in2security
13.7K subscribers
895 photos
3 videos
4 files
502 links
Приветствуем вас на канале In2security! Наш канал – это погружение в безопасность, здесь мы рассказываем о новом и актуальном фишинге, анализируем громкие утечки, говорим про OSINT. Комментарии для СМИ и прочие вопросы: @infosecurityevil
Download Telegram
Сколько фейковых интернет-магазинов может создать один человек за 3 месяца? 10? 20? На самом деле, куда больше. О том, насколько тщательно мошенники подготовились к черной пятнице и какое отношение к этому имеет славный город Расчленоград, читайте в нашем новом материале: https://te.legra.ph/ScamStation-11-24
@In4security
Мы зафиксировали начало массированной фишинговой атаки, нацеленной на клиентов крупнейших российских банков.

Используя типовые шаблоны, вроде сайтов бюро переводов или студий обучения быстрому чтению, злоумышленники скрывают вредоносный контент от обнаружения.

Впрочем, применяемые нами механизмы машинного обучения позволяют без труда обнаруживать и оперативно блокировать подобного рода ресурсы.
@In4security
Если вы устали искать дропов в Даркнете и на Авито стандартными методами, то можно использовать более продвинутые идеи, например вариант mystery businessman. Именно к такой мысли скорее всего пришел уроженец Украины Свечинский Артем Владиславович, пытаясь последние 5 лет реализовать себя через сайт https://businessprocess.biz, на котором он предлагает уникальную программу VipVip (цитата с сайта): «каждому предпринимателю, каждой точке продаж в течение 30 минут БЕСПЛАТНО создать приложение, которое будет доступно мгновенно в App Store и Google Play...»; уникальный прибор для диагностики всего организма WebWellness и уникальный токен VipGold. К сожалению, ничего кроме негативных отзывов в Интернете он не заработал. Успешный успех уже не успешен.


И вот Свечинский придумал новый маркетинговый ход по привлечению дропов, обещая заплатить до 45 000 рублей (но это не в договоре, а на сайте) за тайную проверку банков из топ-20.

Проверка тайного покупателя заключается в простых шагах.
1 – Зарегистрировать ИП или ООО
2 – Открыть счет в банке
3 – Передать ЭЦП на электронном носителе
4 – Закрыть ИП или ООО

Именно об этом говорится в договоре, размещенном на свежем сайте: https://secretentrepreneur.ru/ (сам текст договора по ссылке (https://docs.google.com/document/d/1Nyef30e2YHEmu6uYyf1H-76bJmBauoBi). Помимо всего прочего договор содержит обязательство оплатить 5 000 рублей за услуги регистрации и оформление ЭПЦ, но если клиент выполнит все требования заказчика в рамках проекта «Тайный предприниматель», оплачивать ничего не потребуется

Деньги любят тишину как мы знаем, поэтому в соответствии с п.п. 2.1.7, 2.2.2, 3.1 и 3.2. Договора Заказчик и Исполнитель обязуются не раскрывать никакой информации третьим лицам, даже государственным органам. Первое правило «Тайного предпринимателя»: никому не говори, что ты «Тайный предприниматель».

Думаю, нашим читателям не нужно рассказывать, как подобные юрлица можно использовать для отмывания денег через расчетные счета, а адрес регистрации Исполнителя в лице ООО «Бизнес Процесс Технологии» (ИНН 2000000325, ОГРН 1212000000156 от 21 января 2021 года): Чеченская Республика, г. Грозный, проспект Имени Хусейна Абубакаровича Исаева д.36, офис 7, как бы намекает на то, что приезжать в офис с вопросом: где мои деньги, пожалуй, не стоит.
@In4security
К концу года все любят подводить итоги, вот и мы в поисках кандидата на самый дешевый скам-проект.

Пока в лидерах сайт https://www.netflixstore.ru/ - вложения - 250 рублей.
В эту сумму входят: доменное имя, хостинг и время, затраченное на создание сайта в бесплатном конструкторе.

