Угроза очередного глобального локдауна подстегивает злоумышленников к решительным действиям. В период с 18 по 19 октября в зоне .RU было зарегистрировано 28 доменных имен, схожих со словом «госуслуги». Настолько массовой регистрации подобных доменов в .ru-зоне мы не встречали с весны.
Подобные домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, о чем красноречиво говорят слова covid в ряде доменов.
С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.
Ознакомиться со списком выявленных доменов можно по ссылке: https://pastebin.com/VPyTt5Ye
@In4security
Подобные домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, о чем красноречиво говорят слова covid в ряде доменов.
С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.
Ознакомиться со списком выявленных доменов можно по ссылке: https://pastebin.com/VPyTt5Ye
@In4security
Pastebin
gosusliga.rudl1-gosuslugi.rugosuslugi-api.rugosuslugicovidnet.rugosuslug - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
30 августа 2020 года Моргенштерн объявил о розыгрыше своего Мерседеса. И несмотря на то, что еще год назад этот Мерседес уехал к подписчику из Узбекистана, мошенники продолжают эксплуатировать этот инфоповод, создавая новые сайты и рекламируя их в YouTube и Instagram.
Вот и свежий пример – сайт https://ruboxmorgen.store – торжество абсурда. Максимально некачественное фото, вырвиглазный дизайн и обещание выигрыша от 5 до 100 тысяч долларов (постойте, а где же Мерседес?). Впрочем, сайт выполняет свою главную функцию: переадресовывает людей непосредственно на сайты фейковых розыгрышей, оставаясь при этом практически неуязвимым для антимошеннических проектов. Сейчас, например, вся противоправная активность сосредоточена на сайте https://happy.winboxxy.com, на котором развернута классическая схема с коробочками, существующая уже лет 6, не меньше.
Непосредственно хищение средств осуществляется через очередной мусорный платежный шлюз https://pay.qecaz.top/page/8842b5M51875e45/form.html.
@In4security
Вот и свежий пример – сайт https://ruboxmorgen.store – торжество абсурда. Максимально некачественное фото, вырвиглазный дизайн и обещание выигрыша от 5 до 100 тысяч долларов (постойте, а где же Мерседес?). Впрочем, сайт выполняет свою главную функцию: переадресовывает людей непосредственно на сайты фейковых розыгрышей, оставаясь при этом практически неуязвимым для антимошеннических проектов. Сейчас, например, вся противоправная активность сосредоточена на сайте https://happy.winboxxy.com, на котором развернута классическая схема с коробочками, существующая уже лет 6, не меньше.
Непосредственно хищение средств осуществляется через очередной мусорный платежный шлюз https://pay.qecaz.top/page/8842b5M51875e45/form.html.
@In4security
Новости о росте числа заболевших COVID-19 прочно закрепились в топе публикаций СМИ. При этом некоторые регионы заметно опережают среднероссийские показатели. Например, в Ярославской области статистика заболевших уже не первый день ставит антирекорды.
Опытный предприниматель (с 2014 года) Леонид из города Ярославля, владелец "островков" по продаже вейпов в ТЦ «Лотос» и «Двина», со всей ответственность подошел к сохранению здоровья своих клиентов, так как понимает, что вирус в первую очередь поражает легкие - самый ценный ресурс его клиентов и… создал в онлайн-редакторе сайт https://covid19-hellix.ru, на котором сам себе проставляет отрицательный результат тестирования на COVID от имени сети лабораторий «Хеликс», а попутно делится своими персональными данными со всем Интернетом.
Тем временем c момента нашего вчерашнего поста в зоне .RU появилось еще 18 доменов со использованием GOSUSLUGI, октябрь явно идет на рекорд по количеству ковидно-госуслуговых доменов!
Ознакомиться можно по ссылке https://pastebin.com/acGKRR6E
@In4security
Опытный предприниматель (с 2014 года) Леонид из города Ярославля, владелец "островков" по продаже вейпов в ТЦ «Лотос» и «Двина», со всей ответственность подошел к сохранению здоровья своих клиентов, так как понимает, что вирус в первую очередь поражает легкие - самый ценный ресурс его клиентов и… создал в онлайн-редакторе сайт https://covid19-hellix.ru, на котором сам себе проставляет отрицательный результат тестирования на COVID от имени сети лабораторий «Хеликс», а попутно делится своими персональными данными со всем Интернетом.
