Очередная крупная утечка персональных данных россиян.

На популярном англоязычном теневом форуме выставили на продажу персональные данные более 23 миллионов жителей Москвы и Московской области. База данных фонда обязательного медицинского страхования, содержащая ФИО, дату рождения, пол, регион проживания, регион страхования, номер и дату выдачи полиса ОМС, а также другие сведения, предлагается всем желающим всего за 990 долларов США. Согласно данным продавца, источником утечки является: ffoms.gov.ru.

Размещенный в открытом доступе образец продаваемых данных содержит сведения о 100 тысячах москвичей и жителях МО.
@In4security

Мамкін хакери знову в строю
Начиная с августа этого года и по настоящий момент, мы фиксируем активизацию мошенников, работающих по уже несколько подзабытой и предельно простой схеме, заключающейся в рассылке сообщений о якобы заказанном взломе почтового ящика и предложении за деньги сдать его заказчика.

В последних волнах рассылки текст сообщения «хакера» выглядит примерно так, как на скриншоте.

В качестве подтверждения квалификации «хакера» дается ссылка на феерическую страницу на бесплатном хостинге гугла: https://sites.google.com/view/weryhyhh555/. Объявления с точно таким же текстом обнаруживаются сразу на нескольких досках объявлений.
@In4security

Интересной особенностью данной рассылки является то, что она нацелена на бизнес-сектор: адресатами писем в этот раз являются преимущественно руководители различных российских компаний.

Их адреса можно почерпнуть в спокойно гуляющих по сети утекших базах контрагентов какого-нибудь ООО.

Рассылка осуществляется с территории Украины - практически все использованные злоумышленниками почтовые ящики имеют привязку к украинским номерам телефонов, а в сообщениях используются обороты, специфичные для граждан сопредельного государства.

Само собой, подобная рассылка является чистой воды блефом – никаких попыток взлома не происходит.

Подобная схема работает лишь в том случае, если рассылка будет достаточно массовой. С учетом того, что её «выхлоп» вряд ли превышает 1-2 процента, а требуемая мошенниками сумма составляет 20 долларов, для того чтобы заработать хотя бы сотню, им необходимо разослать как минимум 500 подобных писем. На практике их количество должно быть еще выше.
@in4security

Продаваемая база данных ОМС из сегодняшней публикации на деле оказалась не такой интересной, как показалось нам изначально. Но мы же не можем огорчать наших читателей и публиковать всякую незначительную ерунду? Конечно нет.
Поэтому в качестве бонуса мы провели для вас небольшое расследование и нашли того самого продавца, который уже не первый год промышляет продажей данных россиян на черном рынке.

О том, как простой русский фрилансер открыл для себя мир даркнета читайте в нашей новой статье:
https://te.legra.ph/Kogda-ochen-hochetsya-podzarabotat-na-prodazhe-dannyh-rossiyan-inostrancam-12-18
@In4security

В декабре в рейтинг самых популярных слов, использовавшихся в названиях доменов, традиционно ворвались слова Дед и Мороз. Но не все Деды Морозы одинаково полезны.
В этой связи мы подготовили для вас небольшой обзор новогодних сайтов, которые попали в поле зрения нашей системы мониторинга.
https://te.legra.ph/Boroda-iz-vaty-12-30
С наступающим!
Команда @In4security

Под конец первой рабочей недели пробежимся по деструктивным сообществам в Telegram. Сегодня на повестке дня группа «Кровавые игры ночных пионеров», админы которой делают деньги на публикации шок-контента, ориентированного на несовершеннолетних.
https://te.legra.ph/Nochnye-pionery-01-15
@In4security

Перед новым годом в тренде популярных доменов были Деды Морозы. Но праздники проходят, а компьютеры ломаются всегда, поэтому в конце января в топ популярных слов в зоне .РФ стремительно ворвался частный компьютерный мастер Роман. Десятки однотипных сайтов и одно лицо на все города России – прямо агент Смит из Матрицы.

Это могло бы быть безобидным маркетинговым ходом, но это не так.

О том, почему Роман не вызывает у нас доверия расскажем в новой статье: https://te.legra.ph/Kompyuternyj-master-Roman-pomozhet-no-ehto-ne-tochno-01-28
@In4security

Не прошло и года с момента масштабной утечки персональных данных клиентов МФО, как в сети на одном из англоязычных форумов выложили очередной файл, содержащий сведения о 53.5 тысячах заемщиков российских микрофинансовых организаций.

