28 октября Марк Цукерберг объявил о глобальном ребрендинге сервисов Facebook и трансформировании их в экосистему Meta. Сеть немедленно отреагировала на это появлением десятков новых доменов с самыми разными сочетаниями слов facebook, fb и meta. Часть из них наверняка зарегистрирована киберсквоттерами, мечтающими о том, что корпорация выкупит у них домен за миллионы, другие домены прогнозируемо будут использованы в целях атак на пользователей крупнейшей мировой соцсети.
Не думаем, что киберсквоттерам повезет. Скорее всего Facebook… вернее Meta зарегистрировал все необходимые домены задолго до мероприятия, однако это прекрасная иллюстрация тому, как оперативно сеть реагирует на новости.
При этом любопытно, что все 3 домена, появившиеся 27 октября, за день до объявления нового названия, зарегистрированы в зоне .RU.
@In4security
Не думаем, что киберсквоттерам повезет. Скорее всего Facebook… вернее Meta зарегистрировал все необходимые домены задолго до мероприятия, однако это прекрасная иллюстрация тому, как оперативно сеть реагирует на новости.
При этом любопытно, что все 3 домена, появившиеся 27 октября, за день до объявления нового названия, зарегистрированы в зоне .RU.
@In4security
На фоне новостей о новых нерабочих днях в России резко вырос интерес к фейковым сертификатам о вакцинации. Количество доменов, эксплуатирующих тематику ковида и госуслуг мгновенно увеличилось на треть по сравнению со средними сентябрьскими и октябрьскими показателями. Выросло и количество предложений приобрести сертификат о вакцинации или результаты ПЦР-теста.
Анализ доменов за минувшие 7 дней наглядно демонстрирует нам пик регистрации 27 октября, за день до вынужденных выходных, когда количество таких доменов увеличилось в 2 раза по сравнению со средними показателями за неделю.
Всего же за прошедшие 7 дней нами было зафиксировано более 200 тематических доменов, ориентированных на российскую аудиторию. Значительная часть выявленных ресурсов маскируется от обнаружения, демонстрируя контент только по уникальной ссылке (сохраненный пример), впрочем, встречаются и более примитивные варианты: https://gosuslugi-116.ru или вообще нелепые поделки с картинкой вместо страницы: https://gosuslugi-cov.ru.
@In4security
Анализ доменов за минувшие 7 дней наглядно демонстрирует нам пик регистрации 27 октября, за день до вынужденных выходных, когда количество таких доменов увеличилось в 2 раза по сравнению со средними показателями за неделю.
Всего же за прошедшие 7 дней нами было зафиксировано более 200 тематических доменов, ориентированных на российскую аудиторию. Значительная часть выявленных ресурсов маскируется от обнаружения, демонстрируя контент только по уникальной ссылке (сохраненный пример), впрочем, встречаются и более примитивные варианты: https://gosuslugi-116.ru или вообще нелепые поделки с картинкой вместо страницы: https://gosuslugi-cov.ru.
@In4security
Forwarded from T.Hunter
#news Хотите заглянуть на внутреннюю кухню создания фейковых ПЦР-тестов? Тут поломался один очень интересный сервис. Сделан жителем Севастополя, который смог реализовать через него уже более 6000 поддельных тестов. Интересно, сможете вы его идентифицировать?
@tomhunter
@tomhunter
В последние годы идет активный перенос сайтов правоохранительных органов на единую площадку, предназначенную для размещения сайтов органов государственной власти. Идея хорошая, но есть один нюанс.
Многие органы гос. власти имели собственные сайты на протяжение десятилетий. Эти сайты создавались и администрировались собственными силами, под них приобретались доменные имена, которые за годы своего существования стали прочно ассоциироваться с их владельцами. Но после переезда на единую площадку они стали не нужны. И если сайт можно удалить, то вот с доменом подобный фокус не выйдет: освободившееся доменное имя вскоре найдет своего владельца.
Сайт Прокуратуры Тамбовской области жил на домене prokuratura-tambov.ru с 2003 года. Статус официального ресурса подтверждался тем, что в последние годы в качестве владельца доменного имени было указано: Бюджетное учреждение "Прокуратура Тамбовской области". Весь жизненный путь сайта можно проследить на соответствующей странице веб-архива.
