Российские мошенники опять впереди планеты всей. Теперь они предлагают определять коронавирус… при помощи мультиметра всего за 19 тысяч рублей.

Согласно описанию, прибор произведен на территории Канады компанией CBS, которая вообще-то является американским медиахолдингом.

Сайт coronavirustest.ru пока не доделан, так что на нем встречаются такие забавные артефакты как «Место для красивого подзаголовка» и прочие «Hello world», но зато имеется полноценная интерактивная карта заражений.

С начала месяца тематика коронавируса эксплуатируется в самых различных сценариях кибератак. Электронные письма с информацией о вирусе используются для распространения трояна Emotet, зафиксированы случаи вредоносных SMS-рассылок. Стоит ожидать, что данная тема будет использована и в процессе целевых атак на компании, ведь можно же, скажем, разослать сотрудникам фейковые письма с рекомендациями по профилактике заболевания.
@In4security

Аутентифицировали, аутентифицировали, да не выаутентифицировали
На этой неделе компания Transmit Security, предоставляющая услуги безопасной аутентификации для корпоративных клиентов, в числе которых входят крупные банки, заявила о взломе своего облака NextCloud, используемого преимущественно для размещения клиентского софта.

Впрочем, в руки злоумышленников попал не только софт. В результате взлома были скомпрометированы персональные данные и контактные сведения клиентов компании, содержимое электронной переписки, а также исходные коды программного обеспечения.

Согласно просочившейся в СМИ информации, факт взлома был выявлен сторонним исследователем, оповестившем об этом ряд клиентов компании. Вскоре после этого Transmit Security отключила свое облако.

Интересно, использовала ли Transmit Security собственные решения для аутентификации в целях защиты своего облачного хранилища?
@In4security

Понять и простить Суд в Маниле оправдал хакера, обвиняемого во взломе сайта избирательной комиссии в 2016 году.

4 года назад сайт избирательной комиссии Манилы был дефейснут – на его главной странице разместили лендинг с сайта филиппинского подразделения Anonimous. Параллельно с этим с сервера утекли данные избирателей, что вызвало большой скандал в стране.

За дело взялось Национальное бюро расследований. На дефейснутом сайте избиркома был обнаружен ник kh4lifax. Воспользовавшись гуглом оперативники вскоре обнаружили YouTube канал PhantomHacker Khalifax, принадлежащий молодому айтишнику по имени Пол Битенг.

Подозрения полиции еще более укрепились после того, как выяснилось, что скриншот сайта избиркома был загружен в группу филиппинского подразделения Anonimous в Facebook, админом которой являлся все тот же Пол Битенг. Битенга задержали. Анализ его компьютера показал, что в электронных переписках он несколько раз упоминал слова kh4lifax и “избирком”. В то же время прямых доказательств причастности молодого человека к взлому так и не было установлено.

В ходе расследования Пол Битенг неоднократно менял показания. Например изначально он признался во взломе в интервью местным СМИ, однако, позже заявил, что это признание было результатом стресса, перенесенного в ходе задержания полицией. Спустя некоторое время Битенг сообщил, что все-таки взломал сайт, но в рамках пентеста, за который было обещано вознаграждение в размере 100 тысяч фунтов, а потом и вовсе отказался что-либо комментировать.

В итоге суд счел, что схожий псевдоним, публикация скриншота взломанного сайта и факт обсуждения этого взлома в сети не являются прямыми доказательствами причастности Битенга к самому взлому и оправдал его.

Ну а самое смешное в этой истории то, что IP-адрес, использовавшийся в процессе атаки на сайт избиркома, с 2015 года принадлежит Национальному бюро расследований, тому самому, что за 4 года не смогло найти прямых доказательств причастности Битенга к взлому.
@In4security

Вчера в открытый доступ был выложен список сотрудников компании Mail.ru.Mail.ru.

Файл датируется 31 января 2020 года и содержит 7393 записи. Несмотря на то, что в базе присутствуют лишь ФИО и адреса корпоративной почты сотрудников, этой информации вполне достаточно для атак с использованием социальной инженерии, ну и в целом для OSINT.