Тем временем c момента нашего вчерашнего поста в зоне .RU появилось еще 18 доменов со использованием GOSUSLUGI, октябрь явно идет на рекорд по количеству ковидно-госуслуговых доменов!
Ознакомиться можно по ссылке https://pastebin.com/acGKRR6E
@In4security
Telegram
in4security
Угроза очередного глобального локдауна подстегивает злоумышленников к решительным действиям. В период с 18 по 19 октября в зоне .RU было зарегистрировано 28 доменных имен, схожих со словом «госуслуги». Настолько массовой регистрации подобных доменов в .ru…
Фейковые сайты пиццерий наводняют поисковую выдачу уже год. Кто-то остается без ужина и без денег, а кто-то зарабатывает на этом капиталы. И пока крупные международные ИБ компании не могут выйти на след злодеев, мы рассказываем о том, как простой парень с именем на букву «М» весьма успешно организует свой гешефт, продавая в даркнете шаблон фишингового сайта: https://te.legra.ph/Obman-na-tonkom-teste-10-22
@In4security
@In4security
Telegraph
Обман на тонком тесте
Чуть более года назад в интернете стала активно развиваться новая скам схема, связанная с фейковыми сайтами популярных сетей пиццерий. В первую очередь под удар попали клиенты таких сетей, как "Додо Пицца", "Папа Джонс" и "Domino's".
За последние сутки появилось еще 23 домена в зоне .RU, связанных с "Госуслугами". К популярной теме начинают подключаться не самые расторопные мошенники.
Мы как всегда отслеживаем такие домены и помогаем с блокировкой. Список доступен по ссылке: https://pastebin.com/7n0wtKmN
Помимо откровенных мошенников встречаются и «хитрые» пользователи, рисующие себе положительные результаты тестов. Например, бизнес-тренер Ирина Коскинен (https://irinakoskinen.com), специализирующаяся на развитии эмоционального интеллекта. Её развитого интеллекта вполне хватило на создание двух фейковых сайтов с отрицательным результатом на COVID от лаборатории CMD который возьмут через 2 дня - https://cmd-online-dff251020219091.ru (https://web.archive.org/web/20211023145853/https://cmd-online-dff251020219091.ru/) и https://cmd-online-dff251020219092.ru (https://web.archive.org/web/20211023145919/https://cmd-online-dff251020219092.ru/) - для себя и для мужа.
С учетом того, что работа бизнес-тренера – это как работа палача – хоть не на воздухе, но с людьми, подделка результатов теста на коронавирус видится не самым разумным решением. Надеемся, что после её визита в Россию 26 октября, у нас в стране не появится нового неизлечимого штамма.
@In4security
Мы как всегда отслеживаем такие домены и помогаем с блокировкой. Список доступен по ссылке: https://pastebin.com/7n0wtKmN
Помимо откровенных мошенников встречаются и «хитрые» пользователи, рисующие себе положительные результаты тестов. Например, бизнес-тренер Ирина Коскинен (https://irinakoskinen.com), специализирующаяся на развитии эмоционального интеллекта. Её развитого интеллекта вполне хватило на создание двух фейковых сайтов с отрицательным результатом на COVID от лаборатории CMD который возьмут через 2 дня - https://cmd-online-dff251020219091.ru (https://web.archive.org/web/20211023145853/https://cmd-online-dff251020219091.ru/) и https://cmd-online-dff251020219092.ru (https://web.archive.org/web/20211023145919/https://cmd-online-dff251020219092.ru/) - для себя и для мужа.
С учетом того, что работа бизнес-тренера – это как работа палача – хоть не на воздухе, но с людьми, подделка результатов теста на коронавирус видится не самым разумным решением. Надеемся, что после её визита в Россию 26 октября, у нас в стране не появится нового неизлечимого штамма.
@In4security
Pastebin
GASUSLYGI.ruGOCYSLUGI.ruGOFSUSLUGI.ruGOS-USLUGI-QR.ruGOSESLUGI.ruGOSMS - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
В преддверии ноябрьских выходных мы наблюдаем очередную волну активизации мошенников. Теперь под удар попал гигант российской электронной торговли Ozon.