Но в 2020 году все изменилось. Сайт переехал на новый адрес: https://epp.genproc.gov.ru, а на старом домене появился редирект, просуществовавший там до лета 2021 года. В минувшем августе сайт демонстрировал уже стандартную заглушку хостинга, а 29 сентября истёк срок регистрации домена. Еще спустя месяц домен оказался в свободной продаже и тут же был приобретен перекупщиками, предлагающими его любым желающим по сходной цене.
Проблема в данном случае кроется в том, что за 18 лет существования домена пользователи привыкли к нему и прочно ассоциируют его с сайтом Прокуратуры Тамбовской области. Поэтому любое письмо, отправленное с адреса в этом домене или любое предложение, размещенное на сайте, будут ассоциироваться с органами государственной власти, что без сомнения может быть использовано в самых разных противоправных целях, начиная от отправки запросов от имени Прокуратуры и заканчивая публикацией недостоверной информации и введения в заблуждение граждан. За примером далеко ходить не надо: освободившийся в начале этого года домен prokuratura-krasnodar.ru принадлежал Прокуратуре Краснодарского края с 2007, после чего был оперативно приобретен букмекерской конторой Eurostavka LLC и в течение пары месяцев редиректил пользователей на одно из зеркал запрещенного в России онлайн-казино 1XBET. Несмотря на весь трагизм ситуации – это, пожалуй, один из самых невинных вариантов применения домена прокуратуры.
На наш взгляд, домены, использующиеся для адресации сайтов органов государственной власти на протяжение многих лет, уже сами по себе являются важным информационным активом и не должны уходить в частные руки, ведь это несет угрозу не только простым гражданам, но и в целом подрывает репутацию органов государственной власти.
@In4security
Многие органы гос. власти имели собственные сайты на протяжение десятилетий. Эти сайты создавались и администрировались собственными силами, под них приобретались доменные имена, которые за годы своего существования стали прочно ассоциироваться с их владельцами. Но после переезда на единую площадку они стали не нужны. И если сайт можно удалить, то вот с доменом подобный фокус не выйдет: освободившееся доменное имя вскоре найдет своего владельца.
Сайт Прокуратуры Тамбовской области жил на домене prokuratura-tambov.ru с 2003 года. Статус официального ресурса подтверждался тем, что в последние годы в качестве владельца доменного имени было указано: Бюджетное учреждение "Прокуратура Тамбовской области". Весь жизненный путь сайта можно проследить на соответствующей странице веб-архива.
Но в 2020 году все изменилось. Сайт переехал на новый адрес: https://epp.genproc.gov.ru, а на старом домене появился редирект, просуществовавший там до лета 2021 года. В минувшем августе сайт демонстрировал уже стандартную заглушку хостинга, а 29 сентября истёк срок регистрации домена. Еще спустя месяц домен оказался в свободной продаже и тут же был приобретен перекупщиками, предлагающими его любым желающим по сходной цене.
Проблема в данном случае кроется в том, что за 18 лет существования домена пользователи привыкли к нему и прочно ассоциируют его с сайтом Прокуратуры Тамбовской области. Поэтому любое письмо, отправленное с адреса в этом домене или любое предложение, размещенное на сайте, будут ассоциироваться с органами государственной власти, что без сомнения может быть использовано в самых разных противоправных целях, начиная от отправки запросов от имени Прокуратуры и заканчивая публикацией недостоверной информации и введения в заблуждение граждан. За примером далеко ходить не надо: освободившийся в начале этого года домен prokuratura-krasnodar.ru принадлежал Прокуратуре Краснодарского края с 2007, после чего был оперативно приобретен букмекерской конторой Eurostavka LLC и в течение пары месяцев редиректил пользователей на одно из зеркал запрещенного в России онлайн-казино 1XBET. Несмотря на весь трагизм ситуации – это, пожалуй, один из самых невинных вариантов применения домена прокуратуры.
На наш взгляд, домены, использующиеся для адресации сайтов органов государственной власти на протяжение многих лет, уже сами по себе являются важным информационным активом и не должны уходить в частные руки, ведь это несет угрозу не только простым гражданам, но и в целом подрывает репутацию органов государственной власти.
@In4security
Мы уже неоднократно писали о фейковых опросах от имени различных банков. Настало время «Почта-Банка».
