Да что вы знаете о клиентоориентированности!

Перед вами форма обратной связи гонконгского регистратора доменных имен Ordertld.com.

Вы можете долго описывать все ваши проблемы, выбирать категорию сообщения и так далее. Но воспользоваться формой у вас все равно не выйдет: кнопка внизу – просто картинка, она не привязана ни к каким действиям на странице.
@In4security

Вот такая красота периодически встречается. Зарождающийся форум некой «технической поддержки государственных информационных систем»: http://support-gov.ru/. Пока что на нем нет ни одного сообщения кроме стандартного, но уже можно зарегистрироваться. В качестве фоновой картинки, кстати, выбран пейзаж Бутово.

Весьма любопытны разделы: ЕИС zakupki.gov.ru и ЕСАУЗ Московской области esauz.mosreg.ru. И вот тут возникает дилемма: с одной стороны, это никакой не фишинг, конечно. Но с другой стороны и к технической поддержке государственных информационных систем, да и к госорганам в целом, он никакого отношения не имеет. А уж скачивать с него файлы (если они на нем появятся) мы бы точно не стали.

Так что несмотря на то, что в нынешнем виде сайт не представляет явной угрозы, лучше за ним присмотреть.
@In4security

«Юлмарт» умер, но дело его живет. Несмотря на то, что ритейлер прекратил свое существование в мае этого года, его бренд продолжает эксплуатироваться на различных сомнительных сайтах. В июне-октябре было зарегистрировано как минимум 7 доменных имен со словом ulmart, и вот вам самый свежий пример – появившийся вчера сайт https://ulmart-magazin.ru.

На сайте прекрасно все, начиная с логотипа отвратительного качества на как бы прозрачном фоне, и заканчивая телефонами, один из которых фигурирует в объявлениях о ремонте квартир, а второй принадлежит фирме, занимающейся монтажом подвесных потолков. Адрес электронной почты и вовсе использовался для регистрации страницы в Одноклассниках на имя 43-летней Ольги из Омска.
@in4security

А что скажет гугл? Например то, что эти же контактные данные используются на появившемся в начале сентября сайте-близнеце нашего новоиспеченного «Юлмарта» - https://elektro-velosipedy.ru/.

Тот же шаблон, тот же адрес, те же две позиции товаров. Кстати, в Москве нет указанной на сайте улицы Профессора Баранова, если что.

Попутно узнаем, что данный адрес электронной почты используется пользователем с ником pdmgdd на сайте https://teplichniki.ru, где он размещает статьи о выращивании белых грибов и выборе сантехники.

Вполне допускаем, что эти сайты могут быть просто недоделанными шаблонами интернет-магазинов, но, во-первых, паразитировать на бренде Юлмарта – как-то не слишком хорошо, а во-вторых, они уже сейчас могут использоваться как минимум для сбора персональных данных (не запрашивая на это разрешение, кстати).
@in4security

В этот раз наш взор упал на поистине бессмертный ресурс по продаже медицинских справок, который скачет с домена на домен уже не первый год. Еще не так давно его можно было найти по адресу spravka-dostavka.com, но этот домен был в итоге заблокирован Роскомнадзором, потом на домене spravka-dostavka.online и еще десятке подобных, а актуальная версия сейчас обнаруживается на домене dostavka-cprawka.com.

Перечень услуг, предлагаемых на сайте, весьма широк: от банального больничного (привет ст. 159 УК РФ) до справки о беременности или документа об отсутствии контактов с зараженными коронавирусом людьми. Понятное дело, что все делается совершенно нелегально, владельцы сайта даже не скрывают этого.
@In4security

Указанный на сайте телефон принадлежит некой организации «Медик консалтинг», располагающейся по адресу: г. Москва, ул. Ефремова, 22. Вернее такие сведения указаны в различных интернет-каталогах вместе со ссылкой на очередной сайт этой конторы. В действительности же организация с таким названием не числится в ЕГРЮЛ, не найдете вы ее и по указанному адресу.

Что же получается? Новые сайты появляются, старые блокируются Роскомнадзором и ничего с этим нельзя сделать? Конечно, можно. Достаточно провести проверочную закупку и получить на руки образцы выдаваемых документов.

