Кто-то заказывает музыку, а кто-то за нее платит

Недавно мы писали про фишинговые домены, нацеленные на Facebook. Но и на аккаунты ВКонтакте идет настоящая охота. Ежемесячно мы фиксируем сотни фишинговых страниц, используемых для получения логинов и паролей от учетных записей пользователей социальной сети, многие из которых семантически не связаны с оригинальным доменом, а имитируют страницы сторонних сервисов и различных акций.

Вот классический пример. Польстившийся на 9 лет бесплатной музыки человек введет промокод (подходит любой) и не обратит внимание на то, что залогиниться в соцсеть ему предлагают на сайте, не имеющем к ней ни малейшего отношения.

Ну а потом вы получите от этого человека личное сообщение с информацией о сборе средств на лечение больного родственника, а он будет гадать, каким образом у него увели аккаунт и почему он все еще продолжает платить за музыку.
@In4security

Межгалактический пассивный доход. Инвестиции в межпланетную торговлю. Универсальная галактическая валюта под названием «Илон». Нет, это не сценарий фантастического фильма, это история о том, как мечты о космосе и легком заработке тесно переплетаются друг с другом и приводят нас в Липецк.

О связи космоса со стиральными машинами рассказываем в нашей новой статье: https://te.legra.ph/CHelovek-kotoryj-prodal-Lunu-07-30
@In4security

В развитие нашего поста про фишинг в отношении пользователей ВКонтакте, мы сделали небольшой обзор популярных июльских фишинговых сайтов, всеми способами пытающимися завладеть логинами и паролями от учетных записей VK.

О том, какими способами уводят страницы у ваших друзей и родственников, читайте в нашей новой статье: https://te.legra.ph/Vy-prodaete-rybov-Net-my-ih-lovim-socsetyami-08-02

Начиная с последних чисел июля мы фиксируем массированную фишинговую атаку на клиентов Mcdonalds, находящихся на территории Саудовской Аравии, ОАЭ и Катара.

За это время в сети появилось как минимум 109 доменов, на нескольких десятках из которых висят действующие фишинговые сайты. Все они работают по одному принципу: жертве предлагается сделать заказ с бесплатной доставкой, после чего ввести данные банковской карты. При этом создатели ресурсов не стали заморачиваться соответствием меню: на фейковых ресурсах мусульманам предлагается бекон и ветчина.

Домены фишинговых сайтов сформированы по единым принципам. Например, для Саудовской Аравии это различные сочетания mcdonalds и Saudi, для ОАЭ используются частицы aed, uae и oae. Иногда в имени домена фигурирует цифра 50.
@In4security

Атака явно имеет российские корни. Домены зарегистрированы через российских регистраторов, причем десяток из них вообще находится в зоне .RU. Это может быть связано с тем, что злоумышленники хотят охватить в том числе аудиторию российских туристов, привыкших за время пандемии к быстрой и удобной доставке еды.

Иногда хостинг скрыт за CloudFlare, в других случаях он также предоставляется российскими компаниями. Еще один маркер российской принадлежности ресурсов – использование аббревиатуры OAE в именах некоторых доменов.

Все сайты созданы на едином шаблоне, по всей видимости сделанном профессионалами и потом сдаваемом в аренду школьникам. В качестве получателя платежа на фейковом сайте Mcdonalds указан Pizza Hut, но кого волнуют такие мелочи? К слову, в августе было зарегистрировано 5 доменов (2 в зоне .RU) со словами Pizza Hut и Qatar.

Дальнейший анализ доменов также позволил выявить 4 фейковых сайта KFC для жителей Саудовской Аравии, сделанных по тому же принципу.
@In4security

Тематика инвестиций не отпускает нас настолько, что мы решили нарушить наше табу и начать писать про криптовалютные проекты. Естественно, фейковые, ведь настоящие скучные и не сулят миллионов за ничегонеделание.