Сам по себе сайт https://poctabank3.ru является классическим представителем своего вида, разве что опрос у него выполнен весьма красочно – с картинками. В остальном же все стандартно: после прохождения опроса вас попросят ввести ФИО, указать телефон и номер карты, затем потребуют 2 раза ввести код из СМС. Первый код – подтверждение авторизации банк-клиента на новом устройстве, второй – привязка его к новому номеру телефона.
Забавно, что СМС-сообщение мошенники обещают прислать в течение 5-10 минут. Это означает, что функция не автоматизирована и на другом конце провода кто-то получит оповещение, после чего будет пытаться вручную войти в онлайн-банк от имени жертвы.
@In4security
Сам по себе сайт https://poctabank3.ru является классическим представителем своего вида, разве что опрос у него выполнен весьма красочно – с картинками. В остальном же все стандартно: после прохождения опроса вас попросят ввести ФИО, указать телефон и номер карты, затем потребуют 2 раза ввести код из СМС. Первый код – подтверждение авторизации банк-клиента на новом устройстве, второй – привязка его к новому номеру телефона.
Забавно, что СМС-сообщение мошенники обещают прислать в течение 5-10 минут. Это означает, что функция не автоматизирована и на другом конце провода кто-то получит оповещение, после чего будет пытаться вручную войти в онлайн-банк от имени жертвы.
@In4security
На фоне новостей о запуске «Северного потока-2» и отказе «Газпрома» резервировать дополнительные мощности для транзита газа через Украину и Польшу в сети появилось более сотни доменов вида:
EUGAS4EU.ru
EUGASFOREU.ru
EUGASTRANSPORT.ru
EUORPE-NEEDS-GAS.ru
EUROPA-GAS.ru
EUROPE4GAS.ru
EUROPEANGASENERGY.ru
EUROPEANGASLINE.ru
EUROPEANGASLINES.ru
EUROPENEEDSGAS.ru
GERMANGAS4EU.ru
GERMANGASSTREAM.ru
GAS4EU.ru
GAS4EUROPE.ru
GASFOREU.ru
GASLINE4EU.ru
Каждый такой домен зарегистрирован в 5 доменных зонах: .RU, CH, .UK, .INFO, .ORG.
Анализ типовых сценариев интернет-мошенничеств подсказывает, что такие домены могут использоваться в процессе атак по типу «ложное партнерство» и Russian Oil Scam, в рамках которых мошенники пытаются заключить многомиллионные контракты от имени крупных компаний нефтегазовой отрасли.
Но не в этот раз. Как выяснилось, все доменные имена зарегистрированы швейцарской компанией Global IP action AG, специализирующейся на защите бренда, управлении портфелями доменных имен и борьбе с фишингом, а само мероприятие, по видимому, направлено на защиту интересов швейцарской дочки «Газпрома» Nord Stream 2 AG, занимающейся строительством «Северного Потока-2».
Если это так, то мы ценим труды наших швейцарских коллег, но подобную стратегию борьбы с фишингом видим крайне неэффективной, ведь фишинговых комбинаций, обыгрывающих транзит газа в Европу тысячи, зарегистрировать все возможные сочетания во всех доменных зонах точно не удастся. Впрочем, подобная стратегия может помочь защититься от киберсквоттеров и зарезервировать потенциально интересные для клиента домены в целях возможного дальнейшего использования.
@In4security
EUGAS4EU.ru
EUGASFOREU.ru
EUGASTRANSPORT.ru
EUORPE-NEEDS-GAS.ru
EUROPA-GAS.ru
EUROPE4GAS.ru
EUROPEANGASENERGY.ru
EUROPEANGASLINE.ru
EUROPEANGASLINES.ru
EUROPENEEDSGAS.ru
GERMANGAS4EU.ru
GERMANGASSTREAM.ru
GAS4EU.ru
GAS4EUROPE.ru
GASFOREU.ru
GASLINE4EU.ru
Каждый такой домен зарегистрирован в 5 доменных зонах: .RU, CH, .UK, .INFO, .ORG.
Анализ типовых сценариев интернет-мошенничеств подсказывает, что такие домены могут использоваться в процессе атак по типу «ложное партнерство» и Russian Oil Scam, в рамках которых мошенники пытаются заключить многомиллионные контракты от имени крупных компаний нефтегазовой отрасли.
