«Северный поток 2» еще не успели запустить, а мошенники уже предлагают на нем зарабатывать. Схема хорошо известна, это все та же история про то, что «правительство разрешило россиянам торговать газом», о которой мы уже неоднократно писали. Только теперь эксплуатируется новая модная история, которая у всех на слуху: https://ssev.nevprofmax.site/index.html.
После регистрации жертва попадет на страницу фейковой валютной биржи, которая уже несколько лет переезжает с домена на домен, попутно меняя свое название. В данном случае она называется Datum Finance Limited и располагается по адресу: https://webtrader.datum-finance-limited.com
Самое забавное в этой ситуации то, что биржа эта – валютная и газом там и не пахнет, но кого волнуют такие мелочи?
@In4security
После регистрации жертва попадет на страницу фейковой валютной биржи, которая уже несколько лет переезжает с домена на домен, попутно меняя свое название. В данном случае она называется Datum Finance Limited и располагается по адресу: https://webtrader.datum-finance-limited.com
Самое забавное в этой ситуации то, что биржа эта – валютная и газом там и не пахнет, но кого волнуют такие мелочи?
@In4security
Персональные данные людей, оформивших ЭЦП, находятся в безопасности? Как выяснилось, не всегда.
Все дело в том, что сертификат ключа проверки ЭЦП содержит массу интересных данных, например, ОГРН, СНИЛС, ФИО и email лица, которому выдан сертификат, а в случае, если человек является индивидуальным предпринимателем, еще и его домашний адрес.
В обычных условиях эти данные доступны разве что удостоверяющему центру, но что делать, если требуется проверить, является ли сертификат действительным? И вот тут все зависит от подхода удостоверяющего центра.
Подход здорового человека: обработка запросов на проверку серийного номера сертификата.
Подход курильщика: просто взять и выложить в общий доступ все выданные удостоверяющим центром сертификаты, включая те, срок действия которых давно истек.
Именно второй путь выбрали такие организации, как Удостоверяющий центр ГКУ ЛО «ОЭП» и ООО «АНК», на страницах которых выложены десятки тысяч сертификатов, содержащих все сопутствующие персональные данные. И если в случае с «АНК» (>3 тысяч сертификатов в общем доступе) это можно объяснить ошибкой в настройке веб-сервера, которая привела к возможности индексации файлов, то в случае с ГКУ ЛО «ОЭП» (без малого 47 тысяч сертификатов в общем доступе) все интереснее – это полноценный реестр с возможностью поиска по имени или организации, а также скачивания сертификата.
И если такой подход был в порядке вещей лет 10 назад, когда безопасность персональных данных мало кого волновала, то сейчас это выглядит, мягко говоря, дико. Для того, чтобы скачать все сертификаты, не требуется быть хакером, равно как и для того, чтобы автоматически вытащить из них необходимые сведения об ответственных лицах самых разных частных и государственных организаций. Так почему же мы потом удивляемся, когда на адрес электронной почты гендира или главного бухгалтера прилетает фишинговое письмо? Или когда организация оказывается втянута в мошенническую схему, связанную с ложным партнерством...
Ну и естественно, такие данные могут стать подарком для любого сейлз-менеджера, шутка ли, 50 тысяч адресов электронной почты руководителей?
@In4security
Все дело в том, что сертификат ключа проверки ЭЦП содержит массу интересных данных, например, ОГРН, СНИЛС, ФИО и email лица, которому выдан сертификат, а в случае, если человек является индивидуальным предпринимателем, еще и его домашний адрес.
В обычных условиях эти данные доступны разве что удостоверяющему центру, но что делать, если требуется проверить, является ли сертификат действительным? И вот тут все зависит от подхода удостоверяющего центра.
Подход здорового человека: обработка запросов на проверку серийного номера сертификата.
Подход курильщика: просто взять и выложить в общий доступ все выданные удостоверяющим центром сертификаты, включая те, срок действия которых давно истек.