На сайте в очень простой форме предлагается за 49 рублей приобрести 30-дневную подписку на популярные видео-ресурсы - NETFLIX, MEGOGO, IVI, OKKO, MORE TV. Отправить деньги нужно на Яндекс-кошелек физического лица, причем вне зависимости от того, что вы выберете, в описании платежа будет написано: «Подписка на Okko», и ... ждать.

Конечно же, никаких подтверждений того, что вы приобрели подписку NETFLIX или OKKO - нет.

Просто оплати и жди.

Лао-цзы сказал: «Если кто-то причинил тебе зло, не мсти. Сядь на берегу реки, и вскоре ты увидишь, как мимо тебя проплывет труп твоего врага». А вот подписка не проплывет, гарантируем.
@In4security
Пока одни закупаются алкоголем к новогодним праздникам, другие готовятся бороться с последствиями длинных выходных, массово регистрируя домены, посвященные лечению алкоголизма. Так, в первых числах декабря в зоне .RU появилось более 80 доменов со словом ALKOGOLIZM.

Но не все предпочитают вкладывать деньги в рекламу, некоторые стараются просто устранить конкурентов. 3 декабря в Telegram появился канал, в котором предлагают 70-гигабайтную базу данных 250 тысяч пациентов наркологической клиники Verimed, включающую в себя даже истории болезни. Для рекламы канала был создан домен, максимально похожий на официальное доменное имя клиники.

Если эти сведения окажутся достоверными, клинике могут грозить не только проблемы со стороны регулятора, ведь речь идет о первой категории персональных данных, но и судебные иски от VIP-пациентов, внезапно оказавшихся совсем не анонимными алкоголиками.

Клиника была оповещена об инциденте. На момент публикации реакции с ее стороны не поступало.
@In4security
Мошенники, еще недавно пытавшиеся развести людей, предлагая им бесплатную пиццу и суши от топовых московских банков, расширяют горизонты и идут в регионы.

Например, за последние 14 дней мы зафиксировали появление более полудюжины ресурсов, предлагающих суши от имени УБРиР:
sushi-ot-ubrr.ru
dostavka-sushi-ubrr.ru
sushi-dlya-ubrr.ru
set-sushi-ubrr.ru
sushi-klientam-ubrr.ru
sushi-darom-ubrr.ru
sushi-ubrr.ru
sushi-ubrr.ru

Для получения подарка, как водится, нужно всего лишь ввести данные банковской карты и 2 кода из СМС, после чего вашим банковским счетом будете распоряжаться уже не вы…
@In4security
Наряду с откровенным фишингом от имени известных кредитных организаций в сети уже несколько лет процветает такое явление, как фейковые банки. Мы уже неоднократно писали о них, но имя им легион и нет им числа: новые сайты появляются буквально ежедневно.

В нашей коллекции содержится уже более полусотни типовых шаблонов фейковых сайтов, и она продолжает пополняться. Свежие примеры вы можете изучить самостоятельно:
https://regionrfbank.ru/
https://regionrfbnk.ru/
https://rubinexpert.ru/
https://rubinexpertbank.ru/

Впрочем, в то время, пока мошенники создают страницы несуществующих банков, действующие кредитные организации тоже придумывают, чем нас удивить. Так, «Модульбанк» вероятно создал сайт https://corp-modulbank.ru/voting, на страницах которого можно проголосовать за лучшего сотрудника, изучив перед этим его персональные данные: фамилию, имя, должность и место работы, а также фото. В числе номинантов можно найти даже сотрудников подразделений безопасности. Размещение в открытом доступе подобной информации, как вы понимаете, открывает бесконечные просторы для социотехнических атак на сотрудников банка.

На сайте честно предупреждают о том, что голосовать могут только работники кредитной организации, только вот проверка адреса электронной почты отсутствует, а значит полагаться можно лишь на честность голосующего. Кроме того, на сайте можно записаться еще и на новогодний корпоратив, оставив свои персданные.

