Вести с востока
5 сентября в зоне .com было разом зарегистрировано несколько сотен доменов с частицей банк и названиями различных китайских топонимов, например, hechengbank.com, mengyinbank.com и так далее.

Мы уж было предположили масштабную экспансию западных мошенников в поднебесную, но нет, домены регистрировали свои, регистратором значится китайская компания Bizcn.

Пока все домены припаркованы и бездействуют, но неспроста же кто-то потратил несколько тысяч долларов на их создание?
@In4security

Нерешительный мошенник

Незапланированные инвестиции
Едва успела отгреметь история с публикацией данных сотрудников РЖД, как на одном весьма известном в узких кругах форуме разместили базу данных сотрудников ООО «Газпром Инвест».

База датируется июлем 2018 года, в ней содержатся сведения о трех тысячах сотрудниках, включая их ФИО, должность, номера рабочего и мобильного телефонов, электронную почту, а также фотографию.

Чем неприятны подобные утечки? Прежде всего тем, что попавшие в общий доступ сведения могут быть полезны людям, задумавшим осуществить атаку на компанию. Такая база – настоящий клад для социального инженера.

Естественно, никто не отменял и 152ФЗ, хотя в случае с дочкой «Газпрома» вряд ли стоит говорить о возможных санкциях со стороны регулятора.

Ну и, естественно, открытым остается вопрос: знают ли в компании об утечке или им только предстоит узнать о ней, например, из СМИ? Подождем комментариев «Газпром Инвеста», если, конечно, они последуют.
@In4security

HTML-код свежего фишингового сайта Сбербанка.Онлайн (http://online-sber-page.site). Комментарии тут излишни, простите за каламбур.
@In4security

Родина слышит, родина знает
И снова наша популярная рубрика «Во всем виноваты русские хакеры».

Сегодня американские СМИ обсуждают новость о том, что русские хакеры еще в 2010 году взломали инфраструктуру ФБР для того, чтобы помешать Бюро охотиться за российскими разведчиками.

Согласно материалам опубликованного сегодня расследования, «российские правительственные хакеры» на протяжение долгого времени контролировали телекоммуникационные каналы, используемые ФБР, получая информацию о планируемых операциях и помогая сотрудникам разведки избегать слежки.

Доказательств как обычно не будет, однако, по словам журналистов, именно эта история стала истинной причиной высылки администрацией Обамы 35 российских дипломатов в декабре 2016 года.

Эх, а вот создали бы агенты ФБР закрытую группу в Telegram, глядишь бы и пронесло. Шутка. Хорошего вам вечера!
@In4security

Позавчера в рунете появился домен http://transneft-oil.ru/.

На ресурсе висит форма ввода данных с заголовком «Отправить письмо», но самое интересное проявляется, если заглянуть в код страницы.

Видно, что в качестве отправителя письма подставляется адрес muhib@yandex.ru, в качестве получателя указан account-security-noreply@account.microsoft.com, а тема письма звучит как «Re:Проверка адреса электронной почты».

Впрочем, скрипта, который все это обработает, на сервере не обнаружено. Висит лишь одинокая неработающая форма.
@In4security

Сегодня пользователи приложения MT_FREE от оператора Wi-Fi в Московском метро - компании "Максима Телеком" получили вот такие push-сообщения.

Компания заявляет, что сообщения предназначались для тестировщиков. Если это так, то, похоже, кто-то намудрил с настройкой аудитории Push-сообщений. С непривычки это можно сделать достаточно легко.

Впрочем, нельзя отмести и тот вариант, что учетка, используемая для рассылки пушей могла быть скомпрометирована.

Сразу вспоминается прошлогодняя история, когда стажер Google по ошибке зарустил тестовую рекламу желтого прямоугольника по цене $25 за каждую 1000 просмотров, что обошлось компании в 10 миллионов долларов.
@In4security

Мошенники очень любят зарабатывать на тех, кто затеял что-то незаконное. И вот свежий пример: сайт «хакеров», якобы специализирующихся на взломе электронной почты и соцсетей. В нем прекрасно все: ресурс зарегистрирован через REG.RU и хостится в России, для общения используется почта на Hotmail и Skype, то есть сервисы Microsoft, в теле страницы имеется код верификации Яндекса.

Сайт появился позавчера, но отзывы счастливых клиентов датированы 2017-2018 годами.

Ресурс использует CMS Wordpress, при этом на нем неправильно настроен доступ к MySQL. Ну и в довершение всего в качестве фоновой картинки выбрано одно из самых заезженных изображений хакера, которое только можно найти в интернете.
@In4security

Иногда бизнес по продаже клиентских баз в нарушение 152ФЗ идет неважно. И тогда приходится продавать дрова.

