СМИ пестрят заголовками о том как очередной TikTok-блогер заработал свои миллионы. Но где деньги, там и различные проходимцы, желающие засунуть руку в чужой карман. Так что нет ничего удивительного в том, что в сентябре прошлого года в Telegram появились предложения приобрести готовый фишинг-тулкит под TikTok.
 
Возможности тулкита весьма неплохи. В частности, он привлекает высокой степенью автоматизации за счет использования ботов, хорошей поддержкой, простотой использования и возможностью обхода двухфакторной аутентификации. В общем, мамкины хакеры одобряют.
 
Естественно, по мере роста популярности тулкита стало расти и число фишинговых сайтов, созданных в рамках данной схемы. TikTok в этой ситуации проявил себя совершенно индифферентно, так что мы решили позаботиться о видеоблогерах и взять инициативу в свои руки и поиграть в своеобразный «морской бой», тем более что опыта в этом деле нам не занимать.
 
Первый ход: 30 марта обнаружен свежий фишинговый сайт tiktok-partners.com.
 
Второй ход: 2 апреля фишинговый сайт tiktok-partners.com убит.
 
По правилам морского боя после удачного попадания следует сделать еще один ход.
@In4security

Несколько дней назад мы писали про фейковые сайты по продаже авиабилетов. Но зачем ограничиваться лишь небом? Мы и по рельсам можем. Фейковых сайтов по продаже железнодорожных билетов ничуть не меньше, Причем зачастую они даже особо не отличаются от своих небесных собратьев.

В большинстве своем фейковые сайты базируются на паре-тройке стандартных шаблонов. На картинке выше вы можете поискать десять отличий между сайтом avia-scidkes.site и poezdonline.site. Оба они являются яркими представителями своего вида.

Телефон, указанный на «железнодорожном сайте» фигурирует в сети в привязке сразу к нескольким давно почившим сайтам по продаже авиабилетов. Ну и естественно вы не найдете на нем ни политики обработки персональных данных, ни какой-либо информации о юр. лице.

Путешествуйте проверенными способами!
@In4security

Продолжаем наш TikTok морской бой. В прошлый раз мы благополучно потопили один из фишинговых сайтов, теперь пришла очередь нанести удар ко командованию этого флота.

Фишинговый скрипт предельно прост и является делом рук одного человека. Еще пара людей задействована «на подтанцовках».

О том, как устроен мир страшных TikTok-хакеров читайте в нашей новой статье: https://te.legra.ph/TikTok-04-08
@In4security

Реакция создателя фишингового TikTok-скрипта на публикации в СМИ.
Осторожно, нецензурная лексика.
@In4security

А это уже реакция владельца самого фишингового сайта на публикацию.
@In4security

Астрологи объявили год похудения.

13 апреля в рунете появилось 34 новых домена со словом «амулет», например http://easy-amulet.ru/. Все они ведут на один сайт, на котором предлагается получить персональный гороскоп для похудения от профессиональных астрологов.

Желая, как водится, похудеть к лету, мы решили поподробнее изучить сайт.

Хотим вас огорчить: похудеть не выйдет. Политика обработки персональных данных отсутствует, а указанные на сайте отзывы содержат откровенно левые фото, а ИП Кузнецова Елена Владимировна занимается исключительно предоставлением туристических услуг. Но может быть Елена Владимировна хотя бы сможет предсказать, границы каких стран откроются к лету?
@In4security

Говорят, что если уязвимость стала известной, то она уже не опасна…

Подло врут. Впервые о настройках конфиденциальности Trello заговорили еще году в 2019. Как вы думаете, много ли людей закрыли после этого свои публичные страницы или прекратили размещать на них логины и пароли?

О том, как один сотрудник может невзначай слить в сеть все «вкусности» вашей компании, рассказываем в нашей новой статье: https://te.legra.ph/Trello---public-boards-04-15
@In4security

Вчерашний шум вокруг Trello принес свои позитивные результаты.

Еще вчера гуглом было проиндексировано более 900 тысяч публичных досок Trello. Сейчас, спустя сутки, их осталось 750 тысяч. А это означает, что пара сотен тысяч человек или организаций внезапно прозрели и закрыли свои доски. Будет интересно проследить, насколько долго продлится такая позитивная динамика.
@In4security

Недавно мы писали про фишинг TikTok, пришло время для Telegram, тем более и сайт как раз попался вполне интересный - https://telegram-auth.me.

Чем интересный? Прежде всего тем, что по сравнению с продаваемыми по 3 рубля кривыми поделками под TikTok, он выглядит весьма нетривиально: его функциональная часть скрывается от лишних глаз в контейнере LoginTelethon.vue, а обмен данными с Telegram ведется через API Telethon. Анализ кода показывает, что такой фишинговый сайт позволяет преодолевать в том числе и двухфакторную аутентификацию.