На сайте говорится, что все справки являются подлинными, а организаторы этого чудного бизнеса сотрудничают с врачами в самых разных медцентрах. Если это действительно так, вскрыть всю эту сеть не составит особого труда, надо лишь захотеть. Но, согласитесь, просто блокировать домены куда проще.
@In4security

В общем доступе оказался архив, содержащий 652 файла внутренней документации IQOS общим объемом более гигабайта.

В архиве можно найти и персональные данные клиентов, и шаблоны презентаций, и скрипты общения с клиентами, и многое другое, например сканы документов АО «ТК Мегаполис» и ООО «Ап!».

Большая часть файлов датирована 2018-2019 годами, причем многие из них имеют одного автора (что может послужить ключом к обнаружению источника утечки). В целом же складывается впечатление, что файлы были добыты с рабочего компьютера одного из сотрудников или корпоративного файлового сервера.
@In4security

Когда нужно уволить сисадмина или вебмастера? Когда он допускает появление дампа SQL-базы в корне веб-сервера с правами на чтение. Хотите пример? Банк «Берейт», на сайте которого в открытом доступе лежит дамп, из которого можно узнать жизненный путь банка, в том числе прочитать сообщения, отправлявшиеся клиентами в банк, а также изучить логи вплоть до марта 2020 года.

Впрочем, с сообщениями клиентов не все в порядке. Начинаются они с отзывов о заказе пиццы и лишь потом плавно перетекают к кредитно-финансовой тематике. Правда сообщения о заказе пиццы датированы 2009 годом, а банк «Берейт» появился только в 2012, так что предполагаем, что разработчики сайта просто взяли сайт пиццерии со всеми потрохами и SQL-базой и переделали его под банк.

В общем, если у вас нет своих безопасников, помните, что не все аутсорсы одинаково хороши. Выбирайте правильные. Ну и пентест закажите ради приличия!
@In4security

Давно мы ничем не радовали наших подписчиков. Но вот вам свежий фейковый сайт для покупки билетов на Сапсан. Фишинговый сайт sapsan-rzb.ru достаточно качественно скопирован с сайта sapsan.poezdok.com (он же sapsan-rzd.ru), принадлежащего ООО «Региональный билетный центр».

На фишинговом сайте можно выбрать дату, вагон и место, а вот данные пассажиров можно даже не заполнять (в отличие от настоящего ресурса, фишинговому совершенно наплевать, что вы там введете) и сразу перейти к самому важному этапу – оплате, которая осуществляется через одну из помоечных платежных систем, кои в наши дни расплодились в невероятных количествах.
@In4security

Эволюция мошенничеств: от айфонов к квартирам
Очень любопытно наблюдать за тем, как эволюционируют схемы мошенничеств на примере популярного scam-проекта Авито/Юла. Начиналось все с фейковых объявлений на обозначенных площадках, потом все разделилось на 3 ключевых сценария Авито 1.0; 2.0; 3.0. Еще позже появились варианты с мнимыми скидками у ритейлеров и схемы с оплатой Blablacar.

И вот сейчас в наше поле зрения попал новый сценарий, связанный с обманом людей, желающих снять/сдать жилье. Под фишинговую атаку попал сайт ЦИАН. Первые домены с частицей CIAN начали появляться в середине октября, но тогда мы напрямую не связали их со схемами Авито. До тех пор, пока не нашли поддомен CIAN на домене второго уровня, используемого для адресации фишинговых сайтов, ориентированных на Авито.

Несмотря на то, что, согласно нашим данным, организаторы мошеннических схем на Авито и так имеют стабильный доход, а поток воркеров-школьников, готовых «разводить мамонтов» на торговых площадках не иссякает, схемы постоянно развиваются. При этом два основных направления развития – это старание затруднить обнаружение фишинговых сайтов и расширить аудиторию потенциальных жертв.

Так что, если вы желаете снять или сдать жилье, помните – никаких дистанционных предоплат, только личные встречи и расписки в получении средств.

P.S. Если покупаете машину через Drom(.)ru, то тоже будьте аккуратнее, под них тоже активизировались.
@In4security

Хотите в честь черной пятницы прикупить брендовое платье из Италии за 1790 рублей? Не стоит.