Но не в этот раз. Как выяснилось, все доменные имена зарегистрированы швейцарской компанией Global IP action AG, специализирующейся на защите бренда, управлении портфелями доменных имен и борьбе с фишингом, а само мероприятие, по видимому, направлено на защиту интересов швейцарской дочки «Газпрома» Nord Stream 2 AG, занимающейся строительством «Северного Потока-2».
Если это так, то мы ценим труды наших швейцарских коллег, но подобную стратегию борьбы с фишингом видим крайне неэффективной, ведь фишинговых комбинаций, обыгрывающих транзит газа в Европу тысячи, зарегистрировать все возможные сочетания во всех доменных зонах точно не удастся. Впрочем, подобная стратегия может помочь защититься от киберсквоттеров и зарезервировать потенциально интересные для клиента домены в целях возможного дальнейшего использования.
@In4security
2 года назад мы находили фейковый сайт сервиса «Безопасная сделка» от Сбербанка, теперь же пришла очередь Альфабанка. Сайт https://alfabank-sdelka.ru еще не доделан, кнопки на нем не работают, но намерения его создателей вполне понятны. Фейковый аккредитив – не так часто встречающееся в мире российского фишинга явление, в отличие от нечистых на руку гарантов в даркнете, однако схема вполне рабочая, тем более что гарант обычно требуется тогда, когда сделка заключается на достаточно крупную сумму.
С учетом того, что сайт был обнаружен еще до того, как его начали использовать по назначению, можно оперативно «убить» его, тем самым предотвратив появление жертв.
@In4security
С учетом того, что сайт был обнаружен еще до того, как его начали использовать по назначению, можно оперативно «убить» его, тем самым предотвратив появление жертв.
@In4security
В начале августа мы делали подборку фишинговых сайтов, нацеленных на посетителе соцсети «Вконтакте». Если пропустили, рекомендуем с ней ознакомиться, тем более, что некоторые фишинговые сайты из той подборки живы до сих пор. Именно тогда мы впервые столкнулись с фейковой страницей PornHub, предназначенной для кражи логинов и паролей от VK.
С тех пор мало что изменилось и фейковый PornHub остается отличной приманкой для кражи паролей, тем более в период пандемии и самоизоляции, когда люди думают, чем бы заняться долгими осенними вечерами.
С начала ноября в сети появилось уже более 60 доменов, эксплуатирующих бренд PornHub, но наибольший интерес у нас вызвали два следующих фишинговых ресурса https://ponhubpublic.ru и https://porn-hub-nastyashiskina.ru. Они интересны забавным артефактом в коде страницы в виде невидимого блока с текстом: «…Противоположная точка зрения подразумевает, что сторонники тоталитаризма в науке могут быть объективно рассмотрены соответствующими инстанциями…».
Данный текст встречается в качестве стандартного текста для заполнения полей заготовки сайта на самых разных ресурсах, включая сайт посвященный Владимиру Далю: https://xn----7sbbflb0aaxhg3c8j.xn--p1ai/novosti/tema-dnya/, сайт по продаже мангалов: https://xn----8sbalwgfofl0ama0a.xn--p1ai/products/koptilnya-angler и прочие. На фишинговом сайте же он не несет никакой нагрузки.
Еще интереснее выглядит страница авторизации VK, доступная после нажатия соответствующей кнопки. Её код обфусцирован, содержит огромное количество неотображаемых блоков, заполненных произвольными терминами, и при этом не имеет ни одного ключевого слова, связанного с соцсетью. Вероятнее всего это сделано для того, чтобы автоматизированная система поиска, которая спарсит страницу, не нашла на ней признаков угрозы.
Но парсинг страницы – это всего лишь одна из 5 основных методик выявления ключевых маркеров фишинга, так что нас подобными трюками не обмануть.
@In4security
С тех пор мало что изменилось и фейковый PornHub остается отличной приманкой для кражи паролей, тем более в период пандемии и самоизоляции, когда люди думают, чем бы заняться долгими осенними вечерами.
