В мае появилось примерно 360 новых доменов, имеющих отношение к тематике продажи сертификатов о вакцинации от коронавирусной инфекции. При этом большая часть действующих сайтов предлагает чистой воды развод, который виден невооруженным глазом.

Не отстают и продавцы нелегальных услуг в даркнете и профильных telegram-каналах. Новые объявления о продаже сертификатов о вакцинации появляются там примерно раз в 5-7 дней. Стоимость сертификата в большинстве объявлений колеблется в диапазоне от 2 до 5 тысяч рублей, а сроки их изготовления начинаются от 1 дня, что также дает основание усомниться в их подлинности.

Помимо сертификатов покупателю предлагают оформить справки о наличии антител и ПЦР анализ на коронавирус. Впрочем, с такими справками все проще: в реестры они не заносятся и при желании могут клепаться сотнями даже без участия медицинских работников (сделать печать в XXI веке уж точно не проблема).
@In4security

Именно поэтому наше внимание привлекло вот такое объявление. На фоне других оно выделяется серьезным подходом к вопросу: тут и перечень документов, и внушительная цена, которая оправдывает риски для тех, кто будет делать такой сертификат. С учетом того, что срок изготовления сертификата – 22 дня, можно предположить, что тут не обошлось без своего человека на прививочном пункте, который сделает две полагающиеся прививки человеку-невидимке и внесет все необходимые записи в журналы и реестры.

Впрочем, такой «свой человек» замечательно выявится в ходе проверочной закупки,.тем более, что после трагических событий в Казани у правоохранительных органов возник вполне оправданный интерес к врачам, выдающим липовые справки.

Кстати, покупатели липовых справок тоже могут столкнуться с реалиями правосудия. С учетом последних изменений в 236 статье УК, если действия человека приведут к негативным последствиям, ему может грозить даже вполне реальный срок. А покупка липовой справки – это уже однозначно умысел.
@In4security

Вот отличный пример фишинга под одного из крупнейших российских регистраторов доменов и хостинг-провайдеров.

Утечка логина и пароля от чужого хостинга позволяет злоумышленникам делать массу интересного: можно внедрить вредоносный скрипт на чужой сайт, можно разместить фишинговую страницу на чужом хостинге, можно добраться до чужих VPS и вообще творить все, что душе угодно.

Мы уже сталкивались со случаями, когда фишинговый сайт располагается на одной площадке с легитимным, будучи спрятанным в подпапке внутри, как, впрочем, и с ситуациями, когда пользователям сайта подгружают вредоносный пэйлоад или запускают онлайн-майнер.
@In4security

Выявленный фишинговый сайт располагается на сервере уже знакомой нам «компании» Landgard. После публикации нашей прошлой статьи про этот хостинг мы получили отличную обратную связь от наших читателей, что в итоге помогло нам отбить у Landgard Services диапазон IP-адресов: 94.154.129.0 - 94.154.129.255. Абузоустойчивый хостинг на поверку оказался не таким уж устойчивым.
Впрочем, у Landgard остался еще один диапазон 95.154.129.0-95.154.129.255, на который и переехали все новые фишинговые проекты. Но и это временно.
@In4security

На сегодняшний день фишинг есть подо что угодно. Прошли те времена, когда его использовали в первую очередь для угона аккаунтов. Сейчас логины и пароли тоже ценятся, но куда чаще ценятся непосредственно деньги, которые можно украсть при помощи фейкового сайта.

Вот свежий пример – фейковый сайт Avtokod: https://avto-kod.pw. В отличие от настоящего сайта без оплаты вам не предоставляют никакой информации об автомобиле. Кроме того, на фейковом ресурсе отсутствует регистрация и пакетные предложения – лишь бы вы быстрее перешли к форме ввода данных банковской карты.

За последнюю неделю это уже как минимум второй сайт под автокод, так что будьте внимательны.
@In4security

Ну и на десерт: зачем регистрировать два домена, если можно один? Фишинг под Raiffeisen располагается на https://www.quick-camel.com, а под ВТБ – на https://new.quick-camel.com.

Тенденция с доменами, которые не имеют отношения к организации, на клиентов которой они нацелены, сейчас проявляется достаточно ярко. Ведь можно, к примеру, зарегистрировать еще один домен, уже созвучный с названием банка, и уже на этом сайте открывать фишинг в iframe, как это реализовано в схеме «Хамелеон».