Именно второй путь выбрали такие организации, как Удостоверяющий центр ГКУ ЛО «ОЭП» и ООО «АНК», на страницах которых выложены десятки тысяч сертификатов, содержащих все сопутствующие персональные данные. И если в случае с «АНК» (>3 тысяч сертификатов в общем доступе) это можно объяснить ошибкой в настройке веб-сервера, которая привела к возможности индексации файлов, то в случае с ГКУ ЛО «ОЭП» (без малого 47 тысяч сертификатов в общем доступе) все интереснее – это полноценный реестр с возможностью поиска по имени или организации, а также скачивания сертификата.
И если такой подход был в порядке вещей лет 10 назад, когда безопасность персональных данных мало кого волновала, то сейчас это выглядит, мягко говоря, дико. Для того, чтобы скачать все сертификаты, не требуется быть хакером, равно как и для того, чтобы автоматически вытащить из них необходимые сведения об ответственных лицах самых разных частных и государственных организаций. Так почему же мы потом удивляемся, когда на адрес электронной почты гендира или главного бухгалтера прилетает фишинговое письмо? Или когда организация оказывается втянута в мошенническую схему, связанную с ложным партнерством...
Ну и естественно, такие данные могут стать подарком для любого сейлз-менеджера, шутка ли, 50 тысяч адресов электронной почты руководителей?
@In4security
Реестр сертификатов ГКУ ЛО «ОЭП» уже всплывал в публикациях, посвященных безопасности персональных данных в сети. Как видите, это не мешает ему успешно работать. Последние сертификаты выданы… сегодня!
@In4security
@In4security
В октябре-ноябре 2021 года количество доменов со словом «Кинопоиск» выросло в 2 раза по сравнению с показателями августа и сентября. Причиной такого роста скорее всего явилась нерабочая ноябрьская неделя, а также действующие в различных регионах ограничения на работу кинотеатров.
Подавляющее большинство выявленных доменов сформировано по принципу добавления одной или нескольких букв до или после слова «Кинопоиск». Такие ресурсы используются нелегальными онлайн-кинотеатрами, позволяющими посмотреть или скачать фильмы из каталога «Кинопоиска». По мере блокирования доменов их владельцы регистрируют новые, двигаясь все дальше по алфавиту.
Данная схема активно рекламируется в Telegram, сообщества подобных нелегальных онлайн-кинотеатров насчитывают десятки тысяч участников.
На фоне однотипных сайтов выделяется полноценный фейковый кинотеатр https://kinopoisk.cyou, гордо именующий себя «Кинопоиск v. 2». Впрочем, он толком не работает, так что в данном случае правообладателям не о чем беспокоиться.
@In4security
Подавляющее большинство выявленных доменов сформировано по принципу добавления одной или нескольких букв до или после слова «Кинопоиск». Такие ресурсы используются нелегальными онлайн-кинотеатрами, позволяющими посмотреть или скачать фильмы из каталога «Кинопоиска». По мере блокирования доменов их владельцы регистрируют новые, двигаясь все дальше по алфавиту.
Данная схема активно рекламируется в Telegram, сообщества подобных нелегальных онлайн-кинотеатров насчитывают десятки тысяч участников.
На фоне однотипных сайтов выделяется полноценный фейковый кинотеатр https://kinopoisk.cyou, гордо именующий себя «Кинопоиск v. 2». Впрочем, он толком не работает, так что в данном случае правообладателям не о чем беспокоиться.
@In4security
Последнее время мы фиксируем сайты, публикующие фейковые новости от имени российских СМИ. Свежие примеры – сайты lenta.pw и meduza.press, использовавшиеся для распространения информации, не имеющей отношения к реальности.
Сайты эти интересны тем, что их домены были зарегистрированы с разницей в 1 секунду, а сами ресурсы использовали Cloud Flare для сокрытия реальных IP-адресов.
Визуально они копировали страницы известных СМИ, при этом необходимый контент был доступен лишь по уникальной ссылке, при попытке перейти на сайт по доменному имени пользователь попадал на официальный сайт СМИ.
Тематика сообщений была призвана повлиять на котировки ценных бумаг атакуемых компаний. Например, статья на фейковой Lenta.ru содержала сведения о якобы планируемом поглощении СДЭК со стороны Сбербанка.