С начала ноября в сети появилось уже более 60 доменов, эксплуатирующих бренд PornHub, но наибольший интерес у нас вызвали два следующих фишинговых ресурса https://ponhubpublic.ru и https://porn-hub-nastyashiskina.ru. Они интересны забавным артефактом в коде страницы в виде невидимого блока с текстом: «…Противоположная точка зрения подразумевает, что сторонники тоталитаризма в науке могут быть объективно рассмотрены соответствующими инстанциями…».
Данный текст встречается в качестве стандартного текста для заполнения полей заготовки сайта на самых разных ресурсах, включая сайт посвященный Владимиру Далю: https://xn----7sbbflb0aaxhg3c8j.xn--p1ai/novosti/tema-dnya/, сайт по продаже мангалов: https://xn----8sbalwgfofl0ama0a.xn--p1ai/products/koptilnya-angler и прочие. На фишинговом сайте же он не несет никакой нагрузки.
Еще интереснее выглядит страница авторизации VK, доступная после нажатия соответствующей кнопки. Её код обфусцирован, содержит огромное количество неотображаемых блоков, заполненных произвольными терминами, и при этом не имеет ни одного ключевого слова, связанного с соцсетью. Вероятнее всего это сделано для того, чтобы автоматизированная система поиска, которая спарсит страницу, не нашла на ней признаков угрозы.
Но парсинг страницы – это всего лишь одна из 5 основных методик выявления ключевых маркеров фишинга, так что нас подобными трюками не обмануть.
@In4security
Telegraph
Вы продаете рыбов? Нет, мы их ловим соцсетями
Продолжаем рубрику: «Как нынче взламывают учетки Вконтакте». Почему мы затронули эту тему? Да просто в июле было зарегистрировано примерно 200 ну очень подозрительных доменов, использующих частицы vk, vkontakte и т.д., и на многих из них висят вполне живые…
В преддверии 11.11 наши старые «друзья», создающие клоны Ozon.ru, решили переключиться на Wildberries: https://wildberries-promo.ru
https://wildberies-sale.ru
https://wildberries-wb.ru
Схема такая же, что и раньше: для получения скидки следует написать боту, который в настоящий момент использует номер +79778633217, а тот уже пришлет ссылку на фишинговую страницу оплаты покупки. Для создания сайтов использован все тот же конструктор Tilda, а дизайн… они просто взяли свой клон Озона и назвали его Wildberries. При этом все ссылки кроме заветной кнопки ведут на сохраненную в веб-архиве страницу официального сайта Wildberries по состоянию на 22 сентября (и при этом не работают). В коде страницы можно найти еще упоминание доменов Wildberries-discount.ru и Wildberries-30.ru (данные домены в настоящее время свободны).
В целом же сайты являются довольно грубой поделкой, что, впрочем, не помешает им найти свою целевую аудиторию даже в таком виде.
@In4security
https://wildberies-sale.ru
https://wildberries-wb.ru
Схема такая же, что и раньше: для получения скидки следует написать боту, который в настоящий момент использует номер +79778633217, а тот уже пришлет ссылку на фишинговую страницу оплаты покупки. Для создания сайтов использован все тот же конструктор Tilda, а дизайн… они просто взяли свой клон Озона и назвали его Wildberries. При этом все ссылки кроме заветной кнопки ведут на сохраненную в веб-архиве страницу официального сайта Wildberries по состоянию на 22 сентября (и при этом не работают). В коде страницы можно найти еще упоминание доменов Wildberries-discount.ru и Wildberries-30.ru (данные домены в настоящее время свободны).
В целом же сайты являются довольно грубой поделкой, что, впрочем, не помешает им найти свою целевую аудиторию даже в таком виде.
@In4security
«Северный поток 2» еще не успели запустить, а мошенники уже предлагают на нем зарабатывать. Схема хорошо известна, это все та же история про то, что «правительство разрешило россиянам торговать газом», о которой мы уже неоднократно писали. Только теперь эксплуатируется новая модная история, которая у всех на слуху: https://ssev.nevprofmax.site/index.html.
После регистрации жертва попадет на страницу фейковой валютной биржи, которая уже несколько лет переезжает с домена на домен, попутно меняя свое название. В данном случае она называется Datum Finance Limited и располагается по адресу: https://webtrader.datum-finance-limited.com
Самое забавное в этой ситуации то, что биржа эта – валютная и газом там и не пахнет, но кого волнуют такие мелочи?
