Не успел Павел Дуров объявить о запуске в Telegram рекламной биржи promote.telegram.org, как в сети появились домены:
PROMOTE-TELEGRAM.RU
PROMOTELEGRAM.RU
PROMOTETELEGRAM.RU
PROMOTE-TELEGRAM.ORG
PROMOTELEGRAM.ORG
С учетом того, что условия на реальной бирже весьма жесткие и подойдут только крупному бизнесу: минимальный порог входа – 2 миллиона евро, 1 из которых уйдет на залог, предвосхищаем появление десятков фейковых сайтов, предлагающих размещения рекламы в Telegram на куда более щадящих условиях.
@In4security
PROMOTE-TELEGRAM.RU
PROMOTELEGRAM.RU
PROMOTETELEGRAM.RU
PROMOTE-TELEGRAM.ORG
PROMOTELEGRAM.ORG
С учетом того, что условия на реальной бирже весьма жесткие и подойдут только крупному бизнесу: минимальный порог входа – 2 миллиона евро, 1 из которых уйдет на залог, предвосхищаем появление десятков фейковых сайтов, предлагающих размещения рекламы в Telegram на куда более щадящих условиях.
@In4security
Финансовые пирамиды опасны не только тем, что в определенный момент они лопаются, но еще тем, что после этого события данные их участников легко могут отправиться в свободное плавание.
Именно такая участь постигла «вкладчиков» пирамиды «Финико», чьи данные вчера выставили на продажу на одном из популярных даркнет-форумов.
Перечень данных включает ФИО, телефон, адрес электронной почты, идентификатор биткойн-кошелька, номер счета и сумму вклада.
Данные продаются по астрономической цене в 15$ за строку, что только подтверждает их ценность на черном рынке. Вообще, сведения об участниках пирамид и прочих лохотронов являются лакомым куском для мошенников, ведь им можно предложить вернуть свои деньги, приняв участие в новой пирамиде!
@In4security
Именно такая участь постигла «вкладчиков» пирамиды «Финико», чьи данные вчера выставили на продажу на одном из популярных даркнет-форумов.
Перечень данных включает ФИО, телефон, адрес электронной почты, идентификатор биткойн-кошелька, номер счета и сумму вклада.
Данные продаются по астрономической цене в 15$ за строку, что только подтверждает их ценность на черном рынке. Вообще, сведения об участниках пирамид и прочих лохотронов являются лакомым куском для мошенников, ведь им можно предложить вернуть свои деньги, приняв участие в новой пирамиде!
@In4security
На фоне очередной череды нерабочих дней мы фиксируем резкое увеличение фишинговых рассылок с информацией о денежных переводах.
Сама по себе схема существует уже несколько лет и является одним из вариантов мошенничеств с социальными выплатами или лотереями. Жертве сообщают, что на её имя пришел денежный перевод, вот только чтобы получить его, следует оплатить комиссию «за биллинг», для чего потребуется ввести данные банковской карты.
Сообщения рассылаются по электронной почте. При этом злоумышленники используют различные способы защиты от обнаружения спама: размещают ссылки в файлах на файлообменниках, используют по несколько ресурсов-прокладок и регистрируют домены, не обнаружимые традиционными методами.
Пример рабочего вредоносного ресурса: https://swo.wsafoaw.biz/push.php.
После ввода данных банковской карты и получения сообщения о необходимости оплатить комиссию, жертва попадает на очередной мусорный платежный шлюз, в нашем случае: https://craterlet.xyz/buy/1027?price=348.
Впрочем, такие шлюзы тоже скрываются от лишних глаз. Если вы введете в браузере https://craterlet.xyz, вы увидите… сайт цветочного магазина.
@In4security
Сама по себе схема существует уже несколько лет и является одним из вариантов мошенничеств с социальными выплатами или лотереями. Жертве сообщают, что на её имя пришел денежный перевод, вот только чтобы получить его, следует оплатить комиссию «за биллинг», для чего потребуется ввести данные банковской карты.
Сообщения рассылаются по электронной почте. При этом злоумышленники используют различные способы защиты от обнаружения спама: размещают ссылки в файлах на файлообменниках, используют по несколько ресурсов-прокладок и регистрируют домены, не обнаружимые традиционными методами.
Пример рабочего вредоносного ресурса: https://swo.wsafoaw.biz/push.php.
После ввода данных банковской карты и получения сообщения о необходимости оплатить комиссию, жертва попадает на очередной мусорный платежный шлюз, в нашем случае: https://craterlet.xyz/buy/1027?price=348.
Впрочем, такие шлюзы тоже скрываются от лишних глаз. Если вы введете в браузере https://craterlet.xyz, вы увидите… сайт цветочного магазина.