Впрочем, используемые нами технологии позволяют успешно выявлять и такой фишинг.
@In4security

Infosecurity выступает информационным партнером десятой конференции ZeroNights, которая пройдет в летнем Петербурге  📢

Ничто не заменит нам энергию живого общения! Поэтому ZeroNights приглашает отметить свое десятилетие в неформальной обстановке 30 июня в пространстве «Севкабель Порт». Вас ждет насыщенный день и мощная программа с тематическими активностями.

Для кого?
Среди участников конференции – технические специалисты, администраторы, руководители и сотрудники служб ИБ, пентестеры, программисты и все, кто интересуется прикладными аспектами отрасли.

Что будет?
– Доклады ключевых спикеров и выступления основной программы (клуб «МОРЗЕ»).
– Выступления секций Defensive Track, Web Village и Hardware Zone будут проходить на свежем воздухе в формате open-air на просторной набережной.
Крытые трибуны обеспечат слушателям комфорт в любую погоду.

Подробности, программа и билеты на сайте — https://zeronights.ru/
@In4security

Давно мы не делали обзор банковского фишинга. Давайте посмотрим, что было интересного в июне.

На первом место фишингового рейтинга традиционно находится банк, занимающий первое место в рейтинге российских кредитно-финансовых организаций. В целом же пятерка лидеров выглядит вот так:

ВТБ – более 20 доменов, включая как фейковые страницы входа в личный кабинет, так и несуществующие инвестиционные программы. Среднее время жизни фишингового сайта – от 2 до 7 дней.

Райффайзен – более 12 доменов, не менее 8 действующих сайтов на протяжение июня (в том числе на доменах, не имеющих отношения к банку). Среднее время жизни – от 5 до 12 дней.

Росбанк – более 10 доменов, среднее время жизни – 3-5 дней.

В последние дни наблюдается повышенная активность по банку «Уралсиб». Зарегистрировано порядка десятка доменов, в том числе однозначно опасные uralsib-lagin.ru и uralslb-lagin.ru. Эти домены пока еще не замечены во вредоносной активности, но их написание однозначно намекает на то, что они еще выстрелят.

С учетом современных тенденций маскировки фишинговых сайтов интересно отслеживать то, как осуществляется камуфлирование подобных ресурсов. Вот, например, утекшее описание схемы работы банковского фишингового сайта, защищенного от обнаружения автоматизированными системами мониторинга:

Вход на лендинги открыт только для российских IP.
VPN, Proxy и боты запрещены. Туда же входят и мультилогины (индиго, сфера и пр.) и всякие сомнительные браузеры, устройства и режимы инкогнито. На всех лендингах стоит клоака (подмена контента) от ботов.
Для просмотра лендингов используйте чистое устройство и IP адрес!
Также, если ссылка вставлена из буфера или из закладок браузера - будет показан "белый" контент.
@In4security

Начиная с сегодняшнего дня для посещения кафе и ресторанов в Москве и области требуется предъявить QR-код, подтверждающий факт вакцинации. Так что же делать, если антител нет, а душа просит ходить по ресторанам? Рассказываем.

Существует 2 вида QR-кодов. Первый из них ведет на страницу gosuslugi.ru/vaccine/cert/verify/(код сертификата), второй на сайт: immune.mos.ru/qr?id=(другой код сертификата). По сути, это две равнозначные системы, просто проверка в них реализована чуть по-разному. На странице с подтверждением вакцинации можно увидеть сведения о владельце сертификата о вакцинации: первые буквы ФИО, дату рождения и срок действия. Госуслуги выдают еще и 5 цифр номера паспорта.

Если администратор кафе просто отсканирует QR-код и перейдет в браузере по ссылке, обмануть его не составит труда, благо инструкций в сети более, чем достаточно, а официант не обязан отличать настоящий сайт от ненастоящего. Именно поэтому некоторые официальные московские приложения получили функцию проверки QR-кодов со встроенной защитой от перенаправления на ненастоящий сайт. Только вот эта защита не работает. Она строится на том, что URL должен содержать определенные ключевые слова, имеющие отношение к официальным ресурсам, но она не проверяет в каком именно месте URL находятся эти ключевые слова.

Таким образом, для того, чтобы подделать qr-код, требуется примерно 200 рублей и 15 минут свободного времени. Ну и познания в области Ctrl+C, Ctrl+V на уровне пятиклассника, посетившего 3 урока информатики.

Нам кажется, мы только что обрушили рынок продажи нелегальных QR-кодов о вакцинации…
@In4security

Вот вам пример того, как из официального приложения можно перейти на фейковый сайт.
@In4security

Сегодня одно уважаемое издание со ссылкой на не менее уважаемых экспертов написало, что весной фальшивых доменов госуслуг было всего 2, а сейчас их уже 29. Редакция нашего канала аж чаем подавилась от такого заявления.