Оба ресурса были оперативно заблокированы. Данная практика свидетельствует об увеличивающемся количестве попыток манипулирования финансовым рынком через публикацию недостоверной информации на фейковых ресурсах.
@In4security
Сайты эти интересны тем, что их домены были зарегистрированы с разницей в 1 секунду, а сами ресурсы использовали Cloud Flare для сокрытия реальных IP-адресов.
Визуально они копировали страницы известных СМИ, при этом необходимый контент был доступен лишь по уникальной ссылке, при попытке перейти на сайт по доменному имени пользователь попадал на официальный сайт СМИ.
Тематика сообщений была призвана повлиять на котировки ценных бумаг атакуемых компаний. Например, статья на фейковой Lenta.ru содержала сведения о якобы планируемом поглощении СДЭК со стороны Сбербанка.
Оба ресурса были оперативно заблокированы. Данная практика свидетельствует об увеличивающемся количестве попыток манипулирования финансовым рынком через публикацию недостоверной информации на фейковых ресурсах.
@In4security
Сколько фейковых интернет-магазинов может создать один человек за 3 месяца? 10? 20? На самом деле, куда больше. О том, насколько тщательно мошенники подготовились к черной пятнице и какое отношение к этому имеет славный город Расчленоград, читайте в нашем новом материале: https://te.legra.ph/ScamStation-11-24
@In4security
@In4security
Telegraph
ScamStation
Осенью 2020 года мы начали фиксировать массовое появление фейковых сайтов по продаже Sony PlayStation 5. На фоне всеобщего ажиотажа вокруг выхода новой версии консоли их количество выросло в разы. Спустя год ничего особенно не изменилось, мы по прежнему массово…
Мы зафиксировали начало массированной фишинговой атаки, нацеленной на клиентов крупнейших российских банков.
Используя типовые шаблоны, вроде сайтов бюро переводов или студий обучения быстрому чтению, злоумышленники скрывают вредоносный контент от обнаружения.
Впрочем, применяемые нами механизмы машинного обучения позволяют без труда обнаруживать и оперативно блокировать подобного рода ресурсы.
@In4security
Используя типовые шаблоны, вроде сайтов бюро переводов или студий обучения быстрому чтению, злоумышленники скрывают вредоносный контент от обнаружения.
Впрочем, применяемые нами механизмы машинного обучения позволяют без труда обнаруживать и оперативно блокировать подобного рода ресурсы.
@In4security
Если вы устали искать дропов в Даркнете и на Авито стандартными методами, то можно использовать более продвинутые идеи, например вариант mystery businessman. Именно к такой мысли скорее всего пришел уроженец Украины Свечинский Артем Владиславович, пытаясь последние 5 лет реализовать себя через сайт https://businessprocess.biz, на котором он предлагает уникальную программу VipVip (цитата с сайта): «каждому предпринимателю, каждой точке продаж в течение 30 минут БЕСПЛАТНО создать приложение, которое будет доступно мгновенно в App Store и Google Play...»; уникальный прибор для диагностики всего организма WebWellness и уникальный токен VipGold. К сожалению, ничего кроме негативных отзывов в Интернете он не заработал. Успешный успех уже не успешен.
И вот Свечинский придумал новый маркетинговый ход по привлечению дропов, обещая заплатить до 45 000 рублей (но это не в договоре, а на сайте) за тайную проверку банков из топ-20.
Проверка тайного покупателя заключается в простых шагах.
1 – Зарегистрировать ИП или ООО
2 – Открыть счет в банке
3 – Передать ЭЦП на электронном носителе
4 – Закрыть ИП или ООО
Именно об этом говорится в договоре, размещенном на свежем сайте: https://secretentrepreneur.ru/ (сам текст договора по ссылке (https://docs.google.com/document/d/1Nyef30e2YHEmu6uYyf1H-76bJmBauoBi). Помимо всего прочего договор содержит обязательство оплатить 5 000 рублей за услуги регистрации и оформление ЭПЦ, но если клиент выполнит все требования заказчика в рамках проекта «Тайный предприниматель», оплачивать ничего не потребуется
Деньги любят тишину как мы знаем, поэтому в соответствии с п.п. 2.1.7, 2.2.2, 3.1 и 3.2. Договора Заказчик и Исполнитель обязуются не раскрывать никакой информации третьим лицам, даже государственным органам. Первое правило «Тайного предпринимателя»: никому не говори, что ты «Тайный предприниматель».