Вообще, данный человек является настоящим многостаночником, телефонный номер фигурирует в связке с предложениями об оказании самых разнообразных услуг.
@In4security

Тройка, семерка, туз
В сети появились объявления о продаже программы, предназначенной для взлома транспортных карт «Тройка» и «Подорожник». Программу предлагают за 15 тысяч рублей, причем продавец обещает при встрече продемонстрировать ее работоспособность.

Разберемся в схеме. В объявлении говорится, что покупателю требуется пополнить баланс карты на любую сумму, после чего «просканировать» ее телефоном, имеющим чип NFC. Когда деньги на карте закончатся, необходимо снова запустить приложение, поднести карту к телефону и вуаля! – баланс восстановлен.

Исходя из описания можно предположить, что автор объявления пытается продать программу TroikaDumper, бесплатно доступную на GitHub, или ее модификацию. Программа действительно позволяет снимать и записывать дампы карт «Тройка», но, как всегда, есть один нюанс – в метро используется антифрод, поэтому автор TroikaDumper не рекомендует пополнять карту на сумму более 100 рублей и между накатываниями дампов обязательно сбрасывать время последнего прохода в метро, прикладывая карту к валидатору в наземном транспорте.

Что мы имеем в итоге. Данный метод скорее всего прекрасно пройдет проверку, устроенную продавцом, но вот при регулярном использовании (отбросив в сторону неудобства, связанные с необходимостью сброса времени прохода), покупатель как минимум столкнется со скорой блокировкой транспортной карты, а как максимум – ощутит на себе все прелести уголовной ответственности по ст. 165 УК РФ (если повезет), а также 272 и 273 (если не повезет).

Учитывая, что стоимость предлагаемой программы почти равна стоимости безлимитного проездного на год, а перспективы получить как минимум «условку» вполне реальны, предложение – так себе. Не покупайте!
@In4security

Список адресов электронной почты сотрудников «Делойт» попал в сеть.

В публичном доступе находится файл, содержащий 13 тысяч адресов электронной почты сотрудников, работающих в офисах Deloitte по всему миру. В списке можно найти адреса как рядовых аудиторов, так и топ-менеджмента компании.

Данный список может использоваться для подготовки целевых атак на компанию и рассылки фишинговых писем в адрес сотрудников или от их имени.

Учитывая, что одной из услуг Deloitte является аудит киберрисков, сотрудники компании теперь смогут использовать этот пример в своих презентациях.
@In4security

И снова вести от наших любимых мамкиных хакерах из группировки THack3forU (@UkraineHack), о которой мы неоднократно писали.

Сегодня ребята разразились эпичным постом о том, что они написали троян-локер под Android, который заблокирует устройства врагов и будет играть бодрую музыку, попутно выставив громкость устройства на максимум.

«Хакеры» заботливо выложили APK-файл на GitHub, ну а мы загрузили его в облачный анализатор вредоносных программ Dr.Web vxCube. По итогам анализа выяснилось, что единственные действия, которые производит этот мега-троян – это сокрытие собственной иконки в списке приложений и демонстрация своего окна поверх всех других окон.

Этот троян демонстрирует нам две вещи: 1) у ребят до сих пор неважно с программированием; 2) у ребят до сих пор неважно с украинским языком…
Впрочем, авторы сами признают, что их поделка далека от совершенства. Вопрос лишь в том, зачем выкладывать такую халтуру в общий доступ и писать об этом пафосную статью?
@In4security

To Bee or not to Bee…
На истории с базой данных клиентов Сбербанка сейчас не пытается пропиариться только ленивый.

Ну а те, кто не успел к дележу пирога, стараются на волне всеобщего интереса к утечкам запилить собственный инфоповод.

Например, на небезызвестном сайте phreaker.pro, на котором якобы несколькими днями ранее (согласно сообщениям некоторых СМИ) разместили объявление о продаже сберовской базы (на самом деле его там не размещали, не верьте недобросовестным журналистам), выложили ссылку на базу данных, содержащую сведения о 8 миллионах абонентах «Билайн».

Некоторые Telegram-каналы тут же поспешили написать об этом происшествии, забыв, однако, упомянуть, что данная база гуляет по сети аж с 2015 года, а размещенные сегодня файлы – это лишь фрагмент утечки четырехлетней давности.
@In4security

Пока «Сбербанк» отчитывается о вычислении сотрудника, ответственного за утечку данных держателей банковских карт, не переставая при этом утверждать, что инцидент затронул всего 200 клиентов, в сети появляются все новые базы его клиентов.
Так, в одном из Telegram-каналов появилась информация о том, что некий пользователь приобрел 150 тысяч строк из той самой утекшей базы. В качестве подтверждения он приложил пробник, содержащий сведения о 350 картах (в том числе и ранее известные 200 записей), обещая в скором времени выложить все 150 тысяч записей.
Параллельно на форуме XSS.IS участник с ником Odiz91 разместил файл, содержащий 500 записей с персональными данными клиентов «Сбербанка». Впрочем, пользователь был оперативно заблокирован администрацией форума с формулировкой «Работа по Ру и СНГ». Все бы ничего, только вот в соседних ветках спокойно раздаются базы данных клиентов других российских банков.
@In4security

Кстати, на том же XSS.IS уже 2 месяца в открытом доступе лежат данные нескольких сотен клиентов Альфа-Банка, но это никому особо не интересно.  Никто не выпускает экстренные пресс-релизы и не проводит расследования.
Это, конечно, не 60 миллионов записей, но и в случае со Сбербанком этих миллионов пока никто не видел, де факто речь пока идет о сотнях.