Сайты OZON-SALES-PROMO.RU (зарегистрирован 23.10.2021) и OZON-PROMOTION.RU (зарегистрирован 22.10.2021) сделаны в конструкторе Tilda и предлагают получить индивидуальную скидку в размере 30%, для чего необходимо обратиться в WhatsApp. В настоящий момент злоумышленники используют номер +79914499343. Ранее в октябре мы фиксировали появление такого же фишингового ресурса на домене OZON-PROMO.RU (уже недоступен), а в качестве контактного номера использовался +79842676875.
Но если тогда общение с мошенниками не принесло результатов, то теперь на номере (который, кстати, подключен к бинзнес-аккаунту), работает бот.
Бот предлагает прислать ему ссылку на понравившийся товар с Озона, после чего генерирует ссылку на оплату, которая действует в течение 60 минут. В нашем случае ссылка ведет на https://ozon.bron-pay.ru/order/cc361cd0 (сохраненная копия в веб-архиве)- страницу с логотипом Ozon и имеющую favicon с логотипом Авито. Это говорит нам о том, что мошенники, уже почти 2 года терроризирующие пользователей Авито, Юлы, Блаблакара и прочих букингов, добрались до крупнейшего российского маркетплейса.
Этой осенью Ozon, судя по всему, вообще будет в тренде, раз уж даже сайт PROMOKODI-SVYAZNOY.RU (зарегистрирован 23.10.2021) сразу перенаправляет на https://ozon-promokody.ru – сайт-долгожитель, существующий уже полгода.
@In4security
Сайты OZON-SALES-PROMO.RU (зарегистрирован 23.10.2021) и OZON-PROMOTION.RU (зарегистрирован 22.10.2021) сделаны в конструкторе Tilda и предлагают получить индивидуальную скидку в размере 30%, для чего необходимо обратиться в WhatsApp. В настоящий момент злоумышленники используют номер +79914499343. Ранее в октябре мы фиксировали появление такого же фишингового ресурса на домене OZON-PROMO.RU (уже недоступен), а в качестве контактного номера использовался +79842676875.
Но если тогда общение с мошенниками не принесло результатов, то теперь на номере (который, кстати, подключен к бинзнес-аккаунту), работает бот.
Бот предлагает прислать ему ссылку на понравившийся товар с Озона, после чего генерирует ссылку на оплату, которая действует в течение 60 минут. В нашем случае ссылка ведет на https://ozon.bron-pay.ru/order/cc361cd0 (сохраненная копия в веб-архиве)- страницу с логотипом Ozon и имеющую favicon с логотипом Авито. Это говорит нам о том, что мошенники, уже почти 2 года терроризирующие пользователей Авито, Юлы, Блаблакара и прочих букингов, добрались до крупнейшего российского маркетплейса.
Этой осенью Ozon, судя по всему, вообще будет в тренде, раз уж даже сайт PROMOKODI-SVYAZNOY.RU (зарегистрирован 23.10.2021) сразу перенаправляет на https://ozon-promokody.ru – сайт-долгожитель, существующий уже полгода.
@In4security
Ozon Актуальные Промокоды
Промокоды OZON • ТОП-35 Август 2024 • -300₽-600₽ Первый Заказ • Купоны на все товары и книги в Озон.
ТОП-25 > Актуальных Промокодов > На 100% > для OZON. Купоны на товары, книги, доставку. Скидки 500-1000 рублей на первые заказы. Всегда Актуально на 2024
Фишинговая страница оплаты. Обратите внимание на оставшийся от Авито favicon в заголовке вкладки браузера.
@In4security
@In4security
Продажа QR-кодов о вакцинации выходит на новый уровень. Сайт https://www.qr-korona.ru предлагает приобрести не поддельный код, а образец того, как он будет выглядеть. Ну вы поняли. Это примерно как заведения, торгующие в ночи алкоголем, продают вам не водку, а бутылку от нее, или вовсе сдают в аренду.
Даже оплата услуг в размере 1990 рублей здесь скромно называется «пожертвованием на развитие сервиса».