Думаю, нашим читателям не нужно рассказывать, как подобные юрлица можно использовать для отмывания денег через расчетные счета, а адрес регистрации Исполнителя в лице ООО «Бизнес Процесс Технологии» (ИНН 2000000325, ОГРН 1212000000156 от 21 января 2021 года): Чеченская Республика, г. Грозный, проспект Имени Хусейна Абубакаровича Исаева д.36, офис 7, как бы намекает на то, что приезжать в офис с вопросом: где мои деньги, пожалуй, не стоит.
@In4security
И вот Свечинский придумал новый маркетинговый ход по привлечению дропов, обещая заплатить до 45 000 рублей (но это не в договоре, а на сайте) за тайную проверку банков из топ-20.
Проверка тайного покупателя заключается в простых шагах.
1 – Зарегистрировать ИП или ООО
2 – Открыть счет в банке
3 – Передать ЭЦП на электронном носителе
4 – Закрыть ИП или ООО
Именно об этом говорится в договоре, размещенном на свежем сайте: https://secretentrepreneur.ru/ (сам текст договора по ссылке (https://docs.google.com/document/d/1Nyef30e2YHEmu6uYyf1H-76bJmBauoBi). Помимо всего прочего договор содержит обязательство оплатить 5 000 рублей за услуги регистрации и оформление ЭПЦ, но если клиент выполнит все требования заказчика в рамках проекта «Тайный предприниматель», оплачивать ничего не потребуется
Деньги любят тишину как мы знаем, поэтому в соответствии с п.п. 2.1.7, 2.2.2, 3.1 и 3.2. Договора Заказчик и Исполнитель обязуются не раскрывать никакой информации третьим лицам, даже государственным органам. Первое правило «Тайного предпринимателя»: никому не говори, что ты «Тайный предприниматель».
Думаю, нашим читателям не нужно рассказывать, как подобные юрлица можно использовать для отмывания денег через расчетные счета, а адрес регистрации Исполнителя в лице ООО «Бизнес Процесс Технологии» (ИНН 2000000325, ОГРН 1212000000156 от 21 января 2021 года): Чеченская Республика, г. Грозный, проспект Имени Хусейна Абубакаровича Исаева д.36, офис 7, как бы намекает на то, что приезжать в офис с вопросом: где мои деньги, пожалуй, не стоит.
@In4security
axioma.life
Axioma life
Axioma Life - компания, которая соединила все преимущества сферы IT и прямых продаж. Сильнейшие профессионалы разработчики и сотни тысяч партнеров со всего мира.
К концу года все любят подводить итоги, вот и мы в поисках кандидата на самый дешевый скам-проект.
Пока в лидерах сайт https://www.netflixstore.ru/ - вложения - 250 рублей.
В эту сумму входят: доменное имя, хостинг и время, затраченное на создание сайта в бесплатном конструкторе.
На сайте в очень простой форме предлагается за 49 рублей приобрести 30-дневную подписку на популярные видео-ресурсы - NETFLIX, MEGOGO, IVI, OKKO, MORE TV. Отправить деньги нужно на Яндекс-кошелек физического лица, причем вне зависимости от того, что вы выберете, в описании платежа будет написано: «Подписка на Okko», и ... ждать.
Конечно же, никаких подтверждений того, что вы приобрели подписку NETFLIX или OKKO - нет.
Просто оплати и жди.
Лао-цзы сказал: «Если кто-то причинил тебе зло, не мсти. Сядь на берегу реки, и вскоре ты увидишь, как мимо тебя проплывет труп твоего врага». А вот подписка не проплывет, гарантируем.
@In4security
Пока в лидерах сайт https://www.netflixstore.ru/ - вложения - 250 рублей.
В эту сумму входят: доменное имя, хостинг и время, затраченное на создание сайта в бесплатном конструкторе.