Мы понимаем, что на носу новогодние праздники, волшебство и Дед Мороз, но все-таки подобные мероприятия стоит проводить в своей внутренней корпоративной сети, а не то на корпоратив придет Гринч, украв попутно и персональные данные или продолбит дырку в корпоративную сеть через социнженерию.
@In4security
В нынешнее трудное время кто только не старается «поддержать» наших соотечественников. Мы уже писали об очередном всплеске количества сайтов, действующих от имени несуществующей компании «Газпром Инвестиции», теперь же очередь за ритейлом.

С наступлением декабря мы зафиксировали целый шквал новых ресурсов, предлагающих за полцены приобрести подарочные карты торговых сетей «Лента», «Пятерочка», «Перекресток» и «Л’Этуаль». Зачастую сайты под разные ритейл-сети даже висят на одном домене:

https://onlinbert.site
https://onlinbert.site/pyterochk/
https://onlinbert.site/perekrestok/
https://onlinbert.site/letual/

Впрочем, не единым ритейлом живы наши мошенники, поэтому на том же сервере висят фейковый сайт розыгрыша призов среди пользователей Instagram и ресурс, предлагающий выплату в 50 тысяч рублей за вакцинацию (на картинке выше).
@In4security
Все хотят войти в новый год без долгов, в том числе и перед налоговой. Этим активно пользуются злоумышленники, рассылающие письма от имени Федеральной службы судебных приставов. Письма содержат информацию о якобы имеющейся налоговой задолженности и ссылку на сайт, на котором эту задолженность можно немедленно погасить. Естественно, сайт, на который попадает пользователь, является откровенно фишинговым.

Начиная с 10 декабря мы фиксируем очередной всплеск подобных фишинговых рассылок, а количество новых доменов, используемых в рамках данной схемы, за последние 5 дней уже превысило полтора десятка. Вот лишь некоторые из них:
FSSP-PAYMENTS.ru
GU-FSSP.ru
YFSSPRF.ru
FSSP-CABINET.ru
FSSP-ISKI.ru
FSSP-LK.ru
FSSP-RFS.ru
FSSPCABINET.ru
OPLATA-FSSPS.ru
FSSP-000009134.ru
FSSP-00000917.ru
FSSP-00001478.ru
FSSP-GOSV.ru
FSSPSM.ru

Предыдущая крупная волна фейковых налоговых уведомлений фиксировалась нами во второй половине октября. Тогда рассылка осуществлялась от имени Федеральной налоговой службы.
@In4security
На днях в сети появились ресурсы, предлагающие принять участие в конкурсе, каждый участник которого получит возможность выиграть квартиру или люксовый автомобиль. Лицами конкурса злоумышленники в этот раз сделали Ольгу Бузову и президента Международной федерации бокса Умара Кремлёва, взяв первую подвернувшуюся в сети фотографию.

Один из действующих сайтов: https://novogodneepromo.ru/

После перехода по ссылке жертва через череду переадресаций попадает на сайт, предлагающий стандартную вариацию «конкурса с коробочками» по адресу: https://big.boxes.buzz. Для получения выигрыша жертве потребуется ввести номер карты и оплатить «комиссию за конвертацию». Платежная форма находится по адресу: https://a5pay.icu и открывается по уникальной ссылке, генерируемой для конкретной жертвы.

Несмотря на то, что сама по себе схема не нова, перед новым годом она обретает новое дыхание, а использование образов медийных персон вселяет дополнительную уверенность участникам конкурса.
@in4security
Как только на Youtube-канале «RTД на русском» был выложен ролик о борьбе с хакерами, на специализированном даркнет-форуме появилось объявление о продаже доступа к записям и управлению студией звукозаписи данного телеканала.