После оплаты покупатель получает код, который ведет на фейковый сайт госуслуг, типа тех, что мы уже показывали.
С учетом того, что в октябре количество фейковых доменов под госуслуги уже почти достигло 300, ковидный бизнес вполне себе развивается.
Правда остается посочувствовать донатерам. Вряд ли фейковые домены проживут достаточно долго для того, чтобы ими можно было реально воспользоваться.
@In4security
Даже оплата услуг в размере 1990 рублей здесь скромно называется «пожертвованием на развитие сервиса».
После оплаты покупатель получает код, который ведет на фейковый сайт госуслуг, типа тех, что мы уже показывали.
С учетом того, что в октябре количество фейковых доменов под госуслуги уже почти достигло 300, ковидный бизнес вполне себе развивается.
Правда остается посочувствовать донатерам. Вряд ли фейковые домены проживут достаточно долго для того, чтобы ими можно было реально воспользоваться.
@In4security
Пока страна готовится к очередной волне нерабочих дней, школьники ждут каникул, до которых осталась всего неделя. Ну а чем заняться на каникулах после новостей о победе нашей команде в турнире по Dota 2? Залипнуть в компе, ведь теперь можно гордо сообщать родителям, что ты киберспортсмен, а это просто тренировка.
Подготовились к этому не только школьники, но и желающие отжать чужой аккаунт в Steam. Мало того, что количество фейковых страниц выросло, так еще и повысилась их изощренность. Вместо простой фейковой формы ввода логина и пароля в ходу сайты типа https://steam-officialoffers.xyz, на котором вам предложат на обмен какой-нибудь полезный шмот.
Или страницу «Ламповой Няши» Ксюши (https://steamcomnunlity.ru), с которой можно не только торговать, но и подружиться. При попытке совершить какое-либо действие жертве откроется фрейм, имитирующий окно браузера со страницей авторизации Steam. При этом адрес сайта в нем будет написан правильно, так что жертва вполне может не заметить подвоха.
Еще одним способом притупить бдительность жертвы является использование ссылок вида https://steamcommunityzfh.top/store.steampowered.com/login/, вторая часть в которых совпадает с реальным адресом сайта. 20 октября кто-то разом зарегистрировал 13 таких доменов через китайского регистратора и поднял на них фишинговые сайты, располагающиеся на достаточно редком российском хостинге.
@In4security
Подготовились к этому не только школьники, но и желающие отжать чужой аккаунт в Steam. Мало того, что количество фейковых страниц выросло, так еще и повысилась их изощренность. Вместо простой фейковой формы ввода логина и пароля в ходу сайты типа https://steam-officialoffers.xyz, на котором вам предложат на обмен какой-нибудь полезный шмот.
Или страницу «Ламповой Няши» Ксюши (https://steamcomnunlity.ru), с которой можно не только торговать, но и подружиться. При попытке совершить какое-либо действие жертве откроется фрейм, имитирующий окно браузера со страницей авторизации Steam. При этом адрес сайта в нем будет написан правильно, так что жертва вполне может не заметить подвоха.
Еще одним способом притупить бдительность жертвы является использование ссылок вида https://steamcommunityzfh.top/store.steampowered.com/login/, вторая часть в которых совпадает с реальным адресом сайта. 20 октября кто-то разом зарегистрировал 13 таких доменов через китайского регистратора и поднял на них фишинговые сайты, располагающиеся на достаточно редком российском хостинге.
@In4security
Pastebin
https://steamcommunityzfh.top/store.steampowered.com/login/https://steamcommun - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
Примеры фишинговых страниц под Steam. Обратите внимание на фрейм с фальшивым адресом и SSL-сертификатом.
@In4security
@In4security
Не успел Павел Дуров объявить о запуске в Telegram рекламной биржи promote.telegram.org, как в сети появились домены:
PROMOTE-TELEGRAM.RU
PROMOTELEGRAM.RU
PROMOTETELEGRAM.RU
PROMOTE-TELEGRAM.ORG
PROMOTELEGRAM.ORG
С учетом того, что условия на реальной бирже весьма жесткие и подойдут только крупному бизнесу: минимальный порог входа – 2 миллиона евро, 1 из которых уйдет на залог, предвосхищаем появление десятков фейковых сайтов, предлагающих размещения рекламы в Telegram на куда более щадящих условиях.