В файле содержатся ФИО, телефон, адрес электронной почты, дата рождения и паспортные данные заемщиков. Подобная утечка всегда является подарком для различных спамеров и телефонных мошенников, которые получают возможность точечно работать с каждой потенциальной жертвой.
@In4security

В последние дни в Telegram гуляет файл ФБК.txt, содержащий имена и телефоны примерно 27 тысяч сторонников Навального и основанного им Фонда борьбы с коррупцией, однако в связи с тем, что источник получения данных неизвестен, мы не можем однозначно подтвердить или опровергнуть данную информацию.

Все упоминаемые в файле люди имеют профили в социальной сети ВКонтакте. Более того, в списке они фигурируют именно под теми именами или псевдонимами, что указаны в их профиле в VK. Некоторые из них являются участниками различных оппозиционных пабликов, другие фигурируют в списках задержанных в ходе недавних акций.

На страницах большинства людей из списка телефоны скрыты, так что можно предположить, что они авторизовались на каком-то сайте, используя свой профиль ВКонтакте, а потом эти данные стали достоянием общественности.

Вывод: берегите свои персональные данные. Как только вы публикуете их в сети, вы полностью теряете контроль над их дальнейшим распространением, что бы там ни говорил 152ФЗ.
@In4security

В открытом доступе обнаружился файл, содержащий имена, фамилии, города проживания и телефоны более 6000 человек, предположительно являющихся абонентами «Триколор-ТВ».

Какой-либо территориальной привязки у файла нет – география городов предельно широкая. Что любопытно, помимо российских городов в списке присутствует 80 человек из стран дальнего зарубежья. Среди городов можно встретить Барселону и Бордо, Лондон и Лос-Анджелес, а также десятки других населенных пунктов.

Поиск по открытым источникам показал, что телефоны из базы данных совпадают с указанными в ней именами, так что сведения вполне реальны. Помимо имен и фамилий в базе также присутствует 33 телефона, подписанных как «Триколор-ТВ», так что утечка действительно может иметь отношение к оператору спутникового телевидения.

В последнее время количество подобных утечек столь велико, что такого рода базы уже даже не пытаются продавать, все это добро буквально лежит под ногами и доступно всем желающим.
@in4security

В свободном доступе оказались архивы, содержащие массив конфиденциальных данных сети магазинов ВкусВилл. Архивы содержат тысячи внутренних скриптов, логины и пароли, sql-базы, списки сотрудников и многое другое.

Даже чтобы просто оценить содержимое архива требуется немало времени, однако, поиск по ключевым словам приносит очень интересные результаты и говорит о том, что утечку однозначно можно считать критической.

Это не первый инцидент, связанный с сетью ВкусВилл за последний год. Весной-летом мы неоднократно фиксировали появление фишинговых сайтов, нацеленных на клиентов этих магазинов.

Нынешняя утечка ставит под угрозу безопасность всей IT-инфраструктуры компании и требует немедленного реагирования. Это уже не тревожный звоночек, а колокол, который звонит на весь интернет, призывая наконец обратить внимание на безопасность своей компании.
@in4security

Фейковым розыгрышем бонусов от банка уже никого не удивишь, такие сайты появляются сотнями каждый месяц. Но к чему привязываться к какому-то банку, если можно охватить всех держателей карт определенной платежной системы. Например, Mastercard, как в случае с сайтом https://club-mastercard.ru.

От жертвы требуется всего лишь ввести полные данные карты, после чего ее перебросит на официальный сайт Mastercard. Скрипт не проверяет ни валидность данных, ни принадлежность карты к системе Mastercard. Все данные просто улетают в базу, которую либо будут перебирать руками, либо просто продадут в дарке.

В остальном все стандартно – домен зарегистрирован через REG.RU, хостинг скрыт за Cloud Flare.
@In4security

Не знаете, что подарить на 8 марта? Не страшно, у вас в запасе еще есть пара дней чтобы подумать. Ну а мы подготовили для вас обзор сомнительных сайтов, так или иначе связанных с Международным женским днем. Лабутенов мы не нашли, а вот кроссовки, сумки, часы и бижутерия будут в избытке: https://te.legra.ph/Vot-tak-podarochek-03-05
@In4security

Если вы думаете, что мы тут пишем информацию об утечках и взломах ради самопиара, вы сильно ошибаетесь. Мы хотим привлечь внимание к проблеме. К тому, что в России, к сожалению, очень мало кто внимательно относится к сохранности персональных и иных конфиденциальных данных.

Вот вам пример. На небезызвестном англоязычном форуме выставили на продажу полный дамп сайта 63pokupki.ru, принадлежащего ООО «НИКА», ИНН 6315012106, на сайте которого написано, что это «один из крупнейших интернет-ресурсов совместных покупок в России». В придачу покупателю предлагают доступ в админку, да еще и шелл повесить можно.