Теперь в случае возникновения какой-либо проблемы вам не придется писать на abuse@corp.mail.ru и долго ждать ответа, ведь вы сами можете найти нужного сотрудника в списке и поведать ему обо всех своих бедах.

Не благодарите.
@In4security

Сотрудники ФБР арестовали предполагаемого владельца платформы Deer.io, предназначенной для хостинга онлайн-магазинов по продаже взломанных аккаунтов и прочей конфиденциальной информации.

Кирилл Викторович Фирсов был задержан в аэропорту имени Джона Кеннеди в Нью-Йорке еще 7 марта, однако, известно об этом стало только сейчас.

По данным ФБР, платформа Deer.io использовалась исключительно в противоправных целях. В течение последнего года сотрудники Бюро провели ряд контрольных закупок, подтвердивших подлинность продаваемых данных, что и послужило одним из оснований для задержания Фирсова. Сотрудники ФБР также сообщили, что Фирсов активно рекламировал свою платформу на профильных хакерских форумах.

Ранее Кирилл Фирсов всячески отрицал свою причастность к продаже нелегальных товаров и заявлял, что ресурс Deer.io функционирует в полном соответствии с законами Российской Федерации и при необходимости выполнит все требования российских властей в целом и Роскомнадзора в частности.
@In4security

Ежемесячно подданным британской короны поступает примерно 21 миллион телефонных звонков из фейковых колл-центров (это примерно 1 звонок в 9 секунд). И если в России такими звонками нередко промышляют из мест лишения свободы, то британцев массово атакуют мошенники из Индии.

Житель Белфаста так устал от постоянных звонков, что взломал камеры наблюдения и веб-камеры в одном из таких индийских центров и разместил в сети видео и фотографии злоумышленников, а также скриншоты их рабочих столов.

Вскоре после публикации индийская полиция задержала владельца колл-центра Амита Чаухана. Действуя под видом сервисного центра компании Майкрософт, он поставил бизнес по обману британских подданных на поток.

Индийские СМИ сообщают, что Чаухан ездил на черном Порше, а его ежегодный доход исчислялся миллионами долларов.
@In4security

Прошлой ночью на сайте Worldometer, ведущем статистику по числу заразившихся коронавирусом, появилась информация о том, что на территории Ватикана зарегистрировано порядка миллиона смертей, вызванных COVID-19. И это при том, что население Ватикана составляет 1 тысячу человек.

Сейчас статистику уже исправили, но у нас сохранился скриншот. Представители сайта молчат, так что остается лишь догадываться, что это было: хакерская атака или технический сбой.
@In4security

Куда уж без фейковых новостей на фоне пандемии. Начиная со вчерашнего вечера в социальных сетях и родительских чатиках в WhatsApp и Viber распространяются фейковые сообщения о распылении химикатов с вертолетов.

География подобных рассылок весьма широкая: подобные посты и рассылки уже прошли волной по территории Казахстана, Таджикистана и Узбекистана, переметнулись на Северный Кавказ, пробежались по территории Украины, Молдавии и Приднестровья и наконец добрались до Москвы. Текст сообщения не меняется.

Люди с радостью пересылают друг другу непроверенную информацию, что лишь провоцирует панику.
@In4security

Реалити-шоу «Карантин»
Коронавирус ударил не только по экономике, но и по информационной безопасности. Миллионы людей по всему миру осваивают работу из дома, используя для этого как личные устройства, так и корпоративные компьютеры, буквально вырванные из привычной и устоявшейся экосистемы.

Только за последнюю неделю количество регистрируемых доменных имен, использующих комбинации слов cisco, login и vpn, выросло на 43% по сравнению со среднегодовыми значениями. До этого подобный всплеск интереса к vpn наблюдался лишь в период активной блокировки Роскомнадзором популярных ресурсов.

Встречаются и неожиданные последствия перехода на удалёнку. Так, учитель истории из самой дорогой российской частной школы – «Президент» – провел дистанционный урок в режиме видеоконференции и решил немного расслабиться, пригласив домой любовницу. Только вот сессия видеосвязи на его компьютере осталась открытой, и учитель на радость своему классу получил возможность опробовать себя в роли вебкам-модели. Ученики, естественно, записали трансляцию и отправили ее гулять по просторам сети.