Но и без косяков, естественно, не обошлось. API ID злоумышленников прекрасно находится в теле контейнера, а это значит, что можно убить не только хостинг или домен этого сайта, но и соответствующий аккаунт разработчика (чем мы сейчас и занимаемся).

А если при получении API злодеи не сидели под VPN… Ну, там уже правоохранительные органы разберутся.

UPD. Спустя 3 минуты отреагировал CloudFlare, а спустя 5 часов сайт благополучно отошел в мир иной.
@In4security

В настоящий момент мы осуществляем взаимодействие с администрацией Trello в целях принудительного изменения настроек публичных досок, содержащих конфиденциальную информацию, в том случае, если их владельцы не сделали это самостоятельно.

К этому дню количество индексируемых Google досок уменьшилась с 900 до 600 тысяч, однако, чувствительной информации все еще более, чем достаточно.

Как видите, не всем процесс изменения настроек приватности (делающийся в один клик) дается легко.
Администраторы упоминавшейся в нашей статье вебкам-студии завели для этого отдельную задачу, которая висит уже более 5 часов. Вот поэтому мы и считаем, что если пользователь не в состоянии сделать это сам, надо ему немного помочь.
@In4security

Знаете, какой иностранный бренд на российском рынке больше всего страдает от фишинга?

Xiaomi!

Каждый день в сети появляется как минимум 5 новых фейковых русскоязычных сайтов по продаже продукции этой компании.

Паразитируя на популярности бренда, злоумышленники эксплуатируют все возможные мошеннические схемы, начиная от банального: «получил деньги и ничего не прислал» или «купите телефон не за 25000, а за 2450 рублей», и заканчивая более продвинутыми махинациями, в результате которых вы вовсе можете оказаться без денег на карте.

На скриншоте выше вы можете видеть прекрасный пример того, как на сайте xiaomi-russian.net, вам предлагают ввести код из СМС не на странице банка, а на странице самого магазина. Как вы понимаете, последствия могут быть самыми плачевными, вплоть до потери доступа к онлайн-банкингу.

Не теряйте бдительность, приобретайте электронику только у проверенных продавцов!
@In4security

На фоне роста интереса россиян к инвестициям активно размножаются фейковые инвестиционные платформы, самой популярной из которых является площадка, действующая от имени несуществующей организации «Газпром-Инвест» и предлагающая любому желающему приобщиться к торговле газом.

За последние 12 месяцев нами было выявлено и заблокировано более 1200 ресурсов, действующих в рамках этой схемы.

Почерк злоумышленников легко узнаваем. Например, они почти всегда получают один бесплатный SSL-сертификат на пару десятков доменов, что позволяет идентифицировать их причастность к созданию и других фейковых трейдинговых платформ, таких как: «Код успеха», «Цепная реакция», «Quantum Capital», «Gram. Ton Blockchain», «Енигма» и даже арабоязычным сайтам «Arabic Guardian».
@In4security

Злоумышленники используют агрессивную рекламную кампанию, включающую в себя спам-рассылки, создание сайтов, имитирующих ресурсы федеральных СМИ, размещение контекстной рекламы в соцсетях и распространение рекламных видеороликов.

Для того, чтобы начать торговать газом, посетителю сайта придется пополнить счет как минимум на 250 долларов США, после чего он получит доступ к системе, старательно имитирующей торги. Естественно, никакого отношения к реальным торгам данная система не имеет и вывести из нее деньги не получится.

При этом сами сайты не отличаются вниманием к деталям и нацелены на самую неприхотливую часть аудитории. В размещенной на сайте лицензии указано несуществующее ООО «Газпром-Инвест», ОГРН принадлежит ООО «Телетрейд Групп», а указанный на сайте контактный телефон является номером факса АО «Тетис Про».
@In4security

Но и эта схема не стоит на месте. В последнее время мы фиксируем появление новых видов ресурсов, имитирующих сайт Отдела противодействия мошенничествам ПАО «Газпром». Свежий пример: https://lgazprom.ru/.

Повторный обман жертв под видом помощи в возврате похищенных денег – история старая, обкатанная еще на нигерийских письмах и активно используемая в процессе мошенничеств на том же Авито.

Однако, в отличие от Авито, в данном случае пока сложно говорить о причастности создателей сайта к вышеописанным фейковым инвестиционным платформам. Вполне возможно, что на чужой проблеме захотели подзаработать совсем другие люди.