Количество скомпрометированных учетных записей – примерно 350 тысяч.
@in4security

Мы, как те, кто ратует за безопасность, сразу же позвонили в данную компанию. И что же мы услышали? Информация об утечке и о том, что их сайт взломан им не интересна. Им не нужны ни пруфы, ни ссылки на публикацию. Нам так и сказали прямым текстом: «нам это не интересно, до свидания».

К сожалению, данную позицию приходится встречать весьма часто. Пока компания не столкнется с прямыми убытками, например, с дефейсом сайта на пару суток, эта тема никого не волнует.

Так что тщательнее выбирайте интернет-магазины, которым вы доверяете свои персональные данные.
@In4security

23 марта в .RU зоне появилось ровно 23 домена со словом CVV. Символично, не правда ли? Давайте посмотрим, для чего они используются.

Большая часть из них сформирована путем комбинирования в различных сочетаниях слов shop, store, valid и dump, что уже весьма конкретно нам намекает на тематику сайтов. Если помониторить эти слова в отрыве от CVV, можно найти еще два-три десятка доменов, таким образом, общее количество задействованных в схеме доменных имен составляет примерно 50.

Все сайты похожи как две капли воды, отличаясь лишь заголовком, каждый из которых заявляет о том, что данный сайт - это самое лучшее место для того, чтобы приобрести дампы банковских карт. Можно было бы написать: «Сенсация! В рунете продают данные миллионов банковских карт…»

Однако в реальности все куда прозаичнее.
@In4security

После регистрации на одном из сайтов, мы попадаем на страницу, даже беглый взгляд на которую все проясняет. Для того, чтобы получить доступ к магазину по продаже дампов, требуется внести депозит в размере 50 долларов на bitcoin-кошелек. Особенно радует при этом отсутствие SSL-сертификата и замечательные ошибки в тексте типа слова Accaunt…

В общем, отличное предложение для «мамкиных кардеров», прокачавшихся на обмане посетителей «Авито» и решивших инвестировать свои средства в «серьезный бизнес». Никаких гарантов, никакой системы репутации, просто перечисляй деньги и жди, когда тебе откроют доступ к несуществующему маркетплейсу.

К слову, мы нисколько не удивимся, если кто-то из обманутых школьников после этого захочет обратиться в полицию, мол, деньги отправил, а дампы карт не получил. С такими историями мы сталкивались неоднократно.
@In4security

Qiwi-service.ru - новый фейковый сайт, имитирующий сервис «Безопасная сделка» от Qiwi. Описание того, как это работает, в целом верное, стоит лишь исправить пункт 5 на: «Исполнитель в итоге ничего не получает».

Сайт не блещет функционалом, его создатели поленились даже приобрести SSL сертификат. Безопасная сделка по http, так сказать… Отсутствует и личный кабинет – можно лишь оставить заявку на подключение, передав свои данные злоумышленникам.

Фейковые сервисы безопасных сделок уже не в первый раз попадают в поле нашего зрения. Например, в мае 2019 года мы находили весьма грамотно сделанную фейковую страницу аналогичного сервиса от Сбербанка, которая появилась буквально через 3 дня после запуска услуги.

Несмотря на то, что схема не новая, подобного рода сайты появляются достаточно редко. Особенно в сравнении с классическим банковским фишингом.
@In4security

Если вам предлагают приобрести авиабилеты онлайн и просят заполнить подобную форму при полном отсутствии даже намека на согласие на обработку персональных данных, бегите с такого сайта. Если согласие все-таки есть, но в нем вместо названия компании фигурирует адрес сайта, также воспользуйтесь предыдущим советом. Это далеко не исчерпывающие признаки (даже если с согласием все ок, сайт все-равно может быть вредоносным), но при его отсутствии смело закрывайте вкладку браузера и идите в другое место.

Если же более детально рассмотреть данный конкретный ресурс (avia-ploletis[.]ru), то можно найти и иные признаки фишинга: хостинг скрыт за CloudFlare, цены на билеты ниже, чем на других подобных сайтах, в качестве контактов указан телефон сервиса Biletix и емейл на домене фишингового сайта, сведения о компании отсутствуют (указано ничего не значащее Easy Travel LLC), а при вводе данных пассажира, вы сразу же попадаете на стандартную платежную форму для ввода данных банковской карты.
@In4security

Фейковые сайты по продаже авиабилетов – это просто бич современного интернета. С начала марта мы зафиксировали появление более 700 доменов, используемых для адресации фишинговых сайтов такого рода.

Только лишь доменов с частицей «avia-» мы насчитали 87 штук, на 23 из которых на момент написания данной публикации висят действующие фишинговые сайты.

На картинке приведены лендинги двух самых популярных в марте шаблонов фейковых сайтов по продаже авиабилетов.
@In4security