинвесторов, о которых мы писали на канале уже десятки раз. По факту это такие же телефонные мошенники, действующие из колл-центров, только в этой схеме никто никого не пугает и не предлагает перевести деньги на защищенный счет, а напротив – предлагает хорошо подзаработать. Если вы оставите данные на таком «инвестиционном» сайте, вас замучают звонками добрые менеджеры. А когда вы внесете на счет «биржи» свои сбережения и поймете, что вернуть их оттуда не выйдет, настанет черед вот такого юриста Никулина. Иногда мошенники сами звонят своим же жертвам, предлагая помощь в возврате денег, иногда – заманивают людей на такие сайты через рекламу и спам-рассылки. По факту человека просто обманут еще раз.

И точно так же, как карета золушки в полночь превращается в тыкву, всемирно известный юрист Никулин по мановению Яндекса превращается в популярную модель с бесплатных фотостоков.
Ого! Тут на одном широко известном в узких кругах форуме опубликовали 0day – под сам Outlook! Ценник демократический – примерно 170 миллионов рублей. Перечень версий весьма впечатляет: начиная с 2016 офиса до 365 энтерпрайза.

И все бы ничего, но вот только обычно такие штуки в паблике не продают, тем более на форуме, на котором школьников куда больше, чем тех, кто может отвалить 170 миллионов за RCE…

Возможно, надежда на то, что Microsoft увидит пост и захочет выкупить? Эдакий стартапчик? Но как-то сомнительно.

В общем, штука интересная, мы, конечно, брать не советуем, но если кто-то купит в ипотеку, отпишитесь нам, что как.
Видимо 0day под Outlook в итоге купили. Список покупателей на скриншоте. Брич в очередной раз прекратил свое существование.
Интересный кейс по взлому Telegram. Есть популярный сайт для сохранения видео с видеохостингов – savefrom.net. На нем можно сохранить видео либо через веб-интерфейс, либо через плагин для Chrome. Насколько я помню, к этому плагину одно время были некоторые вопросы касаемо его безопасности, но я могу и ошибаться.

Итак, меня попросили скачать с YouTube видео про терменвокс для завтрашней лекции про Льва Термена в Политехническом музее, кстати, настоятельно рекомендую, билеты еще есть.

Зашел я на сайт, закинул туда ссылку и выбрал пункт «скачать без установки расширения». Что ж, файл скачался, но параллельно в новой вкладке у меня открылась страница на домене https://vk.com-id.page/, на которой было сказано, что моя страница заблокирована за нарушение правил VK, и чтобы разблокировать ее, следует авторизоваться через Telegram. Ну а дальше все по стандартной схеме.

Что ж, ресурс отправляется прямиком на блокировку!

UPD: ошибки нет. С вероятностью 1 к 2 savefromnet после скачивания файла редиректит на вредоносный ресурс
Ну и раз уж я упомянул лекцию про Льва Термена, то вот вам полная информация. Кстати, возможно на этой лекции можно будет поиграть на терменвоксе автора данного канала:

В своей лекции "Термен - гений электроники" старший научный сотрудник Политехнического музея Р.В. Артеменко расскажет об уникальных работах инженера и ученого в сложнейшее для страны и ее граждан время.
Измерительные и сигнализационные установки, музыкальные инструменты, ТВ-установки и спецтехника, — в каждой из этих областей Льву Сергеевичу Термену удалось создать образцы аппаратуры во многом опередившие свое время. Попытаемся вместе разгадать основу творческой натуры инженерной деятельности на примере работ Л.С.Термена. Помогут нам в этом уникальные фонды Политехнического музея, что хранят документы о жизни и творчестве выдающегося человека и инженера XX века и знакомство с которыми может оказаться полезным не только будущим инженерам, но и музыкантам, историкам, философам, социологам.

Бесплатная регистрация по ссылке:

https://tickets.polymus.ru/event/D2ED4C62C1D541E7A97E6DA64BF93795BD463AF8

Место проведения на карте https://yandex.ru/maps/-/CDrgBVO4
Смотрите, какая красота! Мошенники снова стали рассылать в российские организации письма, теперь с информацией о том, что с сотрудниками компании будет проведена телефонная беседа по вопросам обеспечения защиты конфиденциальных данных.

В этом документе прекрасно все: начиная с того, что он направлен от имени Росприроднадзора – конечно, это же головная в нашей стране организация, отвечающая за информационную безопасность и защиту ПД; и заканчивая подписью: Сотрудник Аппарата Прикомандированных Сотрудников ФСБ при Росприроднадзоре! Мне даже добавить нечего.

Мне, как человеку, почти два десятка лет имевшему отношение к делопроизводству в государственной структуре, с первого взгляда заметно, что это подделка. Но как показывает практика, если вы не работали в госсекторе и не перевели тонну бумаги на переписку с разными ведомствами, это не столь очевидно.

Напишите в комментариях, какие ляпы вы увидели в данном документе.
Телефонные мошенники, которые представляются сотрудниками ЦБ или МВД, нередко используют вспомогательные сайты, на которых можно убедиться в том, что вам звонит настоящий представитель органов гос. власти, и проверить номер его удостоверения.

В последнее время мы отмечаем тенденцию, заключающуюся в том, что в целях маскировки фишинговых ресурсов все чаще применяются домены 3 уровня (эти люди реально думают, что это защищает от обнаружения?).

Вот, например, свежие фейковые сайты под ЦБ:
https://cbr.b-call.ru/
https://cbr.b-call24.ru/

Прямо как настоящие, только вместо пункта «Проверить участника финансового рынка» вставлен пункт: «Проверить информацию о сотруднике».

Ну а дальше все стандартно: введите Bank ID. Если ID совпадает с тем, что продиктует мошенник, то сайт выдаст подтверждение: «Этому сотруднику можно верить, переводите деньги на безопасный счет!», если же ввести абстрактные цифры, то скажет, что такого сайта нет.

Интересный момент. В футере сайта зачем-то указано, что он создан Студией Артемия Лебедева, хотя на настоящем сайте ЦБ РФ указано, что дизайн создан AIC.

Оба ресурса отправлены на блокировку, а заодно и в FinCERT Банка России. Как говорит Артемий: «Ну умер, и умер…»