Просто данные Альфы пока не нашли журналисты.

UPD: А тем временем на Phreaker.pro появилась база данных клиентов Сбербанка, содержащая уже более 2000 записей.
@In4security

Парадокс публичных утечек
Пока базы и логины с паролями продаются на черном рынке в формате «междусобойчика», все участники информационно-денежного обмена довольны. Но порой случаются громкие утечки, которые привлекают внимание и к ресурсу, на котором были размещены данные, и к людям, которые их продают или покупают. И эти люди (и ресурсы) как правило совсем не рады свалившейся на них известности. Так было с phreaker.pro, когда на нем разместили данные сотрудников Сбербанка, так произойдет еще много раз.

И вот свежий пример. В то время как некие люди пытаются продать за 50 тысяч долларов дамп базы онлайн-обменника SmartWM.ru, ее ценность стремительно падает. В исходном сообщении написано, что общая сумма средств, которыми можно попробовать поживиться, купив базу, составляет порядка 50 BTC, что несомненно больше 50 тысяч долларов, которые просят за эту информацию. Только вот об этой утечке уже стало известно весьма широкому кругу лиц: ее обсуждают в Telegram-каналах, Яндекс обещает перевыпустить карты, засветившиеся в базе. А это означает, что вскоре и сами пользователи сервиса SmartWM.Ru начнут менять платежные пароли, подключать двухфакторную аутентификацию и т.д, что естественно негативно скажется на перспективах монетизации похищенных данных.

Продавцы данных получили рекламу, но это как раз тот случай, когда реклама работает не в пользу продавца.
@In4security

Немая сцена
Сеть полнится слухами о том, что программно-аппаратный комплекс «АС Ревизор», используемый Роскомнадзором для контроля блокирования провайдерами доступа к ресурсам, запрещенным на территории Российской Федерации, не работает уже третью неделю.

В общем-то это неудивительно. Однажды что-то подобное должно было случиться, ведь реестр запрещенных сайтов только увеличивается, а вычислительные возможности копеечного устройства TP-Link MR3020, на базе которого сделан комплекс, весьма скромны.

Данная проблема не затрагивает сам реестр запрещенных сайтов, однако, делает невозможным полноценный контроль за выполнением провайдерами требований Роскомнадзора. А в этой сфере и так царит полнейший бардак. Вот, например, при попытке зайти на LinkedIn через провайдера МГТС выскакивает окно с информацией о том, что ресурс внесен в реестр, однако, поиск по доменному имени в реестре на сайте Роскомнадзора ни к чему не приводит.

Похоже пора переименовывать «АС Ревизор» в «АС Хлестаков».
@In4security

Деньги можно зарабатывать на чем угодно. Вот, например, люди как бы собирают средства на предвыборную кампанию Путина и Трампа разом.

В качестве получателя платежа в PayPal указан адрес  Inicoleq@gmail.com, а вот на самом ресурсе вместо контактных данных сказано: «лучше приходите лично», правда не говорится куда.
@In4security

Сегодня в открытом доступе появилась база данных клиентов интернет-магазина GIMI.RU. База содержит 28500 записей, в том числе ФИО, адреса, телефоны, сведения о заказанных товарах и их стоимости.

В августе эта база уже появлялась на форуме phreaker.pro, однако, была доступна лишь ограниченному кругу лиц. Теперь же скачать ее может любой желающий.

Вот, собственно, ответ на вопрос, как персональные данные россиян попадают в открытый доступ. После того, как вы оставили их на каком-либо сайте, вы уже не можете проконтролировать корректность их хранения и обработки.
@In4security

В списке покупателей магазина GIMI.RU обнаружились граждане Евросоюза, что может обернуться дополнительными проблемами для компании.

GDPR устанавливает прямую обязанность организации, обрабатывающей персональные данные граждан ЕС (вне зависимости от местонахождения этой организации), уведомлять об утечках надзорные органы Евросоюза в течение 72 часов после инцидента.

Несоблюдение GDPR грозит серьезными санкциями для компании-нарушителя, по сравнению с которыми штрафы за нарушение 152ФЗ покажутся сущей мелочью. В общем, десять раз подумайте, прежде чем разрешить иностранцам покупать что-либо в вашем интернет-магазине.
@In4security