Несколько дней назад появившийся в сети сайт brand-dressme.ru сразу же вызывает кучу подозрений. Во-первых, он зачем-то решил спрятаться за CloudFlare, во-вторых, он использует логотип, разработанный индонезийским дизайнером с ником farhanid7, в-третьих, на сайте в изобилии представлены столь любимые мошенниками всплывающие окна с информацией о том, что кто-то только что купил подобный товар.

Плюс ко всему на сайте имеются и иные маркеры «левого» магазина: фейковые отзывы «постоянных» клиентов (сайт появился 3 дня назад) и отсутствие корзины – требуется ввести имя и телефон для связи.

Но это еще не все. На проверку итальянские платья оказываются…
@In4security

…белорусскими! Причем на фейковом сайте они предлагаются по ценам ниже, чем на сайте-первоисточнике снимков. Видимо, какие фотографии нашлись, те и вставили.

Если заглянуть в код страницы, становится понятно, что сайт планируют рекламировать через Google AdWords. Кроме того, встречаются артефакты, которые, видимо, остались от предыдущих шаблонов, например упоминание неких чехлов Arpeggio, не имеющих никакого отношения к платьям. Количество же людей, просматривающих сайт в данный момент, генерируется случайным образом простейшим скриптом.

В общем, если вам нужно показать кому-то, как выглядит фейковый интернет-магазин, это отличный пример.
@In4security

Если вы переболели COVID-ом в апреле-июне 2020 года, то помимо неприятностей, связанных с самой болезнью, вы столкнетесь и с неприятностями, связанными с утечкой ваших персональных данных.

В сети в открытом доступе в сервисе Google Docs было обнаружено более 60 электронных таблиц, содержащих сведения о ФИО, адресе, телефоне, диагнозе, состоянии пациента, решении о госпитализации и так далее.

Некоторые из таблиц имеют более 100 тысяч строк, общий объем попавшей в открытый доступ информации приближается к гигабайту. Помимо того, что такие сведения вообще не должны быть в открытом доступе, возникает вопрос и относительно их хранения и обработки на серверах американской компании Google.

В общем, не болейте.
@In4security

Астрологи объявили неделю утечек по причине человеческого фактора.

Пару дней назад мы писали про больных коронавирусом, теперь на очереди производственный сектор. В сети обнаружился доступный всем желающим домашний FTP-сервер сотрудника ООО «Техмет», который представляет собой расшаренный USB-диск Toshiba, на котором помимо электронных книг и фильмов можно обнаружить кучу рабочей документации, прайс-листы Ростсельмаша, чертежи продукции и прочую интересную информацию общим объемом порядка 400 гигабайт.

Мораль проста: вы можете сколько угодно контролировать периметр компании, но все равно найдется сотрудник, который воткнет свою рабочую флешку в домашний комп или умный телевизор и расшарит ее на весь интернет на радость конкурентам и зарубежным спецслужбам. Такие инциденты следует обнаруживать и пресекать как можно быстрее.
@In4security

Домены как отражение повестки дня
В октябре произошел очередной поворот в уголовном деле в отношении генерального директора ОКБ имени Симонова, также известного как ОКБ Сокол, Александра Гомзина. ОКБ Симонова известно разработкой тяжелых отечественных беспилотников, а интерес к беспилотной технике в последние годы только растет.

Так что не стоит удивляться тому, что в декабре 2020 года кто-то зарегистрировал 2 домена, созвучных с названием ОКБ, а именно: okb-sokol.online и okb-sokol.ru, воспользовавшись при этом услугами компании PrivacyProtect, обеспечивающей конфиденциальность данных владельца домена.

С учетом того, что дело Гомзина засекречено, можно ожидать любых информационных вбросов, для которых эти домены очень даже пригодятся. Кроме того, пока в ОКБ на фоне ареста директора наблюдается некоторое замешательство, подобные доменные имена могут пригодиться и для фейковых рассылок в адрес контрагентов.