И не говорите теперь, что шторка на видеокамере – глупость!
@In4security

В честь пятницы мы приготовили для вас небольшое увлекательное чтиво, о том, как в нынешних реалиях порой причудливо переплетаются отельный бизнес в Сочи, сетевой маркетинг и эпидемия вируса SARS-CoV-2.
Берегите себя!
https://te.legra.ph/Istoriya-o-tom-kak-ehpidemiya-koronavirusa-skazyvaetsya-na-otelnom-biznese-v-Rossii-03-20
@In4security

https://thugcrowd.com/covid-19/
Любопытный сайт, позволяющий в режиме реального времени отслеживать появление  доменных имен, эксплуатирующих тематику коронавируса.

Новый домен появляется примерно раз в 10-20 секунд, так что, посидев часик-другой, можно собрать хороший материал для исследований последних трендов коронавирусных мошенников.
@In4security

На одном совсем свежем ресурсе обнаружился архив с готовым фишинговым тулкитом для клонирования страницы авторизации Netflix. Судя по всему, архив залили на хостинг, но еще не успели распаковать. Согласно данным Virustotal, содержащиеся в архиве скрипты детектятся только четырьмя антивирусами: Dr.Web, Avast, AVG и McAfee.

Напомним, что взломанные учетки Netflix весьма ценятся на черном рынке и могут продаваться по цене от 5 до 10 долларов за штуку.
@In4security

Мамкины хакеры снова в бою
На карантине все развлекаются по-разному. Кто-то использует эту возможность для обучения и самосовершенствования, ну а кто-то просто тратит свое время на бессмысленную чепуху. Поговорим о последних.

Сегодня наши любимые бессмысленные и беспощадные wannabe-хакеры из THack3forU выложили на своем канале почти 600-мегабайтный архив со сканами лицензий ФСБ, выданных разным организациям, назвав это «OSINT-разведкой документов ФСБ». Честно, вот уже не знаем, плакать или смеяться…

Давайте не будем расстраивать ребят и рассказывать им о том, что подобные лицензии ФСБ являются публичными документами и их нередко выкладывают на сайтах организаций, эти лицензии получивших.

Помимо лицензий ФСБ в архиве содержатся: рекламные проспекты и презентации IT-компаний, сертификаты соответствия на всякий софт, паспорт дорожной безопасности школы из Южного Бутово, лицензия Ростехнадзора, дипломная работа какого-то студента и даже благодарственное письмо на имя Ильи Сачкова, взятое прямиком с сайта Group-IB.

По факту в этом здоровом архиве нет ни одного документа, который мог бы представлять интерес хоть для кого-то. Используя ключевые слова «Лицензия ФСБ» и сервис поиска по картинкам Яндекса или Гугла, можно набрать тонну подобного мусора минут за 20. Но вот только зачем?
@Infosecurity

Задачка для любителей OSINT
Помимо сотен сайтов, продающих маски и антисептики с наценкой в 500%, в сети появляются и более любопытные предложения. Вот, например, активно рекламируемый на различных досках объявлений сайт https://2maski.ru. Чем он так интересен? Прежде всего схемой реализации продукции и масштабами работы.

Минимальная партия масок, которую можно заказать на сайте – 200 тысяч штук при цене 7 центов за одну маску. То есть стоимость минимальной партии – 14 тысяч долларов США или 1 миллион 120 тысяч рублей по нынешнему курсу ЦБ. При этом деньги предлагается переводить через системы переводов «Контакт» и «Колибри» как бы через гаранта. То есть указать в качестве получателя перевода своего родственника или друга, отправить скан квитанции, а после получения товара изменить получателя на нужного.

Догадались в чем подвох? Для получения перевода через «Контакт требуется знать лишь номер перевода, в случае с «Колибри» потребуется еще предъявить удостоверяющий личность документ. Так вот ФИО получателя и номер перевода как раз и написаны на тех квитанциях, сканы которых требуется прислать продавцу.