Сегодня рассматриваем криптовалюту имени Моргенштерна, которая заполонила интернет и сулит баснословную прибыль. Только вот знает ли Моргенштерн об этих проектах? Впрочем, даже если не знает, она в любом случае пойдет на пользу его популярности. Итак, встречайте MORGENCOIN: https://te.legra.ph/Guten-Morgen-mein-Stern-08-11
@In4security

Мошенничества с газом идут на экспорт. Мы уже не раз писали о фейковых сайтах Газпрома, от которых никуда не скрыться в последние 2 года. Или о построенных на тех же шаблонах сайтах, посвященных инвестициям в военную промышленность и космос. Но российский рынок пресыщен различными социальными мошенничествами, так что они уверенно идет на экспорт.

Меняем Газпром на Orlen, русский язык на польский, и вот у нас уже есть готовый фейковый сайт, нацеленный на польскую аудиторию.
@In4security

Неуязвимость сетевых мошенников – это миф. Все они оставляют массу следов. Чем дольше злоумышленники работают на данном поприще, тем больше таких следов накапливается, а значит – тем больше данных для анализа и тем выше шансы выйти на след тех, кто обкрадывает наших сограждан.

Не раскрывая всех карт, демонстрируем, какие уникальные идентификаторы можно получить путем простого анализа исходного кода пары фейковых сайтов: https://te.legra.ph/Otdelnye-mazki-formiruyut-celuyu-kartinu-08-16
@In4security

В августе в сети появилось более 50 новых доменов со словами «нефть» и «НПЗ», примерно четверть из которых обзавелась полноценными фейковыми сайтами предприятий нефтегазовой отрасли.

Сама по себе схема Russian oil scam не нова, последние несколько лет мы фиксируем такие сайты тысячами. При этом в большинстве случаев мы не видим признаков противодействия со стороны кампаний, чьи ресурсы копируются злоумышленниками. В отличие от банковской сферы, где средний срок жизни вредоносного сайта составляет считанные часы, в случае с нефтяной промышленностью это недели и месяцы.

Это обусловлено тем, что нефтяные компании практически не уделяют внимание вопросам выявления фейковых ресурсов, а зря, ведь несмотря на то, что такие мошенничества не несут им прямые убытки, они в целом подрывают авторитет отрасли.

Второй причиной долговечности подобных сайтов является то, что злоумышленники часто создают фейковые сайты мелких НПЗ и нефтебаз, входящих в крупный холдинг, и подобные сайты просто не попадают в поле зрения головной компании, не имеющей в своем распоряжении эффективных инструментов мониторинга сети Интернет.

Самый красивый домен фейкового сайта нефтяной промышленности в августе - luckoil.ru – удача в чистом виде!

Ну и в завершение августовский топ-5 российских нефтяных компаний, чьи сайты наиболее часто копируются злоумышленниками:
Роснефть
Лукойл
Башнефть
Славнефть
Транснефть

@In4security

В мае «Сбер» угостил пиццей промоутеров «Альфабанка», раздававших листовки у входа в его офис. Это событие не осталось незамеченным и упоминания о нем разлетелись по сети.

«Банк раздает пиццу… отличная мысль!» - решили мошенники и запустили этим летом акцию по раздаче пиццы от имени нескольких крупных российских банков. На сегодняшний день мы зафиксировали с десяток доменов, а новые фишинговые ресурсы появляются практически ежедневно. Наибольшее количество вредоносных сайтов предлагает пиццу от имени «Альфабанка», быть может в расчете на то, что у кого-то в голове всплывет тот самый инфоповод про Альфу, Сбер и пиццу, а кто уж там кому чего на самом деле раздавал – попробуй разберись уже.
@In4security

Желающему получить бесплатное угощение придется ввести ФИО, номер банковской карты и номер телефона. А после этого дважды передать злоумышленникам код из СМС.

Сайт убеждает нас в том, что безопасность данных клиентов банка гарантируется, а акция направлена на повышение лояльности клиентов. Однако никакой информации о том, какую именно пиццу дарит банк, мы не нашли. А вдруг клиент-вегетарианец получит пеперони?

Впрочем, итогом данного действа вполне очевидно станет не бесплатная пицца, а потеря доступа к личному кабинету онлайн-банкинга. Поэтому пиццу будет купить уже не на что.
@In4security

Начиная с июля месяца мы фиксируем волну появления фейковых сайтов по продаже билетов на выступления российских стендап-комиков. Классический пример сата: https://comedy-standuptickets.ru.