@In4security
После регистрации жертва попадет на страницу фейковой валютной биржи, которая уже несколько лет переезжает с домена на домен, попутно меняя свое название. В данном случае она называется Datum Finance Limited и располагается по адресу: https://webtrader.datum-finance-limited.com
Самое забавное в этой ситуации то, что биржа эта – валютная и газом там и не пахнет, но кого волнуют такие мелочи?
@In4security
Персональные данные людей, оформивших ЭЦП, находятся в безопасности? Как выяснилось, не всегда.
Все дело в том, что сертификат ключа проверки ЭЦП содержит массу интересных данных, например, ОГРН, СНИЛС, ФИО и email лица, которому выдан сертификат, а в случае, если человек является индивидуальным предпринимателем, еще и его домашний адрес.
В обычных условиях эти данные доступны разве что удостоверяющему центру, но что делать, если требуется проверить, является ли сертификат действительным? И вот тут все зависит от подхода удостоверяющего центра.
Подход здорового человека: обработка запросов на проверку серийного номера сертификата.
Подход курильщика: просто взять и выложить в общий доступ все выданные удостоверяющим центром сертификаты, включая те, срок действия которых давно истек.
Именно второй путь выбрали такие организации, как Удостоверяющий центр ГКУ ЛО «ОЭП» и ООО «АНК», на страницах которых выложены десятки тысяч сертификатов, содержащих все сопутствующие персональные данные. И если в случае с «АНК» (>3 тысяч сертификатов в общем доступе) это можно объяснить ошибкой в настройке веб-сервера, которая привела к возможности индексации файлов, то в случае с ГКУ ЛО «ОЭП» (без малого 47 тысяч сертификатов в общем доступе) все интереснее – это полноценный реестр с возможностью поиска по имени или организации, а также скачивания сертификата.
И если такой подход был в порядке вещей лет 10 назад, когда безопасность персональных данных мало кого волновала, то сейчас это выглядит, мягко говоря, дико. Для того, чтобы скачать все сертификаты, не требуется быть хакером, равно как и для того, чтобы автоматически вытащить из них необходимые сведения об ответственных лицах самых разных частных и государственных организаций. Так почему же мы потом удивляемся, когда на адрес электронной почты гендира или главного бухгалтера прилетает фишинговое письмо? Или когда организация оказывается втянута в мошенническую схему, связанную с ложным партнерством...
Ну и естественно, такие данные могут стать подарком для любого сейлз-менеджера, шутка ли, 50 тысяч адресов электронной почты руководителей?
@In4security
Все дело в том, что сертификат ключа проверки ЭЦП содержит массу интересных данных, например, ОГРН, СНИЛС, ФИО и email лица, которому выдан сертификат, а в случае, если человек является индивидуальным предпринимателем, еще и его домашний адрес.
В обычных условиях эти данные доступны разве что удостоверяющему центру, но что делать, если требуется проверить, является ли сертификат действительным? И вот тут все зависит от подхода удостоверяющего центра.
Подход здорового человека: обработка запросов на проверку серийного номера сертификата.
Подход курильщика: просто взять и выложить в общий доступ все выданные удостоверяющим центром сертификаты, включая те, срок действия которых давно истек.
Именно второй путь выбрали такие организации, как Удостоверяющий центр ГКУ ЛО «ОЭП» и ООО «АНК», на страницах которых выложены десятки тысяч сертификатов, содержащих все сопутствующие персональные данные. И если в случае с «АНК» (>3 тысяч сертификатов в общем доступе) это можно объяснить ошибкой в настройке веб-сервера, которая привела к возможности индексации файлов, то в случае с ГКУ ЛО «ОЭП» (без малого 47 тысяч сертификатов в общем доступе) все интереснее – это полноценный реестр с возможностью поиска по имени или организации, а также скачивания сертификата.
И если такой подход был в порядке вещей лет 10 назад, когда безопасность персональных данных мало кого волновала, то сейчас это выглядит, мягко говоря, дико. Для того, чтобы скачать все сертификаты, не требуется быть хакером, равно как и для того, чтобы автоматически вытащить из них необходимые сведения об ответственных лицах самых разных частных и государственных организаций. Так почему же мы потом удивляемся, когда на адрес электронной почты гендира или главного бухгалтера прилетает фишинговое письмо? Или когда организация оказывается втянута в мошенническую схему, связанную с ложным партнерством...