@In4security
28 октября Марк Цукерберг объявил о глобальном ребрендинге сервисов Facebook и трансформировании их в экосистему Meta. Сеть немедленно отреагировала на это появлением десятков новых доменов с самыми разными сочетаниями слов facebook, fb и meta. Часть из них наверняка зарегистрирована киберсквоттерами, мечтающими о том, что корпорация выкупит у них домен за миллионы, другие домены прогнозируемо будут использованы в целях атак на пользователей крупнейшей мировой соцсети.
Не думаем, что киберсквоттерам повезет. Скорее всего Facebook… вернее Meta зарегистрировал все необходимые домены задолго до мероприятия, однако это прекрасная иллюстрация тому, как оперативно сеть реагирует на новости.
При этом любопытно, что все 3 домена, появившиеся 27 октября, за день до объявления нового названия, зарегистрированы в зоне .RU.
@In4security
Не думаем, что киберсквоттерам повезет. Скорее всего Facebook… вернее Meta зарегистрировал все необходимые домены задолго до мероприятия, однако это прекрасная иллюстрация тому, как оперативно сеть реагирует на новости.
При этом любопытно, что все 3 домена, появившиеся 27 октября, за день до объявления нового названия, зарегистрированы в зоне .RU.
@In4security
На фоне новостей о новых нерабочих днях в России резко вырос интерес к фейковым сертификатам о вакцинации. Количество доменов, эксплуатирующих тематику ковида и госуслуг мгновенно увеличилось на треть по сравнению со средними сентябрьскими и октябрьскими показателями. Выросло и количество предложений приобрести сертификат о вакцинации или результаты ПЦР-теста.
Анализ доменов за минувшие 7 дней наглядно демонстрирует нам пик регистрации 27 октября, за день до вынужденных выходных, когда количество таких доменов увеличилось в 2 раза по сравнению со средними показателями за неделю.
Всего же за прошедшие 7 дней нами было зафиксировано более 200 тематических доменов, ориентированных на российскую аудиторию. Значительная часть выявленных ресурсов маскируется от обнаружения, демонстрируя контент только по уникальной ссылке (сохраненный пример), впрочем, встречаются и более примитивные варианты: https://gosuslugi-116.ru или вообще нелепые поделки с картинкой вместо страницы: https://gosuslugi-cov.ru.
@In4security
Анализ доменов за минувшие 7 дней наглядно демонстрирует нам пик регистрации 27 октября, за день до вынужденных выходных, когда количество таких доменов увеличилось в 2 раза по сравнению со средними показателями за неделю.
Всего же за прошедшие 7 дней нами было зафиксировано более 200 тематических доменов, ориентированных на российскую аудиторию. Значительная часть выявленных ресурсов маскируется от обнаружения, демонстрируя контент только по уникальной ссылке (сохраненный пример), впрочем, встречаются и более примитивные варианты: https://gosuslugi-116.ru или вообще нелепые поделки с картинкой вместо страницы: https://gosuslugi-cov.ru.
@In4security
Forwarded from T.Hunter
#news Хотите заглянуть на внутреннюю кухню создания фейковых ПЦР-тестов? Тут поломался один очень интересный сервис. Сделан жителем Севастополя, который смог реализовать через него уже более 6000 поддельных тестов. Интересно, сможете вы его идентифицировать?
@tomhunter
@tomhunter
В последние годы идет активный перенос сайтов правоохранительных органов на единую площадку, предназначенную для размещения сайтов органов государственной власти. Идея хорошая, но есть один нюанс.
Многие органы гос. власти имели собственные сайты на протяжение десятилетий. Эти сайты создавались и администрировались собственными силами, под них приобретались доменные имена, которые за годы своего существования стали прочно ассоциироваться с их владельцами. Но после переезда на единую площадку они стали не нужны. И если сайт можно удалить, то вот с доменом подобный фокус не выйдет: освободившееся доменное имя вскоре найдет своего владельца.
Сайт Прокуратуры Тамбовской области жил на домене prokuratura-tambov.ru с 2003 года. Статус официального ресурса подтверждался тем, что в последние годы в качестве владельца доменного имени было указано: Бюджетное учреждение "Прокуратура Тамбовской области". Весь жизненный путь сайта можно проследить на соответствующей странице веб-архива.
Но в 2020 году все изменилось. Сайт переехал на новый адрес: https://epp.genproc.gov.ru, а на старом домене появился редирект, просуществовавший там до лета 2021 года. В минувшем августе сайт демонстрировал уже стандартную заглушку хостинга, а 29 сентября истёк срок регистрации домена. Еще спустя месяц домен оказался в свободной продаже и тут же был приобретен перекупщиками, предлагающими его любым желающим по сходной цене.