@In4security
PROMOTE-TELEGRAM.RU
PROMOTELEGRAM.RU
PROMOTETELEGRAM.RU
PROMOTE-TELEGRAM.ORG
PROMOTELEGRAM.ORG
С учетом того, что условия на реальной бирже весьма жесткие и подойдут только крупному бизнесу: минимальный порог входа – 2 миллиона евро, 1 из которых уйдет на залог, предвосхищаем появление десятков фейковых сайтов, предлагающих размещения рекламы в Telegram на куда более щадящих условиях.
@In4security
Финансовые пирамиды опасны не только тем, что в определенный момент они лопаются, но еще тем, что после этого события данные их участников легко могут отправиться в свободное плавание.
Именно такая участь постигла «вкладчиков» пирамиды «Финико», чьи данные вчера выставили на продажу на одном из популярных даркнет-форумов.
Перечень данных включает ФИО, телефон, адрес электронной почты, идентификатор биткойн-кошелька, номер счета и сумму вклада.
Данные продаются по астрономической цене в 15$ за строку, что только подтверждает их ценность на черном рынке. Вообще, сведения об участниках пирамид и прочих лохотронов являются лакомым куском для мошенников, ведь им можно предложить вернуть свои деньги, приняв участие в новой пирамиде!
@In4security
Именно такая участь постигла «вкладчиков» пирамиды «Финико», чьи данные вчера выставили на продажу на одном из популярных даркнет-форумов.
Перечень данных включает ФИО, телефон, адрес электронной почты, идентификатор биткойн-кошелька, номер счета и сумму вклада.
Данные продаются по астрономической цене в 15$ за строку, что только подтверждает их ценность на черном рынке. Вообще, сведения об участниках пирамид и прочих лохотронов являются лакомым куском для мошенников, ведь им можно предложить вернуть свои деньги, приняв участие в новой пирамиде!
@In4security
На фоне очередной череды нерабочих дней мы фиксируем резкое увеличение фишинговых рассылок с информацией о денежных переводах.
Сама по себе схема существует уже несколько лет и является одним из вариантов мошенничеств с социальными выплатами или лотереями. Жертве сообщают, что на её имя пришел денежный перевод, вот только чтобы получить его, следует оплатить комиссию «за биллинг», для чего потребуется ввести данные банковской карты.
Сообщения рассылаются по электронной почте. При этом злоумышленники используют различные способы защиты от обнаружения спама: размещают ссылки в файлах на файлообменниках, используют по несколько ресурсов-прокладок и регистрируют домены, не обнаружимые традиционными методами.
Пример рабочего вредоносного ресурса: https://swo.wsafoaw.biz/push.php.
После ввода данных банковской карты и получения сообщения о необходимости оплатить комиссию, жертва попадает на очередной мусорный платежный шлюз, в нашем случае: https://craterlet.xyz/buy/1027?price=348.
Впрочем, такие шлюзы тоже скрываются от лишних глаз. Если вы введете в браузере https://craterlet.xyz, вы увидите… сайт цветочного магазина.
@In4security
Сама по себе схема существует уже несколько лет и является одним из вариантов мошенничеств с социальными выплатами или лотереями. Жертве сообщают, что на её имя пришел денежный перевод, вот только чтобы получить его, следует оплатить комиссию «за биллинг», для чего потребуется ввести данные банковской карты.
Сообщения рассылаются по электронной почте. При этом злоумышленники используют различные способы защиты от обнаружения спама: размещают ссылки в файлах на файлообменниках, используют по несколько ресурсов-прокладок и регистрируют домены, не обнаружимые традиционными методами.
Пример рабочего вредоносного ресурса: https://swo.wsafoaw.biz/push.php.
После ввода данных банковской карты и получения сообщения о необходимости оплатить комиссию, жертва попадает на очередной мусорный платежный шлюз, в нашем случае: https://craterlet.xyz/buy/1027?price=348.
Впрочем, такие шлюзы тоже скрываются от лишних глаз. Если вы введете в браузере https://craterlet.xyz, вы увидите… сайт цветочного магазина.
@In4security