На сайте в очень простой форме предлагается за 49 рублей приобрести 30-дневную подписку на популярные видео-ресурсы - NETFLIX, MEGOGO, IVI, OKKO, MORE TV. Отправить деньги нужно на Яндекс-кошелек физического лица, причем вне зависимости от того, что вы выберете, в описании платежа будет написано: «Подписка на Okko», и ... ждать.
Конечно же, никаких подтверждений того, что вы приобрели подписку NETFLIX или OKKO - нет.
Просто оплати и жди.
Лао-цзы сказал: «Если кто-то причинил тебе зло, не мсти. Сядь на берегу реки, и вскоре ты увидишь, как мимо тебя проплывет труп твоего врага». А вот подписка не проплывет, гарантируем.
@In4security
Пока одни закупаются алкоголем к новогодним праздникам, другие готовятся бороться с последствиями длинных выходных, массово регистрируя домены, посвященные лечению алкоголизма. Так, в первых числах декабря в зоне .RU появилось более 80 доменов со словом ALKOGOLIZM.
Но не все предпочитают вкладывать деньги в рекламу, некоторые стараются просто устранить конкурентов. 3 декабря в Telegram появился канал, в котором предлагают 70-гигабайтную базу данных 250 тысяч пациентов наркологической клиники Verimed, включающую в себя даже истории болезни. Для рекламы канала был создан домен, максимально похожий на официальное доменное имя клиники.
Если эти сведения окажутся достоверными, клинике могут грозить не только проблемы со стороны регулятора, ведь речь идет о первой категории персональных данных, но и судебные иски от VIP-пациентов, внезапно оказавшихся совсем не анонимными алкоголиками.
Клиника была оповещена об инциденте. На момент публикации реакции с ее стороны не поступало.
@In4security
Но не все предпочитают вкладывать деньги в рекламу, некоторые стараются просто устранить конкурентов. 3 декабря в Telegram появился канал, в котором предлагают 70-гигабайтную базу данных 250 тысяч пациентов наркологической клиники Verimed, включающую в себя даже истории болезни. Для рекламы канала был создан домен, максимально похожий на официальное доменное имя клиники.
Если эти сведения окажутся достоверными, клинике могут грозить не только проблемы со стороны регулятора, ведь речь идет о первой категории персональных данных, но и судебные иски от VIP-пациентов, внезапно оказавшихся совсем не анонимными алкоголиками.
Клиника была оповещена об инциденте. На момент публикации реакции с ее стороны не поступало.
@In4security
Мошенники, еще недавно пытавшиеся развести людей, предлагая им бесплатную пиццу и суши от топовых московских банков, расширяют горизонты и идут в регионы.
Например, за последние 14 дней мы зафиксировали появление более полудюжины ресурсов, предлагающих суши от имени УБРиР:
sushi-ot-ubrr.ru
dostavka-sushi-ubrr.ru
sushi-dlya-ubrr.ru
set-sushi-ubrr.ru
sushi-klientam-ubrr.ru
sushi-darom-ubrr.ru
sushi-ubrr.ru
sushi-ubrr.ru
Для получения подарка, как водится, нужно всего лишь ввести данные банковской карты и 2 кода из СМС, после чего вашим банковским счетом будете распоряжаться уже не вы…
@In4security
Например, за последние 14 дней мы зафиксировали появление более полудюжины ресурсов, предлагающих суши от имени УБРиР:
sushi-ot-ubrr.ru
dostavka-sushi-ubrr.ru
sushi-dlya-ubrr.ru
set-sushi-ubrr.ru
sushi-klientam-ubrr.ru
sushi-darom-ubrr.ru
sushi-ubrr.ru
sushi-ubrr.ru
Для получения подарка, как водится, нужно всего лишь ввести данные банковской карты и 2 кода из СМС, после чего вашим банковским счетом будете распоряжаться уже не вы…
@In4security
Наряду с откровенным фишингом от имени известных кредитных организаций в сети уже несколько лет процветает такое явление, как фейковые банки. Мы уже неоднократно писали о них, но имя им легион и нет им числа: новые сайты появляются буквально ежедневно.