Остается лишь нанять дропа, сделать ему на нужное ФИО фейковое временное удостоверение личности 2п, столь популярное у мошенников, оформляющих дубликаты сим-карт, и идти в ближайшее отделение забирать свой миллион. Судя по отзывам в сети, таких миллионов мошенники собрали уже немало.

Ресурс висит за CloudFlare, что неудивительно, а вот домен зереген через Reg.Ru на «Chastnoe predpriyatie "Rulez”». Указанный на странице телефонный номер выпадает в привязке к аккаунту «В контакте», правда скорее всего он принадлежит бывшему владельцу номера.

Мы считаем, что люди, наживающиеся на чужом доверии в это и так непростое для всех время, заслуживают отдельного котла деанонимизации, поэтому предлагаем нашим читателям, любителям OSINT, попытаться провести свое мини-расследование, а если оно окончится успехом, мы с удовольствием опубликуем его результаты и напишем пост во славу автора (при его желании, естественно).
@In4security

Нетсталкеры на удаленке
На волне самоизоляции и удаленной работы все обратили внимание на сервис видеоконференций Zoom, число пользователей которого выросло с 10 до 200 миллионов всего за 3 месяца. Сервис, впрочем, оказался совершенно не готов к такому росту популярности.

В результате записи тысяч приватных видеозвонков оказались доступны онлайн. Дело в том, что в случае, если пользователь активизирует функцию записи видеозвонка, ей присваивается идентификатор, который достаточно легко нагуглить или выяснить перебором. Подобная проблема существует и с некоторыми популярными файлообменными сервисами, позволяющими подобрать уникальную ссылку для доступа к файлу методом простого перебора.

Zoom не считает происходящее проблемой, а его представители заявляют о том, что с безопасностью у них все в порядке. Тем временем на YouTube массово появляются видеозаписи корпоративных совещаний, общения с врачами и сеансами психотерапии, содержащие персональные данные пользователей Zoom.
@In4security

Пока все сидят на самоизоляции мошенники предлагают записаться на вебинар от имени Сбербанка на сайте http://szb-webinar-sberbank.ru/.
Особенно радует политика конфиденциальности при обработке ПД на латыни.
@In4security

На волне коронавируса повышается спрос на разные, иногда неожиданные товары. Сейчас, вот, все стали килограммами есть имбирь, цены на него подскочили и этим тут же воспользовались очередные мошенники.

На сайте http://imbirshop.ru/ собраны воедино практически все популярные маркеры мошеннического ресурса: обратный отсчет, форма для связи и реквизиты компании, прикрепленные в виде картинки.

А что там в реквизитах? А в реквизитах ООО «1001 товар», ИНН 7801416638, которое было ликвидировано еще в 2018 году.
@In4security

Вы думали, что это все? А вот и нет. Сохраним картинку с реквизитами и загуглим…

Имбирь превращается… в Гарри Поттера со скидкой в 34% на сайте https://mypotter.ru/. Дело пахнет оборотным зельем. Тем более, что в отзывах довольных клиентов любительница имбиря Елена из Санкт-Петербурга таким же волшебным образом превратилась в Марию из г. Пермь, преданного фаната поттерианы.
@In4security

https://te.legra.ph/Maski-sbrosheny-04-08
В конце прошлой недели мы рассказали о мошенническом сайте, предназначенном для продажи медицинских масок, и предложили нашим подписчикам провести свое мини-расследование.
Несмотря на то, что некоторые люди усомнились в успехе данного мероприятия, коллеги с канала Утечки информации приняли наш вызов и отмониторили основные контактные данные мошенников.
Ну а дальше в дело включились мы и раскрутили целую детективную историю.
О том, что роднит продавцов масок с квартирными аферистами, читайте в нашем эксклюзивном материале «Маски сброшены».
@In4security

В то время как mos.ru не выдерживает наплыва посетителей, некие предприимчивые граждане создали сайт https://propuski-spravki.ru/.

Шаблон и половина текста явно передраны с какого-то другого ресурса, в лучших традициях указан фейковый адрес, а в соглашении об обработке персональных данных оператор просто не указан: ну обрабатывает кто-то, какая разница.

Прогнозируем увеличение числа подобных ресурсов, а также фишинговых сайтов, имитирующих портал госуслуг и mos.ru.
@In4security