Что ж, как бы то ни было, подобного рода сайты выявляются нами и отправляются на блокировку в автоматическом режиме.
@In4security

Похоже, что готовится очередная атака на пользователей всемирной сети. Ну а как еще объяснить появление 2 мая сразу 26 доменов со словом Dianol? Знаете, что это такое? Мы тоже не знали, а оказалось, что это растительный БАД «Дианоль», позиционируемый производителем как средство для лечения диабета.
 
Но почему же атака? Может это просто кто-то развивает торговую сеть? Давайте разберемся. Все домены имеют одинаковую структуру: dianol-*название страны*-*minzdrav*, *health* или *care* .ru. Все ресурсы спрятаны за CloudFlare, что затрудняет определение их физического местонахождения. К тому же все они при попытке открыть сайт осуществляют редирект на Google, что является весьма популярной в наши дни схемой сокрытия фишинга – фейковая страница откроется лишь по уникальной ссылке.
 
Что интересно, большая часть упомянутых в доменах стран относится к Восточной Европе  и Прибалтике: Болгария, Хорватия, Чехия, Словакия, Эстония, Литва, Латвия, Венгрия, Польша, Румыния и Словения. Однако в списке присутствуют и три западноевропейских страны – Греция, Испания и Австрия.
 
Атака скорее всего будет осуществляться с использованием почтовых рассылок, содержащих уникальные ссылки на фишинговые страницы. С учетом специфики БАДа, можно предположить, что рассылка будет носить адресный характер, например на адреса тех, кто ранее покупал характерное для лиц, страдающих от диабета, диетическое питание. Списки покупателей различных интернет-магазинов присутствуют в сети в большом изобилии. А упоминание в доменах стран в сочетании со словами «care» или «health» станет дополнительным аргументом для европейских пользователей, придающим весомость такому сообщению.
@In4security

Клиенты Booking.com под ударом

Booking.com под ударом

Орда мошенников, паразитирующих на торговых площадках, активно расширяет горизонты. Мы уже писали об их экспансии на ЦИАН, Blablacar и всевозможные зарубежные торговые платформы. Теперь пришло время самой популярной площадки по бронированию жилья – Booking.comBooking.com.

Схема особо не отличается от прежних: регистрируется объект недвижимости, предлагаемый в аренду по привлекательной цене. Доверчивой жертве будет отправлена ссылка на фишинговую страницу, содержащую форму оплаты. Далее потребуется ввести код из СМС и… Бинго! Деньги на счете злоумышленника.

Криминальная схема полностью автоматизирована и предлагается по модели CaaS, что привлекает в этот бизнес огромные толпы школьников, жадных до легких денег.

Только за апрель и май мы зафиксировали более 200 доменных имен, задействованных в обмане посетителей Booking.comBooking.com.

Будьте внимательнее при планировании отпуска и производите оплату бронирования только на официальном сайте.
@In4security

Пицца для мамонта
В 1997 году Михаил Горбачев снялся в скандальной рекламе сети пиццерий PizzaHut. Спустя 24 года наши соотечественники снова проявили неподдельный интерес к этой пиццерии, заделав фишинговый кит, ориентированный на зарубежную аудиторию и запустив его в свободное плавание. На некоторых ресурсах кит продается, на других его можно получить бесплатно, было бы желание.

Анализ доменов за апрель-май показывает, что в среднем фишинговые сайты PizzaHut появляются по одному в день. Впрочем, не одним ПиццаХатом жив фишинг, под ударом оказались и другие сети пиццерий. В лидерах находится PapaJohns – 300 подозрительных доменов за 2 месяца, другие известные международные сети показывают более скромные результаты – порядка 15-30 доменов, то есть один домен раз в 2-3 дня.
@In4security

При этом мы фиксируем повышенную активность мошенников, создающих и эксплуатирующих русскоязычные фейковые сайты пиццерий. Только за последний месяц нами было выявлено и заблокировано более 20 подобных ресурсов. Все выявленные сайты выглядят максимально достоверно, отличить их от настоящего неподготовленному пользователю будет непросто. Злоумышленники активно используют контекстную рекламу в поисковых системах, добиваясь того, что ссылки на фишинговые ресурсы выскакивают на самом верху страницы, до результатов поиска.

Так что, если вы решили заказать пиццу, не переходите по рекламным ссылкам и обращайте внимание на домен.
@In4security

А вы знали, что существуют хостинг-провайдеры, обслуживающие исключительно сетевых мошенников? Они делают вид, что находятся на Сейшелах, но на самом деле они куда ближе, чем кажутся. В этом выпуске рассказываем вам о том, как устроен бизнес российского абузоустойчивого хостера, продавшего душу сетевым проходимцам.
Можете смело отправлять их диапазоны IP-адресов в перманентный бан.
https://te.legra.ph/Landgard-services-05-26
@In4security