В нашей коллекции содержится уже более полусотни типовых шаблонов фейковых сайтов, и она продолжает пополняться. Свежие примеры вы можете изучить самостоятельно:
https://regionrfbank.ru/
https://regionrfbnk.ru/
https://rubinexpert.ru/
https://rubinexpertbank.ru/
Впрочем, в то время, пока мошенники создают страницы несуществующих банков, действующие кредитные организации тоже придумывают, чем нас удивить. Так, «Модульбанк» вероятно создал сайт https://corp-modulbank.ru/voting, на страницах которого можно проголосовать за лучшего сотрудника, изучив перед этим его персональные данные: фамилию, имя, должность и место работы, а также фото. В числе номинантов можно найти даже сотрудников подразделений безопасности. Размещение в открытом доступе подобной информации, как вы понимаете, открывает бесконечные просторы для социотехнических атак на сотрудников банка.
На сайте честно предупреждают о том, что голосовать могут только работники кредитной организации, только вот проверка адреса электронной почты отсутствует, а значит полагаться можно лишь на честность голосующего. Кроме того, на сайте можно записаться еще и на новогодний корпоратив, оставив свои персданные.
Мы понимаем, что на носу новогодние праздники, волшебство и Дед Мороз, но все-таки подобные мероприятия стоит проводить в своей внутренней корпоративной сети, а не то на корпоратив придет Гринч, украв попутно и персональные данные или продолбит дырку в корпоративную сеть через социнженерию.
@In4security
В нашей коллекции содержится уже более полусотни типовых шаблонов фейковых сайтов, и она продолжает пополняться. Свежие примеры вы можете изучить самостоятельно:
https://regionrfbank.ru/
https://regionrfbnk.ru/
https://rubinexpert.ru/
https://rubinexpertbank.ru/
Впрочем, в то время, пока мошенники создают страницы несуществующих банков, действующие кредитные организации тоже придумывают, чем нас удивить. Так, «Модульбанк» вероятно создал сайт https://corp-modulbank.ru/voting, на страницах которого можно проголосовать за лучшего сотрудника, изучив перед этим его персональные данные: фамилию, имя, должность и место работы, а также фото. В числе номинантов можно найти даже сотрудников подразделений безопасности. Размещение в открытом доступе подобной информации, как вы понимаете, открывает бесконечные просторы для социотехнических атак на сотрудников банка.
На сайте честно предупреждают о том, что голосовать могут только работники кредитной организации, только вот проверка адреса электронной почты отсутствует, а значит полагаться можно лишь на честность голосующего. Кроме того, на сайте можно записаться еще и на новогодний корпоратив, оставив свои персданные.
Мы понимаем, что на носу новогодние праздники, волшебство и Дед Мороз, но все-таки подобные мероприятия стоит проводить в своей внутренней корпоративной сети, а не то на корпоратив придет Гринч, украв попутно и персональные данные или продолбит дырку в корпоративную сеть через социнженерию.
@In4security
В нынешнее трудное время кто только не старается «поддержать» наших соотечественников. Мы уже писали об очередном всплеске количества сайтов, действующих от имени несуществующей компании «Газпром Инвестиции», теперь же очередь за ритейлом.
С наступлением декабря мы зафиксировали целый шквал новых ресурсов, предлагающих за полцены приобрести подарочные карты торговых сетей «Лента», «Пятерочка», «Перекресток» и «Л’Этуаль». Зачастую сайты под разные ритейл-сети даже висят на одном домене:
https://onlinbert.site
https://onlinbert.site/pyterochk/
https://onlinbert.site/perekrestok/
https://onlinbert.site/letual/
Впрочем, не единым ритейлом живы наши мошенники, поэтому на том же сервере висят фейковый сайт розыгрыша призов среди пользователей Instagram и ресурс, предлагающий выплату в 50 тысяч рублей за вакцинацию (на картинке выше).