По утверждению хакеров доступ позволяет:
- прервать телетрансляцию
- загрузить изображение и заменить
- изменять настройки потокового сервера
- получить возможность просматривать примеры частных записей.
@In4security
Планируете путешествие на Новый Год? Тогда остерегайтесь мошенников. Схемы по обману покупателей на маркетплейсах давно вышли за их границы, мы уже неоднократно писали про экспансию на booking, blablacar и Airbnb. И вот на последнем бренде в преддверии новогодних праздников мошенники похоже решили собрать особый урожай.

Возьмем вчерашние домены:
AIRBNB-RESERVE.ru
AIRBNB-RESERVERD.ru
Что вы видите? Редирект на официальный сайт? Правильно. Просто вы не являетесь целевой аудиторией и не откликнулись на объявление. Если же откликнитесь, бот сформирует для вас уникальную ссылку. Просто и изящно. Как видите, если один и тот же сценарий эксплуатировать на разных площадках, он продолжает работать.

Неосторожный пользователь Airbnb рискует остаться без новогодней локации, зато обеспечит дополнительную бутылку шампанского очередному малолетнему сверхразуму, научившемуся отправлять сообщения телеграм-боту и возомнившему себя хакером.

Впрочем, бутылка бывает разной, ну вы поняли.
@In4security
А наш канал куда популярнее, чем мы думали. Ладно бы у нас просто воровали новости без ссылки на канал, это делают регулярно, мы давно не обижаемся: почему бы не помочь с инфоповодами тем, у кого с этим совсем туго.

Но тут мы столкнулись с новым явлением. Вскоре поле нашей публикации про сайты фейковых СМИ, на которых можно запостить любую новость при помощи Telegram-бота, созданного одной весьма известной персоной, мы обнаружили в Telegram действующего под нашей вывеской бота, предоставляющего доступ к не нуждающемуся в рекламе сервису "Глаз Бога", внезапно созданному той же самой известной персоной.

Совпадение? Решайте сами. В любом случае, мы не имеем никакого отношения к данному боту, а сам он вскоре отойдёт в мир иной, последовав вслед за своими многочисленными зеркалами.
@In4security
Ну хоть кто-то заботится о повышении компьютерной грамотности сотрудников органов государственной власти.

Сайт https://cyber-voin.ru предлагает бесплатно за 40 минут сделать из рядового бюджетника настоящего кибервоина. Создатели курса даже придумали новую ветвь власти – «организационная власть», при этом функционируют они благодаря «госсударственным грантам» (орфография оригинала сохранена).

Офис у компании находится в самом центре Санкт-Петербурга по адресу Невский проспект 25А, а вот телефоны зарегистрированы в Белгородской и Ульяновской областях, очевидно подчеркивая федеральный размах. Впрочем, сайт настолько лажовый, что даже фраза «После окончания нашего курса по кибербезопасности вы станете гуру по предлелению опасностей кибер-мира!» не может его испортить! Ведь эти ребята выпустили на четверть больше людей, чем было у них зарегистрировано!

Ну а венчает всё это великолепие цитата несуществующего в природе Тимура Вельханова, прикрывающегося наспех нагугленной в сети фотографией.
@In4security
Подводя итоги года, проведем анализ динамики угроз, с которыми сталкивался наш сервис мониторинга цифрового пространства в 2020-2021 годах.

В абсолютных цифрах самыми популярными направлениями криминального бизнеса уже не первый год являются: фишинг, продажа данных банковских карт или доступов в ЛК, услуги по открытию расчетных счетов и пробив данных. При этом три последние категории составляют в совокупности 80% от всех существующих на черном рынке предложений об оказании противоправных услуг, относящихся к кредитно-финансовой сфере. Еще 6,5% приходится на отмывание денег и услуги по обналу.

А вот если рассматривать проблематику в динамике, то тут все куда интереснее.

Неожиданно для нас рекордсменом по темпам роста стали услуги по продаже или изготовлению поддельных документов. Их количество за год выросло в 6,5 раз. Во многом данная тенденция связана с высокой популярностью объявлений о продаже сертификатов о вакцинации, однако, на нее оказывают влияние и многие другие причины, в частности, фейковые кредитные организации.