Каждый такой сайт позиционирует себя как официальный ресурс по продаже билетов. В пользовательском соглашении в качестве контрагента указано ООО «Небо Рекордс», которое, вполне очевидно, не имеет никакого отношения к данным сайтам.

На сегодняшний день количество таких ресурсов уже перевалило за сотню, и они продолжают появляться. Большая часть из них использует один и тот же шаблон с незначительными изменениями. Для оплаты используются платежные шлюзы-однодневки, например, pay-kassa24.ru.

Используйте проверенные сайты по продаже билетов, ведь заплатить деньги и ничего не получить взамен – не слишком смешно.
@In4security

В последнее время значительно участились атаки на клиентов ВТБ. Конечно, он пока не побил рекорд Сбера, но уверенно занимает второе место в нашем рейтинге банков, клиенты которых наиболее подвержены фишинговым атакам. Только в августе мы зафиксировали более 60 доменов, предназначенных для обмана клиентов этого банка.

Свежий пример: vtb-prize.ru. Сайт сходу просит ввести номер карты, а потом код из СМС. Что произойдет дальше, думаем, объяснять не нужно.

Сайт хостится на Darkhost.pro по всей видимости потому, что данная компания предлагает первый месяц хостинга бесплатно. Настоящий подарок для создателей фишинговых ресурсов.
@In4security

На известном англоязычном дарк-форуме выставили на продажу данные примерно 1.3 миллионов российский покупателей продукции Орифлейм в виде архива размером 700 гигабайт. Потенциальные покупатели могут ознакомиться с бесплатным пробником объемом аж 9 гигабайт.

Согласно размещенным продавцом сведениям, в его распоряжении находится 4 терабайта данных Орифлейм, затрагивающих пользователей из 44 стран мира, включая большую часть постсоветских государств.

Также продавец пишет, что имеет доступ ко всей глобальной базе данных покупателей и исходным кодам сайта. Кроме того, он предлагает посетителям форума самостоятельно выбрать, данные жителей какой страны будут слиты в сеть следующими, или вовсе выкупить базу целиком, не допустив тем самым ее попадания в публичный доступ.
@In4security

Недавно мы писали о том, что злоумышленники используют любой инфоповод. Это правда. Даже тот инфоповод, который неактуален уже 2 месяца.

Весной ВТБ запустил конкурс для выбора имени своего голосового помощника, по итогам которого уже 22 июня было выбрано имя «Бендер». Казалось бы, вот и конец инфоповоду, но нет, ведь главным призом был iPhone 12, а желающие заполучить его найдутся всегда, так что мошенники решили слегка разнообразить свою деятельность и добавить к традиционным сайтам «опрос от ВТБ», появляющимся по паре-тройке штук в день, что-то новое.

Этим новым стал ресурс, предлагающий ввести имя голосового помощника, свой номер телефона, номер банковской карты и код из СМС, а потом подождать... Вскоре на смену ему пришёл ещё один аналогичный сайт: http://vtbgolos.ru.
@In4security

Зачем же ждать? Все просто. Введенные данные прилетят в Telegram-бота, после чего специально обученный биоробот, считающий себя крутым хакером, будет пытаться залогиниться в систему онлайн-банкинга и обойти двухфакторную аутентификацию в ручном режиме, после чего у жертвы, по всей видимости, запросят еще один код из СМС.

Несмотря на то, что схема вполне работоспособна, Бендер не одобряет. Слава роботам!
@In4security

Несколько дней назад мы обратили внимание на новость, в которой говорилось о том, что агенты ФБР задержали злоумышленника, взламывающего Icloud-аккаунты знаменитостей в поисках обнаженных фотографий. По данным агентства, 40-летний Хао Куо Чи представлялся сотрудником службы поддержки Apple, что позволило ему взломать как минимум 306 учетных записей.