@In4security
С наступлением декабря мы зафиксировали целый шквал новых ресурсов, предлагающих за полцены приобрести подарочные карты торговых сетей «Лента», «Пятерочка», «Перекресток» и «Л’Этуаль». Зачастую сайты под разные ритейл-сети даже висят на одном домене:
https://onlinbert.site
https://onlinbert.site/pyterochk/
https://onlinbert.site/perekrestok/
https://onlinbert.site/letual/
Впрочем, не единым ритейлом живы наши мошенники, поэтому на том же сервере висят фейковый сайт розыгрыша призов среди пользователей Instagram и ресурс, предлагающий выплату в 50 тысяч рублей за вакцинацию (на картинке выше).
@In4security
Все хотят войти в новый год без долгов, в том числе и перед налоговой. Этим активно пользуются злоумышленники, рассылающие письма от имени Федеральной службы судебных приставов. Письма содержат информацию о якобы имеющейся налоговой задолженности и ссылку на сайт, на котором эту задолженность можно немедленно погасить. Естественно, сайт, на который попадает пользователь, является откровенно фишинговым.
Начиная с 10 декабря мы фиксируем очередной всплеск подобных фишинговых рассылок, а количество новых доменов, используемых в рамках данной схемы, за последние 5 дней уже превысило полтора десятка. Вот лишь некоторые из них:
FSSP-PAYMENTS.ru
GU-FSSP.ru
YFSSPRF.ru
FSSP-CABINET.ru
FSSP-ISKI.ru
FSSP-LK.ru
FSSP-RFS.ru
FSSPCABINET.ru
OPLATA-FSSPS.ru
FSSP-000009134.ru
FSSP-00000917.ru
FSSP-00001478.ru
FSSP-GOSV.ru
FSSPSM.ru
Предыдущая крупная волна фейковых налоговых уведомлений фиксировалась нами во второй половине октября. Тогда рассылка осуществлялась от имени Федеральной налоговой службы.
@In4security
Начиная с 10 декабря мы фиксируем очередной всплеск подобных фишинговых рассылок, а количество новых доменов, используемых в рамках данной схемы, за последние 5 дней уже превысило полтора десятка. Вот лишь некоторые из них:
FSSP-PAYMENTS.ru
GU-FSSP.ru
YFSSPRF.ru
FSSP-CABINET.ru
FSSP-ISKI.ru
FSSP-LK.ru
FSSP-RFS.ru
FSSPCABINET.ru
OPLATA-FSSPS.ru
FSSP-000009134.ru
FSSP-00000917.ru
FSSP-00001478.ru
FSSP-GOSV.ru
FSSPSM.ru
Предыдущая крупная волна фейковых налоговых уведомлений фиксировалась нами во второй половине октября. Тогда рассылка осуществлялась от имени Федеральной налоговой службы.
@In4security
На днях в сети появились ресурсы, предлагающие принять участие в конкурсе, каждый участник которого получит возможность выиграть квартиру или люксовый автомобиль. Лицами конкурса злоумышленники в этот раз сделали Ольгу Бузову и президента Международной федерации бокса Умара Кремлёва, взяв первую подвернувшуюся в сети фотографию.
Один из действующих сайтов: https://novogodneepromo.ru/
После перехода по ссылке жертва через череду переадресаций попадает на сайт, предлагающий стандартную вариацию «конкурса с коробочками» по адресу: https://big.boxes.buzz. Для получения выигрыша жертве потребуется ввести номер карты и оплатить «комиссию за конвертацию». Платежная форма находится по адресу: https://a5pay.icu и открывается по уникальной ссылке, генерируемой для конкретной жертвы.
Несмотря на то, что сама по себе схема не нова, перед новым годом она обретает новое дыхание, а использование образов медийных персон вселяет дополнительную уверенность участникам конкурса.
@in4security
Один из действующих сайтов: https://novogodneepromo.ru/
После перехода по ссылке жертва через череду переадресаций попадает на сайт, предлагающий стандартную вариацию «конкурса с коробочками» по адресу: https://big.boxes.buzz. Для получения выигрыша жертве потребуется ввести номер карты и оплатить «комиссию за конвертацию». Платежная форма находится по адресу: https://a5pay.icu и открывается по уникальной ссылке, генерируемой для конкретной жертвы.