На втором месте вполне ожидаемо находится фишинг. В абсолютных цифрах с ним точно ничего не сравнится даже несмотря на то, что в 2020 году он и так побил все рекорды благодаря пандемии и всплеску мошенничеств на торговых площадках. Но фишинг сохраняет необычайно высокие темпы роста: в 2021 году мы зафиксировали в 6 раз больше фишинговых ресурсов, чем годом ранее.

Третье место делят между собой нелегальные услуги в сфере страхования и продажа готовых скам-схем и скриптов. В 2021 году количество таких предложений выросло в 2 раза.

А вот главным аутсайдером нашего рейтинга становятся услуги по пробиву данных: по сравнению с 2020 годом их стало ровно в 2 раза меньше, а цены на подобные услуги после известных событий прошлого года значительно выросли.
@In4security
Пока значительная часть страны отдыхает, мошенники работают.

2 января, как только закончился первый тазик оливье, они пришли к выводу, что создать один фишинговый сайт, который позволит разом охватить клиентов самых разных банков, куда практичнее, чем делать десятки разношерстных ресурсов. Так на свет появился сайт mastercard-bonus.ru, предлагающий принять участие в программе поощрения от имени одноименной платежной системы. Для участия в программе вознаграждения нужно по традиции ввести данные карты, после чего система якобы проанализирует все ваши транзакции и начислит компенсацию. Согласитесь, отличный ход в Новый Год, когда все ждут чудес.

Любопытно, что текст фейкового сайта частично взят с ресурса украинского подразделения французского банка Credit Agricole (credit-agricole.ua). Это лишний раз намекает, что не колл-центрами едиными живет киберпреступность сопредельного государства.

UPDATE: сайт возродился на новом домене: visa-mastercard-bonus.ru
@In4security
Продолжаем рубрику «Ленивый новогодний фишинг».

На очереди сделанный 2 дня назад в онлайн-конструкторе сайт https://me-sbarbank.ru, на котором безо всяких условностей и прелюдий просят ввести данные карты и сумму списания. Ну а что, мамонт хочет платить, зачем ему мешать?

Если же заполнить формы и нажать на кнопку «Оплатить», сайт порадует вас фразой:

«Карта заблокирована! Или на ней недостаточно средств.
Попробуйте другую карту, а лучше тщательно проверяйте карточку на валид перед тем, как делать через нее списание.»

По факту же никакого списания не происходит, похоже, что владельцы ресурса собирают базу номеров и реквизитов банковских карт, или просто ещё не доделали сайт, пытаясь разобраться в конструкторе.
@In4security
Вчерашний день можно наречь «днем ПП», и это будет отнюдь не день столь модного сейчас правильного питания.

Все дело в том, что вчера в зоне .RU было разом зарегистрировано 28 доменов под два бренда: «Почта Банк» и «Промсвязьбанк» (https://pastebin.com/ajAmyekZ).

Перед новым годом «Почта Банк» предупреждал возможных мошеннических атаках под брендом банка в мессенджерах, похоже, та атака не окупилась и мошенники переключились на более проверенный способ - фишинговые сайты и рассылки.

Так что, если ваш новый год начинается с письма от любимого банка, проверьте, не ведет ли ссылка на один из вышеперечисленных доменов.
@In4security
Угоны игровых аккаунтов всегда в тренде, но в случае с фишинговым сайтом warbonus.ru все интереснее. Сначала вам расскажут о том, сколько замечательных предметов для Warface вы выиграли, а потом предложат ввести логин и пароль от учетной записи Mail.Ru чтобы их получить. Все другие опции залогиниться априори недоступны.

Итог: взломанный ящик электронной почты и все связанные с ним аккаунты, которые потом будут выставлены на продажу на одном из теневых форумов.
@In4security