Так как господин Чи явно не уникум, мы решили посмотреть, много ли у него коллег по цеху и как в целом обстоят дела с фишингом под Icloud, так как именно фишинг является главным способом взломов подобных аккаунтов. Что тут можно сказать, если бы мы составляли рейтинг самых популярных у злоумышленников сайтов, Icloud точно бы занимал в нем одно из первых мест.

Всего с начала года в сети появилось примерно 7000 доменов со словом Icloud в различных вариантах написания, что составляет почти 900 доменных имен в месяц Значительная часть из них весьма однозначно указывает на цели их регистрации и дальнейшего использования:
lcloud-id-support.live
lcloud-support.cloud
icloud-apple-verify.com
icloud-find-assistance.com

lcloud-id-support.live
lcloud-support.cloud
icloud-apple-verify.com
icloud-find-assistance.com

Иногда домены регистрируются пачками. Например, 30 января кто-то зарегистрировал сразу 60 доменных имен, созданных по схеме icloud-signin*.com, где * - переменный символ.

С учетом того, что Icloud – это не просто место, где можно найти чьи-то обнаженные фотографии, а буквально хранилище всех личных секретов человека, высокий интерес злоумышленников к взлому облачного хранилища будет прогнозируемо сохраняться.
@In4security

С начала августа по настоящее время в сети появилось более 30 подозрительных доменов со словосочетанием bankpay. Классическим примером сайта на таком домене является https://bankpay-ds.ru.

Сведения о лицензии ЦБ позаимствованы у ООО НКО «ЮМани», правда дата регистрации для придания солидности стала старше на 3 года, а адрес не соответствует действительности. При этом в «подвале» сайта указано, что это «государственная платежная система»

По всем признакам ресурс создан для сбора логинов и паролей, которые потом как минимум попадут в базы данных публичных утечек. Домен не имеет отношения ни к одному банку, что вероятнее всего сделано для затруднения его блокирования. Впрочем, ссылки на сайт легко могут распространяться в фишинговых письмах от имени кредитных организаций. Поверьте, несмотря на то, что сайт не похож на ресурс какого-то определенного банка, всегда найдутся люди, которые введут свой номер телефона и пароль от онлайн-банкинга. Ну а дальнейшие события вполне легко предугадать.
@In4security

На фоне пандемии сохраняется стабильный спрос на поддельные медицинские справки. Например, на сайте http://cmd-med-online.ru можно найти фейковую страницу Центра молекулярной диагностики CMD с результатами ПЦР-теста на коронавирус.

CMD вообще в последнее время привлекает внимание злоумышленников. В августе-сентябре было зарегистрировано 6 доменов, которые можно однозначно ассоциировать с сетью медицинских центров, а по крайней мере на двух из них обнаружены действующие фейковые сайты.

Параллельно появляются и новые сайты с поддельными сертификатами о вакцинации, например https://gosuslugyi.ru (домен зарегистрирован 30 августа).
Ну и отдельный интерес представляют ресурсы типа verify-cert-covid.ru или gosuslugi-covid-cert.ru, на которых стоит редирект на официальный портал. По факту это означает, что их истинный контент скорее всего доступен по уникальной ссылке.
@In4security

Сайт из предыдущего сообщения взломали спустя пару десятков минут после нашей публикации. Придется искать новый инфоповод. Впрочем, это не сложно.

Вчера мы зафиксировали появление целого ряда доменов, эксплуатирующих бренды московских энергетических компаний.

И если в случае с Мосгазом (mosgazcentr.ru, mosgazexpert.ru, mosgazportal.ru, rusgazlife.ru, rusgazstore.ru, rusgnbexpo.ru и еще с десяток доменов), злоумышленники просто прикрываются его именем, предлагая пройти опрос, а после отправляя пользователей на сайт несуществующего сервиса Яндекс.Сбережения по адресу: https://newdividends.ru/lander/yandex/index.php.

То в ситуации с Мосэнерго атака идет уже на его сотрудников. На сайте https://med-mosenergo.ru предлагается ввести логин и пароль для доступа к медицинской карте работника, что может представлять серьезную угрозу безопасности персональных данных. По всей видимости, ссылка на сайт распространяется в фишинговых письмах, а с учетом узкой специфики, рассылка явно носит целевой характер.
@In4security