Несмотря на то, что сама по себе схема не нова, перед новым годом она обретает новое дыхание, а использование образов медийных персон вселяет дополнительную уверенность участникам конкурса.
@in4security
Как только на Youtube-канале «RTД на русском» был выложен ролик о борьбе с хакерами, на специализированном даркнет-форуме появилось объявление о продаже доступа к записям и управлению студией звукозаписи данного телеканала.
По утверждению хакеров доступ позволяет:
- прервать телетрансляцию
- загрузить изображение и заменить
- изменять настройки потокового сервера
- получить возможность просматривать примеры частных записей.
@In4security
По утверждению хакеров доступ позволяет:
- прервать телетрансляцию
- загрузить изображение и заменить
- изменять настройки потокового сервера
- получить возможность просматривать примеры частных записей.
@In4security
Планируете путешествие на Новый Год? Тогда остерегайтесь мошенников. Схемы по обману покупателей на маркетплейсах давно вышли за их границы, мы уже неоднократно писали про экспансию на booking, blablacar и Airbnb. И вот на последнем бренде в преддверии новогодних праздников мошенники похоже решили собрать особый урожай.
Возьмем вчерашние домены:
AIRBNB-RESERVE.ru
AIRBNB-RESERVERD.ru
Что вы видите? Редирект на официальный сайт? Правильно. Просто вы не являетесь целевой аудиторией и не откликнулись на объявление. Если же откликнитесь, бот сформирует для вас уникальную ссылку. Просто и изящно. Как видите, если один и тот же сценарий эксплуатировать на разных площадках, он продолжает работать.
Неосторожный пользователь Airbnb рискует остаться без новогодней локации, зато обеспечит дополнительную бутылку шампанского очередному малолетнему сверхразуму, научившемуся отправлять сообщения телеграм-боту и возомнившему себя хакером.
Впрочем, бутылка бывает разной, ну вы поняли.
@In4security
Возьмем вчерашние домены:
AIRBNB-RESERVE.ru
AIRBNB-RESERVERD.ru
Что вы видите? Редирект на официальный сайт? Правильно. Просто вы не являетесь целевой аудиторией и не откликнулись на объявление. Если же откликнитесь, бот сформирует для вас уникальную ссылку. Просто и изящно. Как видите, если один и тот же сценарий эксплуатировать на разных площадках, он продолжает работать.
Неосторожный пользователь Airbnb рискует остаться без новогодней локации, зато обеспечит дополнительную бутылку шампанского очередному малолетнему сверхразуму, научившемуся отправлять сообщения телеграм-боту и возомнившему себя хакером.
Впрочем, бутылка бывает разной, ну вы поняли.
@In4security
А наш канал куда популярнее, чем мы думали. Ладно бы у нас просто воровали новости без ссылки на канал, это делают регулярно, мы давно не обижаемся: почему бы не помочь с инфоповодами тем, у кого с этим совсем туго.
Но тут мы столкнулись с новым явлением. Вскоре поле нашей публикации про сайты фейковых СМИ, на которых можно запостить любую новость при помощи Telegram-бота, созданного одной весьма известной персоной, мы обнаружили в Telegram действующего под нашей вывеской бота, предоставляющего доступ к не нуждающемуся в рекламе сервису "Глаз Бога", внезапно созданному той же самой известной персоной.
Совпадение? Решайте сами. В любом случае, мы не имеем никакого отношения к данному боту, а сам он вскоре отойдёт в мир иной, последовав вслед за своими многочисленными зеркалами.
@In4security
Но тут мы столкнулись с новым явлением. Вскоре поле нашей публикации про сайты фейковых СМИ, на которых можно запостить любую новость при помощи Telegram-бота, созданного одной весьма известной персоной, мы обнаружили в Telegram действующего под нашей вывеской бота, предоставляющего доступ к не нуждающемуся в рекламе сервису "Глаз Бога", внезапно созданному той же самой известной персоной.
Совпадение? Решайте сами. В любом случае, мы не имеем никакого отношения к данному боту, а сам он вскоре отойдёт в мир иной, последовав вслед за своими многочисленными зеркалами.
@In4security