Что ж, давайте перепроверим. Начнем с июня. В июне действительно наблюдается всплеск регистрации доменных имен со словом «госуслуги» в разных его вариантах. Всего с 1 по 28 июня было зарегистрировано 89 таких доменов. Уважаемый эксперт ошибся всего лишь в три раза.

Пик регистрации доменных имен начинается с 21 июня. С 22 по 28 июня было зарегистрировано как минимум 81 доменное имя. 15% зарегистрированных в июне доменных имен со словом «госуслуги» явно не имеют отношения к коронавирусу, но остальные вполне могут быть использованы для продвижения истории с QR-кодами. Некоторые из них прямо содержат слова covid, cert и так далее.
@In4security

А что же с весной? С марта по май в сети появилось 66 доменных имен со словом «госуслуги». Тут ошибка вышла аж в 30 раз. Несмотря на то, что большая часть доменов не имеет отношения к коронавирусу, слова эксперта мягко говоря не соответствуют действительности.

Вот такой вот фактчекинг новостей от канала In4security. Ну а если вы сами хотите покопаться в доменах, мы заботливо подготовили для вас подборку с датами регистрации и залили ее на PasteBin: https://pastebin.com/K2DyttZX.

Хорошего вам вечера!
@In4security

Торговать газом уже не модно, теперь в тренде оборонка.

Популярная мошенническая схема с фейковыми сайтами «Газпром-Инвестиций» уже настолько всем приелась, что даже ее создатели это наконец поняли. За последние 2 года мы засекли более 500 ресурсов, предлагавших торговать газом. Все они эксплуатировали один и тот же шаблон, а для придания солидности снабжались еще и фейковой страницей популярного информагентства.

Теперь же в целях поднятия духа патриотизма горе-трейдерам предлагается инвестировать в ВПК. Шаблон сайта, к слову, остался прежним, создатели поленились даже заменить надпись «Министерство энергетики». Параллельно существует еще несколько построенных на этом же шаблоне сайтов, предлагающих другие виды инвестиций. Для маскировки используется домен третьего уровня, который, впрочем, легко обнаруживается через Passive DNS.

А нужно все это лишь для того, чтобы заманить пользователя на сайт, изображающий биржу, где ему придется внести депозит.
@In4security

Для того, чтобы придать весомость предложению, на сайте размещена откровенно фейковая цитата Президента, причем, чтобы нельзя было придраться юридически, все это оформлено так, словно это одновременно и цитата, и не цитата вовсе.

Ну и конечно невозможно не обратить внимание на проекты Оборонной промышленности России. Они настолько прекрасны, что мы даже не будем их комментировать.
@In4security

На популярном англоязычном форуме выставили на продажу массив документов владикавказской медицинской организации ООО «Алания Хелскеа», специализирующейся на гемодиализе.

Данные содержат не только сведения о финансово-хозяйственной деятельности организации и ее сотрудниках, но и списки пациентов с развернутой информацией об их диагнозах, течении болезни и общем состоянии здоровья, а это, простите, 1 группа персональных данных – самая охраняемая категория. Отдельно представлен массив сведений о пациентах, у которых была диагностирована коронавирусная инфекция.

Продавец указывает, что собирал эти данные на протяжение нескольких месяцев. Анализ пробников показывает, что, по всей видимости, файлы хранились на рабочей станции, а СКЗИ не использовались от слова совсем. Не думаем, что пациенты, давшие письменное согласие на обработку персональных данных, соглашались на их распространение на дарк-форуме.

В общем, не болейте!
@In4security

Дай человеку пароль и он зайдет в один аккаунт, дай человеку фишинговый сайт и он зайдет в сотни аккаунтов

В этом году в свет выходит написанная журналистами New York Times книга «Уродливая правда: внутри битвы Facebook за доминирование», в которой, в частности, говорится о том, что в 2014-2015 годах у 16 тысяч сотрудников Facebook был доступ к личным данным пользователей, в том числе к приватной переписке и сведениям о геопозиции. В итоге 52 сотрудника было уволено за использование этих данных в личных интересах, ну а о том, какое количество подобных инцидентов осталось незамеченным, можно только догадываться.

Соцсеть уровня Facebook – это настоящий кладезь информации, использовать которую в личных целях мечтают не только подчиненные Цукерберга. Одним из самых популярных способов получения таких сведений является «взлом страницы» с использованием фишингового сайта или почтовой рассылки. Например, в июне 2021 года было зарегистрировано 964 домена со словом facebook в различных вариантах написания, в июле пока чуть меньше – 248. Всего же с начала года их количество превысило 5 тысяч.