Вот так, просто отслеживая определенные ключевые слова, можно предугадать вектор возможной атаки.
@In4security

Какую только информацию нынче ни найдешь глобальной сети. Вот, например, сегодня нам на глаза попался лежащий на меге архив файлов ижевского АНО «Специализированная коллегия экспертов».

Судя по публикациям, некоторые пользователи уже скачали и изучили этот архив, обнаружив в нем более 13 гигабайт рабочей документации, содержащей в том числе персональные данные работников и сторонних людей, материалы, имеющие отношение к уголовным делам, а также массу других интересностей, которые не должны были оказаться в открытом доступе, ведь согласно открытым данным основным заказчиком экспертиз является МВД по Республике Удмуртии. Тайна следствия, говорите?..

Попавших в открытый доступ документов вполне хватит на пару-тройку детективных романов. В них есть и коррумпированные сотрудники полиции, и продажные эксперты, скрывающие убийство человека, в общем жизнь, как она есть, без прикрас. Ну и, естественно, сканы паспортов, дипломов и так далее, все, как мы любим.

Несмотря на то, что АНО «Специализированная коллегия экспертов» это мелкая удмуртская контора, утекшая информация имеет достаточно чувствительный характер. Подобного рода утечка может перечеркнуть весь бизнес организации, годовой доход которой и так не превышает 2 миллиона рублей.
@In4security

Застрахуй братуху, застрахуй…
Сегодня поговорим о мошенничествах с электронными страховыми полисами. 19 октября вступили в силу изменения в законодательстве, благодаря которым теперь можно оформить электронный полис ОСАГО на различных маркетплейсах.

«Черный рынок» немедленно отреагировал на это появлением более 80 доменов, скомпонованных по схеме *НАЗВАНИЕ СТРАХОВОЙ КОМПАНИИ* + слова pay, payment, invoice и т.д.

Живые примеры:
renins-payment.ru
renins-payments.online
renins-payments.ru
sogas-payments.online
sogas-payments.ru
soglasie-engine-paymentgate.ru
soglasie-insurance-paymentgate.com

Обратите внимание, что на некоторых доменах стоит редирект на яндекс. Это классический пример маскировки фишингового сайта, доступного по уникальной ссылке, генерируемой для каждой жертвы.

Помимо слов pay и payment в тренде слова mail, email и так далее, что намекает на фишинговые рассылки, например:
renins-mail.online
renins-mail.ru
На сайте «Ренессанс Страхования» можно найти предупреждение о мошенниках, продающих поддельные полисы ОСАГО, в качестве одного из адресов которых упоминается: e-osago@reniens.com.

Этот адрес электронной почты фигурирует на весьма любопытном сайте http://renins-online.ru/, появившемся в октябре этого года.

Мы нашли примеры таких фишинговых доменов практически по всем основным страховым компаниям. В тройку лидеров же по популярности на сегодняшний день входят «Ренессанс Страхование», «Согаз» и «Согласие». На них приходится примерно 30 процентов выявленных потенциально опасных доменов и откровенно фишинговых ресурсов.
@In4security

Черная пятница давно прошла, а некоторые только проснулись. Впрочем, у некоторых каждый день - черная пятница.

В нашей свежей подборке фишинговые сайты «Мвидео», эксплуатирующие тематику черной пятницы. Ловите: http://blackfriday-mvideo.ru/; http://mvideo-blackfriday.ru/ и http://blackfriday-mvideo-phone.ru/. Мы понимаем, что эти ресурсы являются откровенно вредоносными и ни коим образом не рекламируем их, но как еще объяснить, что именно на этих сайтах ничего покупать не стоит?
@In4security

Что мы видим? Классические признаки фейкового магазина: цены в два раза ниже рыночных, самовывоз невозможен из-за пандемии и оплатить можно только картой на сайте. Похоже, что коронавирус стал просто подарком для подобных проходимцев, ну а желающие купить IPhone 12 за 40 тысяч всегда найдутся.
@In4security

При попытке оплатить товар незадачливый покупатель попадает на фейковый платежный гейт банка ВТБ: https://platez-vtb24.ru/, появившийся на свет 25 ноября этого года.
Выявлять такие сайты при помощи современных аналитических инструментов и эффективно бороться с ними – не проблема, было бы желание.
@in4security