Проблема в данном случае кроется в том, что за 18 лет существования домена пользователи привыкли к нему и прочно ассоциируют его с сайтом Прокуратуры Тамбовской области. Поэтому любое письмо, отправленное с адреса в этом домене или любое предложение, размещенное на сайте, будут ассоциироваться с органами государственной власти, что без сомнения может быть использовано в самых разных противоправных целях, начиная от отправки запросов от имени Прокуратуры и заканчивая публикацией недостоверной информации и введения в заблуждение граждан. За примером далеко ходить не надо: освободившийся в начале этого года домен prokuratura-krasnodar.ru принадлежал Прокуратуре Краснодарского края с 2007, после чего был оперативно приобретен букмекерской конторой Eurostavka LLC и в течение пары месяцев редиректил пользователей на одно из зеркал запрещенного в России онлайн-казино 1XBET. Несмотря на весь трагизм ситуации – это, пожалуй, один из самых невинных вариантов применения домена прокуратуры.
На наш взгляд, домены, использующиеся для адресации сайтов органов государственной власти на протяжение многих лет, уже сами по себе являются важным информационным активом и не должны уходить в частные руки, ведь это несет угрозу не только простым гражданам, но и в целом подрывает репутацию органов государственной власти.
@In4security
Многие органы гос. власти имели собственные сайты на протяжение десятилетий. Эти сайты создавались и администрировались собственными силами, под них приобретались доменные имена, которые за годы своего существования стали прочно ассоциироваться с их владельцами. Но после переезда на единую площадку они стали не нужны. И если сайт можно удалить, то вот с доменом подобный фокус не выйдет: освободившееся доменное имя вскоре найдет своего владельца.
Сайт Прокуратуры Тамбовской области жил на домене prokuratura-tambov.ru с 2003 года. Статус официального ресурса подтверждался тем, что в последние годы в качестве владельца доменного имени было указано: Бюджетное учреждение "Прокуратура Тамбовской области". Весь жизненный путь сайта можно проследить на соответствующей странице веб-архива.
Но в 2020 году все изменилось. Сайт переехал на новый адрес: https://epp.genproc.gov.ru, а на старом домене появился редирект, просуществовавший там до лета 2021 года. В минувшем августе сайт демонстрировал уже стандартную заглушку хостинга, а 29 сентября истёк срок регистрации домена. Еще спустя месяц домен оказался в свободной продаже и тут же был приобретен перекупщиками, предлагающими его любым желающим по сходной цене.
Проблема в данном случае кроется в том, что за 18 лет существования домена пользователи привыкли к нему и прочно ассоциируют его с сайтом Прокуратуры Тамбовской области. Поэтому любое письмо, отправленное с адреса в этом домене или любое предложение, размещенное на сайте, будут ассоциироваться с органами государственной власти, что без сомнения может быть использовано в самых разных противоправных целях, начиная от отправки запросов от имени Прокуратуры и заканчивая публикацией недостоверной информации и введения в заблуждение граждан. За примером далеко ходить не надо: освободившийся в начале этого года домен prokuratura-krasnodar.ru принадлежал Прокуратуре Краснодарского края с 2007, после чего был оперативно приобретен букмекерской конторой Eurostavka LLC и в течение пары месяцев редиректил пользователей на одно из зеркал запрещенного в России онлайн-казино 1XBET. Несмотря на весь трагизм ситуации – это, пожалуй, один из самых невинных вариантов применения домена прокуратуры.
На наш взгляд, домены, использующиеся для адресации сайтов органов государственной власти на протяжение многих лет, уже сами по себе являются важным информационным активом и не должны уходить в частные руки, ведь это несет угрозу не только простым гражданам, но и в целом подрывает репутацию органов государственной власти.
@In4security
Мы уже неоднократно писали о фейковых опросах от имени различных банков. Настало время «Почта-Банка».
Сам по себе сайт https://poctabank3.ru является классическим представителем своего вида, разве что опрос у него выполнен весьма красочно – с картинками. В остальном же все стандартно: после прохождения опроса вас попросят ввести ФИО, указать телефон и номер карты, затем потребуют 2 раза ввести код из СМС. Первый код – подтверждение авторизации банк-клиента на новом устройстве, второй – привязка его к новому номеру телефона.
Забавно, что СМС-сообщение мошенники обещают прислать в течение 5-10 минут. Это означает, что функция не автоматизирована и на другом конце провода кто-то получит оповещение, после чего будет пытаться вручную войти в онлайн-банк от имени жертвы.
@In4security
Сам по себе сайт https://poctabank3.ru является классическим представителем своего вида, разве что опрос у него выполнен весьма красочно – с картинками. В остальном же все стандартно: после прохождения опроса вас попросят ввести ФИО, указать телефон и номер карты, затем потребуют 2 раза ввести код из СМС. Первый код – подтверждение авторизации банк-клиента на новом устройстве, второй – привязка его к новому номеру телефона.
Забавно, что СМС-сообщение мошенники обещают прислать в течение 5-10 минут. Это означает, что функция не автоматизирована и на другом конце провода кто-то получит оповещение, после чего будет пытаться вручную войти в онлайн-банк от имени жертвы.
@In4security