Большая часть доменов вполне однозначно намекает на возможные варианты их использования. Самые популярные слова в сочетании с facebook – это: security, privacy, update. С учетом того, что в сутки в среднем появляется 20 новых доменов, все красивые варианты давно заняты, так что в ходу «этажерки», состоящие из 3-5 слов.

Классические примеры фишинговых доменов образца 2021 года:

business-facebook-privacy-update.com
certifiedfacebookgroupspecialist.com
mobilefacebookengine.com
facebook-stay-online-privacy-explanation-online-update.com
faceb00k-securitty-dept.com
check-private-facebook.com

business-facebook-privacy-update.com
certifiedfacebookgroupspecialist.com
mobilefacebookengine.com
facebook-stay-online-privacy-explanation-online-update.com
faceb00k-securitty-dept.com
check-private-facebook.com

Исходя из того, что регистрация такого количества доменов требует весьма немалых финансовых затрат, усилия явно окупаются. Впрочем, это неудивительно, информация давно уже стала одним из самых ходовых товаров.
@In4security

В наше поле зрения попал новый интересный развод с промокодами. Совсем свежие сайты zapromokod.ru и promokodon.ru предлагают целый букет кодов от бонусных программ различных компаний с одной лишь оговоркой: все они не работают, даже не открываются. Все, кроме одного. Естественно, это самый вкусный промокод, предлагающий 50% кэшбек при переводе с карты на карту на сумму от 3000 рублей.

Расчет, естественно, идет на жадность потенциальной жертвы: наверняка человек захочет перевести как можно большую сумму и получить максимальный кэшбек. Воодушевленный таким выгодным предложением гражданин попадает на сайт bankpay-vbr.ru или bankpay-ipb.ru, на котором ему предлагают ввести данные двух банковских карт и сумму перевода. Сумма эта ограничена 50 тысячами рублей, а значит жертва в теории сможет «заработать» за секунду целых 25 тысяч. Ну как от такого отказаться?
@in4security

Но мы откажемся и повнимательнее изучим сайты.

Все 4 ресурса располагаются на одном хостинге, на котором помимо них висит еще пара сотен откровенно мошеннических сайтов, работающих по давно известным сценариям. Кроме того, обе пары связанных доменов зарегистрированы в один и тот же день.

Фейковые платежные системы действуют одинаково. После ввода данных карты открывается страница подтверждения транзакции на поддомене secure., которая имитирует стандартную страницу Сбербанка вне зависимости от того, какой банк обслуживает карту жертвы. Там предлагается ввести код из СМС-сообщения, после чего выдается сообщение об ошибке транзакции.

Кроме того, на сайте есть возможность создания личного кабинета. Она может быть либо артефактом, оставшимся от шаблона, на основе которого делали фишинговый сайт, а может быть использована для сбора и накопления пар «номер телефона-пароль», которые потом можно использовать для брутфорса других сервисов.
@In4security

На момент публикации мы зафиксировали по крайней мере два действующих фейковых сайта с промокодами. Всего же в июле количество доменов, использующих слово promokod составило порядка 120 штук. Слово bankpay несколько менее популярно – за последние 20 дней таких доменов появилось в районе 20.

С учетом того, что данная схема обмана появилась совсем недавно, можно прогнозировать дальнейшее увеличение количества сайтов, предлагающих фейковые промокоды.
@In4security

Когда по твоей франшизе открыты 52 фотоцентра, нужно подумать и о людях.

Сергей Борисович из Тольятти предложил новую услугу на сайте testnacovid-gosuslugi.ru: за 150 рублей он обещает обработать фото справки о результатах ПЦР-теста под формат загрузки на Госуслуги (а они очень жесткие: до 5мб и с поддержкой почти всех форматов изображения). Для соблюдения закона он даже создал на сайте раздел "Политика конфиденциальности", в котором назначил ответственным за обработку перс. данных 1 группы (сведения о здоровье) некого Михайлова Ивана Сергеевича. Отличный ход, если бы только Сергей Борисович не указал в разделе «Контакты» свой личный номер телефона, которым он пользуется уже много лет.

С учетом того, что сейчас регуляторы весьма внимательно отслеживают незаконную обработку медицинских перс. данных, заработавший свои 150 рублей Сергей вполне может рассчитывать на штраф до 5 000 рублей (как гражданин). А там недалеко и до ст. 137 УК РФ, предусматривающей лишение свободы на срок до 2 лет.
@In4security