Ну и естественно, такие данные могут стать подарком для любого сейлз-менеджера, шутка ли, 50 тысяч адресов электронной почты руководителей?
@In4security
Реестр сертификатов ГКУ ЛО «ОЭП» уже всплывал в публикациях, посвященных безопасности персональных данных в сети. Как видите, это не мешает ему успешно работать. Последние сертификаты выданы… сегодня!
@In4security
@In4security
В октябре-ноябре 2021 года количество доменов со словом «Кинопоиск» выросло в 2 раза по сравнению с показателями августа и сентября. Причиной такого роста скорее всего явилась нерабочая ноябрьская неделя, а также действующие в различных регионах ограничения на работу кинотеатров.
Подавляющее большинство выявленных доменов сформировано по принципу добавления одной или нескольких букв до или после слова «Кинопоиск». Такие ресурсы используются нелегальными онлайн-кинотеатрами, позволяющими посмотреть или скачать фильмы из каталога «Кинопоиска». По мере блокирования доменов их владельцы регистрируют новые, двигаясь все дальше по алфавиту.
Данная схема активно рекламируется в Telegram, сообщества подобных нелегальных онлайн-кинотеатров насчитывают десятки тысяч участников.
На фоне однотипных сайтов выделяется полноценный фейковый кинотеатр https://kinopoisk.cyou, гордо именующий себя «Кинопоиск v. 2». Впрочем, он толком не работает, так что в данном случае правообладателям не о чем беспокоиться.
@In4security
Подавляющее большинство выявленных доменов сформировано по принципу добавления одной или нескольких букв до или после слова «Кинопоиск». Такие ресурсы используются нелегальными онлайн-кинотеатрами, позволяющими посмотреть или скачать фильмы из каталога «Кинопоиска». По мере блокирования доменов их владельцы регистрируют новые, двигаясь все дальше по алфавиту.
Данная схема активно рекламируется в Telegram, сообщества подобных нелегальных онлайн-кинотеатров насчитывают десятки тысяч участников.
На фоне однотипных сайтов выделяется полноценный фейковый кинотеатр https://kinopoisk.cyou, гордо именующий себя «Кинопоиск v. 2». Впрочем, он толком не работает, так что в данном случае правообладателям не о чем беспокоиться.
@In4security
Последнее время мы фиксируем сайты, публикующие фейковые новости от имени российских СМИ. Свежие примеры – сайты lenta.pw и meduza.press, использовавшиеся для распространения информации, не имеющей отношения к реальности.
Сайты эти интересны тем, что их домены были зарегистрированы с разницей в 1 секунду, а сами ресурсы использовали Cloud Flare для сокрытия реальных IP-адресов.
Визуально они копировали страницы известных СМИ, при этом необходимый контент был доступен лишь по уникальной ссылке, при попытке перейти на сайт по доменному имени пользователь попадал на официальный сайт СМИ.
Тематика сообщений была призвана повлиять на котировки ценных бумаг атакуемых компаний. Например, статья на фейковой Lenta.ru содержала сведения о якобы планируемом поглощении СДЭК со стороны Сбербанка.
Оба ресурса были оперативно заблокированы. Данная практика свидетельствует об увеличивающемся количестве попыток манипулирования финансовым рынком через публикацию недостоверной информации на фейковых ресурсах.
@In4security
Сайты эти интересны тем, что их домены были зарегистрированы с разницей в 1 секунду, а сами ресурсы использовали Cloud Flare для сокрытия реальных IP-адресов.
Визуально они копировали страницы известных СМИ, при этом необходимый контент был доступен лишь по уникальной ссылке, при попытке перейти на сайт по доменному имени пользователь попадал на официальный сайт СМИ.
Тематика сообщений была призвана повлиять на котировки ценных бумаг атакуемых компаний. Например, статья на фейковой Lenta.ru содержала сведения о якобы планируемом поглощении СДЭК со стороны Сбербанка.
Оба ресурса были оперативно заблокированы. Данная практика свидетельствует об увеличивающемся количестве попыток манипулирования финансовым рынком через публикацию недостоверной информации на фейковых ресурсах.
@In4security